Jedna platforma. Každý požadavek EU. Žádné mezery.
EU vytvořila NIS2, aby sjednotila kybernetickou bezpečnost napříč Evropou. Pak ji 27 zemí implementovalo odlišně. My jsme to napravili.
Standardizace, která nikdy nenastala
NIS2 měla být velkým sjednotitelem. Jedna směrnice, která by sladila požadavky na kybernetickou bezpečnost ve všech 27 členských státech EU. V praxi dosáhla opaku. Směrnice stanoví minimální požadavky a každá země má volnost jít přísněji. Většina tak učinila. Výsledkem je mozaika národních zákonů, každý se svým vlastním výkladem, vlastními prahovými hodnotami a vlastními očekáváními ohledně vymáhání.
Pak Evropská komise přidala CIR 2024/2690, prováděcí nařízení, které upřesňuje technické požadavky pro nejkritičtější přeshraniční subjekty. Nenahrazuje národní právo, nýbrž se na něj vrství. Takže nyní firmy čelí třem vrstvám požadavků, které se v zhruba stejné míře překrývají, odporují si a matou.
Pokud působíte ve více zemích EU nebo prostě chcete vědět, co "soulad s NIS2" konkrétně znamená, jste v tom sami. Neexistuje žádný jediný zdroj pravdy. Až dosud.
Směrnice NIS2 (EU 2022/2555)
Směrnice na úrovni EU, která stanoví minimální požadavky na kybernetickou bezpečnost pro klíčové a důležité subjekty. Záměrně vágní v detailech implementace. Říká vám, čeho dosáhnout, nikoli jak toho dosáhnout. Každý členský stát ji musí transponovat do národního práva a státy mohou výslovně jít dále.
BSIG. Německá národní transpozice
Německo transponovalo NIS2 do BSIG (BSI-Gesetz). Jde výrazně nad minima směrnice: přísnější lhůty pro hlášení incidentů, širší rozsah dotčených subjektů a výslovná odpovědnost vedení podle § 38. Pokud působíte v Německu, samotná směrnice nestačí. BSIG je to, co auditoři vymáhají.
CIR 2024/2690. Prováděcí nařízení EU
Prováděcí nařízení Komise upřesňuje podrobné technické a metodické požadavky pro subjekty poskytující přeshraniční služby (DNS, cloud, CDN, datová centra a další). Na rozdíl od směrnice je přímo použitelné. Není potřeba národní transpozice. Přidává podrobné požadavky na řízení rizik, zvládání incidentů a bezpečnost dodavatelského řetězce, které jdou výrazně nad rámec textu směrnice.
IT-Grundschutz. Implementační metodika BSI
Standardy IT-Grundschutz od BSI (BSI-200-1, 200-2, 200-3) přesně definují, jak požadavky v praxi implementovat. Podle § 44 odst. 2 BSIG je implementace Grundschutz výslovně uznána jako splnění povinností NIS2 v Německu. Je to nejpodrobnější a nejpreskriptivnější vrstva. A ta, která mění vágní formulace politik v konkrétní, auditovatelná opatření.
Nejpřísnější společný jmenovatel
Naše platforma si nevybere jeden rámec a nedoufá v nejlepší výsledek. Pro každé téma souladu (řízení rizik, hlášení incidentů, řízení přístupu, šifrování, školení, dodavatelský řetězec) identifikujeme nejpřísnější požadavek napříč všemi třemi normativními zdroji: směrnicí NIS2, CIR 2024/2690 a BSIG s metodikou IT-Grundschutz.
Pak tuto nejpřísnější verzi zabudujeme do platformy jako výchozí. Každý formulář, každý pracovní postup, každý požadavek na důkaz je navržen tak, aby splnil nejvyšší laťku. Když na naší platformě dokončíte požadavek, nesplníte jen německý standard nebo minimum EU. Splníte je všechny současně.
