Provozovatelé kritických zařízení pod NIS 2 a KRITIS současně
Provozovatel KRITIS si nevybírá mezi NIS 2 a KRITIS. Platí oboje. Opatření NIS 2 podle čl. 21 jsou základ. Povinnosti specifické pro KRITIS podle §29, §32 a §65 BSIG sedí navrch. BSI vede oba režimy ze stejné důkazní základny.
Stručná verze
Zhruba 1 500 až 2 000 subjektů v Německu provozuje „kritische Anlage“ ve smyslu BSI-KritisV. Distribuce elektřiny nad 500 GWh za rok, pitná voda nad 22 milionů metrů krychlových za rok, datová centra nad 3,5 megawattu smluvní kapacity a dlouhý seznam dalších odvětvových prahů. Tito provozovatelé nesedí ve vlastním odděleném světě. Sedí uvnitř NIS 2 jako každý jiný klíčový subjekt a povinnosti KRITIS se naskládají navrch.
Základ pochází z čl. 21 směrnice NIS 2: deset opatření řízení kybernetických rizik, přiměřených riziku. Německo to opisuje do §30 BSIG. Vrstva KRITIS přidává tři věci: vyšší laťku proporcionality podle čl. 21 odst. 1, protože důsledky selhání jsou větší, povinný tříletý cyklus prokazování podle §29 BSIG a vyšší sankční pásmo podle §65 BSIG (až 10 milionů eur nebo 2 procenta obratu skupiny).
Oba režimy vede jeden regulátor. BSI registruje subjekt podle §33 BSIG, přezkoumává důkazy podle §29, přijímá hlášení incidentů podle §32 a vymáhá podle §65. Tatáž důkazní základna napájí obě vrstvy. Tato stránka rozkládá právní strukturu, dodatečné prvky KRITIS, dvě zásady rozhodující každý hraniční případ a tři mýty, které slýcháme nejčastěji.
Čl. 21 odst. 1 a 21 odst. 2 směrnice NIS 2 (EU) 2022/2555
Členské státy zajistí, aby klíčové a významné subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro bezpečnost sítí a informačních systémů. Tato opatření zajistí úroveň bezpečnosti sítí a informačních systémů přiměřenou existujícím rizikům, přičemž zohlední stav techniky a případně příslušné evropské a mezinárodní normy, jakož i náklady na provedení.
Čl. 21 odst. 1 stanoví doložku proporcionality. „Vhodná a přiměřená“ znamená, že hloubka opatření musí odpovídat riziku. Provozovatel KRITIS sedí na vrcholu této škály: velká zásobovací oblast, veřejná závislost, kaskádové dopady. Platí stejných deset opatření podle čl. 21 odst. 2, ale provozovatel KRITIS je musí zavést hlouběji než malý subjekt podle Přílohy II.
§28, §30, §32, §33 a §65 BSIG (německá transpozice)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
BSIG skládá povinnosti do jednoho zákona. §28 stanoví působnost (klíčový, významný, provozovatel KRITIS). §30 stanoví deset opatření. §32 stanoví kaskádu hlášení incidentů (24 hodin včasné varování, 72 hodin oznámení, závěrečná zpráva do jednoho měsíce). §33 stanoví registrační povinnost u BSI. §65 stanoví sankční pásmo: až 10 milionů eur nebo 2 procenta obratu skupiny pro klíčové subjekty a provozovatele KRITIS, až 7 milionů eur nebo 1,4 procenta pro významné subjekty. Provozovatelé KRITIS sedí ve vyšším pásmu, i kdyby jejich odvětví bylo jinak Příloha II.
§29 BSIG a BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
§29 BSIG je důkazní cyklus specifický pro KRITIS. Každé tři roky předá provozovatel BSI audit, kontrolu nebo certifikaci, která ukazuje, že opatření podle §30 skutečně fungují. Anlage je vymezena v BSI-KritisV: odvětvové kvantitativní prahy (distribuce elektřiny na 500 GWh za rok, pitná voda na 22 milionů metrů krychlových za rok, datová centra na 3,5 megawattu smluvní kapacity IT a tak dále). Dosáhněte prahu a jste Betreiber kritischer Anlage. Cyklus podle §29 se připojí automaticky.
Základ NIS 2 (čl. 21 / §30 BSIG)
Deset opatření řízení rizik podle čl. 21 odst. 2: analýza rizik, řešení incidentů, kontinuita provozu, dodavatelský řetězec, bezpečný vývoj, řešení zranitelností, školení, kryptografie, řízení přístupu, MFA. Přiměřeně riziku podle čl. 21 odst. 1. Tentýž seznam, který musí zavést každý klíčový a významný subjekt. Provozovatelé KRITIS začínají zde, ne někde jinde.
