Analýza nedostatků mezi ISO 27001 a NIS2
Certifikace ISO 27001 pokrývá zhruba 70 % technických požadavků NIS2. Zbývajících 30 % ale zahrnuje oblasti s nejvyšším rizikem vymáhání: registraci, lhůty pro hlášení incidentů a osobní odpovědnost vedení.
ISO 27001 je náskok, ne cílová páska
Pokud vaše firma drží certifikaci ISO 27001:2022, jste napřed oproti většině subjektů dotčených NIS2. Rámec ISMS, metodika hodnocení rizik a opatření přílohy A dobře odpovídají deseti oblastem opatření kybernetické bezpečnosti vymezeným v § 30 odst. 2 BSIG. BSI výslovně uznal, že certifikace ISO 27001 dokládá vyzrálý bezpečnostní postoj. Stejně výslovně ale uvedl, že samotná certifikace se nerovná souladu s NIS2.
Mezera existuje proto, že NIS2 zavádí povinnosti, na které ISO 27001 nikdy nebyla navržena. ISO 27001 je dobrovolný standard systému řízení zaměřený na informační bezpečnost uvnitř organizace. NIS2 je regulační povinnost zaměřená na odolnost kritické infrastruktury, s hlášením úřadům, osobní odpovědností vedení a zákonnými sankcemi. Jde o zásadně odlišná paradigmata souladu. Jedno je o nejlepší praxi, druhé o právním souladu.
Mapovací pokyny ENISA a analýzy od DataGuard, secuvera a samotného BSI opakovaně identifikují tytéž mezery. Pochopení toho, kde ISO 27001 pokrývá NIS2 a kde ne, umožňuje certifikovaným firmám stavět na stávajícím ISMS místo začínání od nuly a zároveň zajistit, že nepřehlédnou specificky regulační požadavky, které nesou nejvyšší riziko vymáhání.
Řízení rizik (§ 30 odst. 2 bod 1 BSIG)
Body 6.1 a 8.2 ISO 27001 vyžadují identifikaci, analýzu, hodnocení a ošetření rizik. Přesně to, co žádá § 30 odst. 2 bod 1. Stávající metodika hodnocení rizik ISMS, pokud je řádně udržována, tento požadavek naplňuje. Zajistěte, aby váš registr rizik pokrýval konkrétně rizika provozních technologií a dodavatelského řetězce, ne jen rizika informační bezpečnosti.
Řízení přístupu (§ 30 odst. 2 bod 5 BSIG)
Příloha A.5.15 až A.5.18 a A.8.2 až A.8.5 ISO 27001 pokrývá zásady řízení přístupu, přidělování uživatelských přístupů, správu privilegovaných přístupů a omezení přístupu k informacím. To přímo odpovídá požadavkům § 30 odst. 2 bod 5 BSIG na řízení přístupu k síťovým a informačním systémům.
Zvládání incidentů (§ 30 odst. 2 bod 2 BSIG)
Příloha A.5.24 až A.5.28 ISO 27001 pokrývá plánování řízení incidentů, jejich vyhodnocení, reakci a poučení. Technický proces zvládání incidentů, který NIS2 vyžaduje, je dobře pokryt. Lhůty pro hlášení a oznámení BSI ovšem nejsou součástí ISO 27001 (viz mezery níže).
Kontinuita podnikání (§ 30 odst. 2 bod 3 BSIG)
Příloha A.5.29 a A.5.30 ISO 27001 řeší informační bezpečnost během narušení a připravenost ICT pro kontinuitu podnikání. Ve spojení s řádnou BIA a otestovanými postupy obnovy to podstatně pokrývá požadavky NIS2 na kontinuitu.
Kryptografie (§ 30 odst. 2 bod 8 BSIG)
Příloha A.8.24 ISO 27001 pokrývá použití kryptografie. Vyzrálé ISMS zahrnuje kryptografické zásady, postupy správy klíčů a standardy výběru algoritmů, které jsou v souladu s požadavky NIS2 na kryptografii.
Dodavatelské vztahy (§ 30 odst. 2 bod 4 BSIG, částečně)
Příloha A.5.19 až A.5.23 ISO 27001 řeší informační bezpečnost v dodavatelských vztazích, včetně posouzení dodavatele, sledování poskytování služeb a řízení změn. To poskytuje základ, ale NIS2 vyžaduje rozsáhlejší prověření dodavatelského řetězce (viz mezery).
Školení a povědomí (§ 30 odst. 2 bod 9 BSIG)
Příloha A.6.3 ISO 27001 pokrývá povědomí, vzdělávání a školení v oblasti informační bezpečnosti. To odpovídá obecnému požadavku NIS2 na školení, NIS2 ale přidává specifické povinnosti školení vedení podle § 38 BSIG, které jdou nad rámec ISO 27001.