Výsledek: zajistěte soulad jednou a buďte v souladu všude. Ať už působíte jen v Německu, napříč EU, nebo spadáte do přeshraniční působnosti CIR, vaše úroveň souladu obstojí. Žádná zdvojená práce, žádné mezery, žádná překvapení během auditu v jiné jurisdikci.
| Oblast souladu | Směrnice NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Řízení rizik | "Vhodná a přiměřená" opatření, žádná předepsaná metodika | Výslovná metodika posuzování rizik s definovanými kritérii, zdokumentované akceptování rizik | Plná analýza rizik založená na aktivech podle BSI-200-3, modelování hrozeb podle kompendia IT-Grundschutz, povinný roční přezkum |
| Hlášení incidentů | Včasné varování do 24 h, úplné oznámení do 72 h | Stejné lhůty, navíc se opakující incidenty musí agregovat a hlásit jako vzorec | 24 h/72 h plus povinné hlášení BSI, vedení musí být neprodleně informováno, vyžaduje se analýza příčin |
| Bezpečnost dodavatelského řetězce | Zvážit rizika dodavatelského řetězce, zohlednit zranitelnosti dodavatelů | Zdokumentované posouzení dodavatele, smluvní bezpečnostní požadavky, periodické přehodnocení | Registr rizik dodavatelů propojený s inventářem aktiv, sledování stavu registrace v NIS2, audit dodavatelů na úrovni Grundschutz |
| Šifrování a kryptografie | "Kde je to vhodné". Použití kryptografie a šifrování | Vyžadována kryptografická politika, zdokumentovaná správa klíčů, posouzena vhodnost algoritmů | Technické směrnice BSI (TR-02102) definují schválené algoritmy, délky klíčů a protokoly. Žádný prostor pro výklad |
| Řízení přístupu | Politiky řízení přístupu k sítím a informačním systémům | Přístup založený na rolích, správa privilegovaného přístupu, pravidelné přezkumy přístupu | Princip need-to-know, oddělení povinností, povinná MFA pro administrativní přístup, zdokumentovaný RBAC s roční recertifikací |
| Školení kybernetické bezpečnosti | Pravidelné školení pro vedení i všechny zaměstnance | Školení specifické pro role, vedení musí prokázat kompetenci v dohledu nad riziky | Roční osvětové školení pro všechny zaměstnance, školení specifické pro role pro IT personál, povinné školení o odpovědnosti podle § 38 BSIG pro vedení |
Přeshraniční ve výchozím stavu
Působíte v Německu, expandujete do Francie, obsluhujete klienty v Nizozemsku. Váš soulad obstojí všude. Žádné přepracování specifické pro jurisdikci, žádný druhý audit. Jeden proces pokrývá všech 27 členských států, protože už splňujete nejpřísnější výklad.
Nulová nejednoznačnost
Směrnice NIS2 je záměrně vágní. "Vhodná opatření" znamenají pro různé auditory různé věci. Naše platforma tuto nejednoznačnost odstraňuje tím, že ve výchozím stavu volí nejkonkrétnější a nejpreskriptivnější dostupný požadavek. Nikdy nemusíte hádat, zda je váš výklad "dostatečný".
Soulad odolný do budoucna
Regulace se jen zpřísňují. Země, které dnes transponovaly NIS2 na minimální úrovni, půjdou zítra přísněji. Tím, že už splňujete nejvyšší aktuální standard, jste o krok napřed před každým budoucím zpřísněním. Nemusíte zoufale dohánět.
Připraveni na audit ode dne jedna
Auditoři BSI očekávají důkazy na úrovni Grundschutz. Posouzení ENISA kontrolují soulad s CIR. Naše platforma automaticky generuje důkazy, které splňují obojí. Přiřazení, schválení, lhůty a auditní stopy jsou zabudovány do pracovního postupu. Jsou samotným procesem souladu, ne dodatkem.