Tříletý Nachweis podle §29 BSIG
Nad rámec základu NIS 2 předá provozovatel KRITIS BSI důkazní balík každé tři roky: zprávu o auditu, kontrolu nebo uznanou certifikaci pokrývající opatření podle §30. Cyklus je pevný, nikoli na základě rizika. Zmeškání lhůty spustí vymáhání podle §65 BSIG. Registrace podle §33 nese pro provozovatele KRITIS i dodatečná pole: kritická služba, metriky zásobování, umístění Anlage a kontaktní místo 24/7.
Vyšší sankční pásmo a hlubší proporcionalita
Podle §65 BSIG sedí provozovatelé KRITIS ve stejném sankčním pásmu jako klíčové subjekty: až 10 milionů eur nebo 2 procenta obratu skupiny. Významné subjekty (Příloha II bez Anlage KRITIS) sedí o pásmo níže na 7 milionech eur nebo 1,4 procentech. Posouvá se i test proporcionality podle čl. 21 odst. 1: argument nákladů na provedení se hůře uplatňuje, když selhání Anlage zasáhne stovky tisíc zásobovaných osob.
Jeden regulátor, jedna důkazní základna, dvě vrstvy
BSI vede oba režimy z téže kanceláře v Bonnu. Audit, který odevzdáte podle §29 BSIG, je tentýž audit, který dokazuje vaše opatření podle §30 pro NIS 2. Registr dodavatelů, který vedete pro čl. 21 odst. 2 písm. d), je tentýž registr, který BSI čte během kontroly podle §29. KRITIS nedubluje důkazy NIS 2. Pouze žádá, abyste prokázali opatření NIS 2 v pevném cyklu, s vyšším sankčním pásmem jako pojistkou.
KRITIS je aditivní, nikoli náhrada
Častý chybný výklad: „jsme KRITIS, takže pravidla NIS 2 se nepoužijí.“ Špatný směr. KRITIS sedí v BSIG navrch nad NIS 2, ne vedle. §28 vyjmenovává provozovatele KRITIS navíc ke klíčovým a významným subjektům. §30 (opatření), §32 (hlášení) a §33 (registrace) platí pro všechny tři. §29 (tříletý Nachweis) a vyšší pásmo §65 jsou dodatky specifické pro KRITIS. Vypusťte opatření NIS 2 a porušíte čl. 21 směrnice.
BSI vede oba režimy
Bundesamt für Sicherheit in der Informationstechnik je ústředním příslušným orgánem podle §40 BSIG. Registruje provozovatele KRITIS, přezkoumává důkazy podle §29, přijímá hlášení incidentů podle §32 a vymáhá podle §65. Tatáž kancelář v Bonnu řeší 60členného výrobce podle Přílohy II i 5000členného distributora elektřiny. Jiné měřítko, stejný regulátor, stejná právní struktura.
Energetika a telekomunikace mají druhého regulátora
Dvě odvětví nemají BSI samotné. Energetičtí provozovatelé se zodpovídají Bundesnetzagentur za bezpečnost sítě podle §11 EnWG. Telekomunikace se zodpovídají Bundesnetzagentur za integritu sítě podle §165 TKG. Tyto překryvy sedí vedle BSIG, nikoli místo něj. Distributor elektřiny KRITIS hlásí BSI incidenty NIS 2 a BNetzA události relevantní pro síť. Stejná budova, dvě schránky.
Na úrovni EU žádný přímý ekvivalent KRITIS
Směrnice NIS 2 neobsahuje režim KRITIS. ENISA nevede tříletý cyklus prokazování. Nejbližší srovnatelnou konstrukcí je směrnice CER (2022/2557) o odolnosti kritických subjektů, která je o fyzické odolnosti, nikoli o kybernetické bezpečnosti. Ostatní členské státy transponují čl. 21 a čl. 23 stejně, ale dodatečná německá vrstva KRITIS je národní volbou přenesenou z IT-Sicherheitsgesetz z roku 2015. Zahraniční dceřiné společnosti německého provozovatele KRITIS nepřebírají povinnost podle §29 v zahraničí.
Jsme KRITIS, takže nová pravidla NIS 2 se na nás nevztahují.
Špatný směr. §28 BSIG vyjmenovává provozovatele KRITIS jako jednu ze tří regulovaných kategorií vedle klíčových a významných subjektů. §30 (opatření), §32 (hlášení), §33 (registrace) a základ čl. 21 platí pro všechny tři. Dodatky specifické pro KRITIS jsou §29 (tříletý Nachweis) a sankční pásmo §65. Pokud vypustíte opatření NIS 2, protože „KRITIS už to pokrývá“, porušíte čl. 21 směrnice a německou transpozici.