Povinnost registrace u BSI (§ 33 BSIG)
ISO 27001 nezná pojem registrace u úřadu. § 33 BSIG vyžaduje, aby se každý subjekt NIS2 zaregistroval u BSI a poskytl údaje o subjektu, zařazení do sektoru, kontaktní údaje a rozsahy IP. Jde o samostatnou regulační povinnost s vlastními sankčními ustanoveními. Vaše certifikace ISO ji nespouští ani nenahrazuje.
Lhůty pro hlášení incidentů (§ 32 BSIG)
ISO 27001 vyžaduje reakci na incidenty, ale nestanoví žádné lhůty pro externí hlášení. § 32 BSIG ukládá: včasné varování BSI do 24 hodin, oznámení incidentu do 72 hodin a závěrečnou zprávu do jednoho měsíce. Jde o zákonné lhůty se samostatnými sankcemi za nesplnění. Váš proces zvládání incidentů v ISMS musí být rozšířen o pracovní postupy hlášení specifické pro BSI.
Osobní odpovědnost vedení (§ 38 BSIG)
ISO 27001 vyžaduje angažovanost a vedení managementu (bod 5), ale nezakládá žádnou osobní právní odpovědnost. § 38 BSIG činí osoby ve vedení (Geschäftsleiter) osobně odpovědnými za selhání v řízení kybernetické bezpečnosti, včetně povinnosti, které se nelze vzdát: schvalovat opatření, dohlížet na jejich zavádění a absolvovat osobní školení v oblasti kybernetické bezpečnosti. Žádné opatření ISO toto neřeší.
Rámec zákonných sankcí (§ 65 BSIG)
Nesoulad s ISO 27001 vede ke ztrátě certifikace, což je reputační následek. Nesoulad s NIS2 podle § 65 BSIG nese pokuty až do výše 10 milionů EUR nebo 2 % celosvětového obratu pro klíčové subjekty. Mechanismus vymáhání je zásadně odlišný: sankce úřadu oproti stavu dobrovolné certifikace.
Rozšířené prověření dodavatelského řetězce (§ 30 odst. 2 bod 4 BSIG)
Zatímco příloha A.5.19 až A.5.23 ISO 27001 pokrývá bezpečnost dodavatelů, NIS2 vyžaduje podrobnější hodnocení rizik dodavatelského řetězce, včetně posouzení vlastní vyzrálosti kybernetické bezpečnosti dodavatelů, zohlednění zranitelností specifických pro dodavatelský řetězec a posouzení kritických závislostí. Příloha CIR 2024/2690 stanoví smluvní bezpečnostní požadavky a průběžné sledování dodavatelů, které přesahují opatření pro správu dodavatelů v ISO 27001.
Požadavky na řízení specifické pro NIS2
NIS2 vyžaduje specifické struktury řízení, včetně určených kontaktních míst pro BSI (§ 33 BSIG), účasti v sektorových CSIRT a souladu s vykonatelnými příkazy BSI. Jde o regulační požadavky na řízení, které stojí mimo rozsah ISMS. Týkají se vztahu mezi subjektem a státními orgány, nikoli interní správy bezpečnosti.
| Opatření NIS2 / § 30 odst. 2 BSIG | Opatření ISO 27001:2022 | Pokrytí |
|---|---|---|
| Analýza rizik a bezpečnostní zásady | Body 6.1, 8.2; A.5.1 | Úplné |
| Zvládání incidentů | A.5.24 až A.5.28 | Částečné: chybí lhůty pro hlášení BSI |
| Kontinuita podnikání a krizové řízení | A.5.29, A.5.30 | Úplné |
| Bezpečnost dodavatelského řetězce | A.5.19 až A.5.23 | Částečné: chybí rozšířené prověření |
| Bezpečnost při pořizování, vývoji a údržbě | A.8.25 až A.8.31 | Úplné |
| Hodnocení účinnosti | Body 9.1, 9.2, 9.3; A.8.8 | Úplné |
| Školení kybernetické bezpečnosti | A.6.3 | Částečné: není pokryto školení vedení dle § 38 |
| Kryptografie | A.8.24 | Úplné |
| Řízení přístupu a správa aktiv | A.5.9 až A.5.18; A.8.2 až A.8.5 | Úplné |
| Vícefaktorové ověřování a zabezpečená komunikace | A.8.5 | Částečné: požadavek na MFA je v NIS2 konkrétnější |
- ISO/IEC 27001:2022: Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí. Systémy řízení informační bezpečnosti
- BSIG: § 30 odst. 2 (Risikomanagementmaßnahmen), § 32 (Meldepflichten), § 33 (Registrierung), § 38 (Geschäftsleitung), § 65 (Bußgeldvorschriften)
- BSI: pokyny ke vztahu mezi certifikací ISO 27001 a souladem s NIS2
- ENISA: pokyny k mapování NIS2 na ISO 27001 (2024)
- DataGuard: analýza nedostatků a mapování ISO 27001 na NIS2 (2024)
- CIR (EU) 2024/2690: technické požadavky přílohy a odkazy na ISO 27001