Toto je nejčastější námitka. A je mylná. Rozdíl mezi splněním minimálních požadavků směrnice NIS2 a splněním standardu BSIG/Grundschutz není více zadávání dat, více dokumentů nebo více zbytečné práce. Je to více struktury. Tytéž informace, které firma poskytne pro odškrtnutí holého minima NIS2, jsou tytéž informace potřebné pro implementaci na úrovni Grundschutz.
Ta práce navíc je porozumění: vědět, která aktiva zdokumentovat, jak strukturovat posouzení rizik, co tvoří dostatečný důkaz. A přesně to za vás řeší naše platforma. Formuláře vás provedou správnými otázkami. Pracovní postupy vynucují správný proces. Důkazy se generují, jak pracujete.
V praxi firma používající naši platformu nestráví více času než firma používající nástroj se seznamem na minimální soulad. Rozdíl je v tom, že náš výstup skutečně obstojí v auditu. V kterékoli zemi EU, podle jakékoli použitelné regulace. Úsilí je stejné. Výsledek je nesrovnatelně lepší.
Často kladené otázky
Není to přehnané pro firmu, která působí jen v jedné zemi?
Ne. I v rámci jediné země čelíte více překrývajícím se požadavkům: národní transpozici, případně CIR, pokud poskytujete přeshraniční služby, a praktickým očekáváním vašeho národního auditora. Splnění nejpřísnějšího společného jmenovatele znamená, že se nikdy nemusíte trápit tím, která konkrétní regulace se vztahuje na kterou část vašeho podnikání. Není to přehnané. Je to jediný přístup, který nejednoznačnost zcela odstraňuje.
Co když má moje země jiné požadavky než německý BSIG?
Každá země EU transponovala NIS2 na úrovni minima směrnice nebo nad ním. Německý BSIG patří k nejpřísnějším transpozicím. Pokud splňujete požadavky na úrovni BSIG, automaticky překračujete cokoli, co vyžaduje vaše země. Berte to jako nadmnožinu: nejpřísnější národní právo plus CIR plus směrnice pokrývají každý možný výklad, který by kterýkoli členský stát mohl vymáhat.
Stojí přísnější přístup více nebo trvá déle?
Ne. Platforma vás provede stejným počtem kroků bez ohledu na to. Rozdíl je v tom, jak jsou ty kroky strukturovány. Naše formuláře a pracovní postupy jsou navrženy tak, aby zachytily informace na úrovni detailu, která splňuje metodiku Grundschutz. Neděláte více práce. Děláte stejnou práci přesněji. Časová investice je srovnatelná s jakýmkoli nástrojem pro soulad, ale výstup je obhajitelný napříč všemi jurisdikcemi EU.
A co ISO 27001? Stále ho potřebuji?
ISO 27001 je standard systému řízení, ne zákonný požadavek. NIS2, BSIG a CIR jsou zákonné povinnosti. Existuje výrazné překrytí. Pokud splňujete požadavky naší platformy, pokryli jste zhruba 70 až 80 % opatření přílohy A normy ISO 27001. Slouží ale různým účelům: soulad s NIS2 je povinný a zákonně vymáhaný, certifikace ISO 27001 je dobrovolná a tržně řízená. Naše platforma se zaměřuje nejprve na zákonné povinnosti. Sladění s ISO 27001 bude následovat jako budoucí funkce.
Jak se CIR 2024/2690 vztahuje k národnímu právu, jako je BSIG?
CIR je prováděcí nařízení EU. Platí přímo ve všech členských státech bez národní transpozice. Nenahrazuje národní právo, nýbrž se k němu přidává. Pro subjekty v působnosti CIR (především přeshraniční poskytovatele digitální infrastruktury) musíte splnit jak svou národní transpozici (např. BSIG v Německu), tak CIR. Kde se překrývají, platí přísnější požadavek. Kde se nepřekrývají, platí oba nezávisle. Naše platforma toto vrstvení řeší za vás.