Jsme pod prahem KRITIS-V, takže jsme i mimo NIS 2.
Práh BSI-KritisV (např. 500 GWh za rok pro distribuci elektřiny, 22 milionů metrů krychlových za rok pro vodu, 3,5 megawattu pro datová centra) rozhoduje o KRITIS, nikoli o NIS 2. Městská utilita zásobující 80 000 osob je pod prahem KRITIS, ale stále je v odvětví 1 Přílohy I (energetika) a téměř jistě je středním podnikem. To ji staví do působnosti NIS 2 jako klíčový subjekt s povinnostmi podle §30, §32 a §33. Jen bez tříletého cyklu podle §29 a v nižším sankčním pásmu podle §65.
Právě jsme prošli auditem podle §29, takže máme hotovo i pro NIS 2.
Úspěšný Nachweis podle §29 pokrývá důkazní cyklus. Nevypíná zbytek NIS 2. Kaskáda hlášení incidentů podle §32 (24 hodin / 72 hodin / jeden měsíc) běží nepřetržitě. Registrační údaje podle §33 musí být aktualizovány do dvou týdnů od jakékoli změny (čl. 27 odst. 2 NIS 2). Riziko dodavatelů podle §30 odst. 2 bodu 4 běží jako nepřetržitá povinnost. Audit podle §29 je snímek. Zbytek BSIG je operační systém.
Vezměte městskou utilitu (Stadtwerk) ve městě s 200 000 obyvateli. Distribuce elektřiny, pitná voda, dálkové vytápění, veřejná doprava a dceřiná společnost pro optické sítě. Položte BSI-KritisV vedle organizační struktury firmy. Distribuce elektřiny nad 500 GWh za rok překračuje práh. Pitná voda nad 22 milionů metrů krychlových za rok jej překračuje. Dálkové vytápění pod prahem ne. Veřejná doprava sedí v Příloze II směrnice, ale v Německu nemá klasifikaci Anlage.
Výsledkem je jedna firma pod třemi úrovněmi čtení najednou. Dvě obchodní linie (Strom, Wasser) jsou Anlagen KRITIS s plným cyklem Nachweis podle §29 navrch. Jedna obchodní linie (Fernwärme) je odvětví 1 Přílohy I, ale pod prahem KRITIS, takže NIS 2 klíčová bez §29. Jedna obchodní linie (ÖPNV) je doprava podle Přílohy II. Dceřiná společnost pro optické sítě je odvětví 8 Přílohy I, pokud sama překročí práh velikosti. Jedna registrace podle §33 pokrývá právní subjekt. Audit podle §29 pokrývá pouze Anlagen KRITIS. Opatření podle §30 pokrývají vše.
Kontrola působnosti projde prahy BSI-KritisV řádek po řádku: která Anlage, které odvětví, která kvantitativní metrika, který práh. Pokud jeden překročíte, stránka označí cyklus Nachweis podle §29 a přepne profil firmy na provozovatele KRITIS. Modul registrace pak vynese dodatečná pole podle §33 (kritická služba, metriky zásobování, umístění, kontakt 24/7). Kalkulačka sankcí se přepne na vyšší pásmo podle §65.
Důkazní základna je sdílená. Tytéž kontroly, které splňují §30 BSIG, vytvářejí auditní stopu, kterou předáte BSI podle §29. Registr dodavatelů podle čl. 21 odst. 2 písm. d) je tentýž registr, který se přezkoumává během kontroly podle §29. Formulář hlášení incidentů pokrývá kaskádu podle §32 (24 hodin / 72 hodin / jeden měsíc) pro oba režimy. Jedna důkazní základna, dvě cílová místa hlášení, je-li to potřeba (BSI plus, pro energetiku a telekomunikace, BNetzA).
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 1 (proporcionalita), čl. 21 odst. 2 (deset opatření), čl. 27 (aktualizace registrace). eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (působnost), §29 (tříletý Nachweis pro provozovatele KRITIS), §30 (opatření), §32 (hlášení incidentů), §33 (registrace), §65 (sankce). gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), odvětvové prahy pro elektřinu, vodu, potraviny, zdravotnictví, dopravu, finance, IT a telekomunikace, odpady, vesmír. gesetze-im-internet.de/bsi-kritisv
- BSI, „Kritische Infrastrukturen“ Informationspaket a NIS 2 FAQ. bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog gemäß §11 EnWG (odvětvový překryv energetiky). bundesnetzagentur.de
- Směrnice (EU) 2022/2557 (CER) o odolnosti kritických subjektů (fyzická odolnost, odlišná od NIS 2). eur-lex.europa.eu/eli/dir/2022/2557/oj