NIS 2 vs směrnice CER: kybernetická odolnost vedle fyzické odolnosti
Dvě směrnice, přijaté ve stejný den, se stejnou transpoziční lhůtou, pokrývající téměř stejné kritické sektory ze dvou různých úhlů.
Dvě směrnice, jeden balíček odolnosti
Dne 14. prosince 2022 přijala EU paralelně dvě směrnice. Směrnice (EU) 2022/2555 (NIS 2) je směrnicí o kybernetické bezpečnosti. Směrnice (EU) 2022/2557 (CER) je směrnicí o odolnosti kritických subjektů. Obě měly být transponovány do 17. října 2024.
NIS 2 chrání sítě a informační systémy. CER chrání fyzický provoz kritických subjektů proti nekybernetickým hrozbám, jako jsou přírodní rizika, sabotáž, terorismus, útoky zevnitř a pandemie. Pokryté sektory se silně překrývají, ale předmět ochrany je odlišný.
Pro provozovatele v energetice, dopravě, bankovnictví, infrastruktuře finančního trhu, zdravotnictví, pitné vodě, odpadních vodách, digitální infrastruktuře, veřejné správě a kosmickém prostoru se obě směrnice často uplatňují paralelně. Tato stránka wiki uvádí, kde se obě setkávají a kde se rozcházejí.
NIS 2, čl. 2 odst. 3 (doslovně)
This Directive applies to entities identified as critical entities under Directive (EU) 2022/2557.
Čl. 2 odst. 3 NIS 2 vazbu výslovně zakládá: subjekt, který členský stát označí jako kritický subjekt podle CER, je v rozsahu NIS 2 a je považován za klíčový subjekt podle čl. 3 odst. 1 písm. f) NIS 2.
CER, čl. 1 (předmět úpravy, doslovně)
This Directive lays down obligations on Member States to take specific measures aimed at ensuring that services which are essential for the maintenance of vital societal functions or economic activities within the scope of Article 5 are provided in an unobstructed manner in the internal market, in particular obligations on Member States to identify critical entities and to support critical entities in meeting the obligations imposed on them.
CER se zaměřuje na kontinuitu základních služeb tváří v tvář fyzickým, přírodním, hybridním a člověkem způsobeným hrozbám. Kybernetický úhel je ponechán NIS 2.
Národní transpozice (Německo)
NIS 2 is transposed in Germany through the BSIG (NIS2UmsuCG draft). CER is transposed through a separate KRITIS-Dachgesetz (KRITIS umbrella act) led by the Federal Ministry of the Interior.
Obě směrnice jsou transponovány dvěma různými národními zákony, nad nimiž dohlížejí dvě různé spolkové agentury. K červnu 2026 je německá transpozice NIS 2 stále v legislativním procesu a zastřešující zákon KRITIS je v paralelním stavu návrhu.
Seznamy sektorů se překrývají, ale ne dokonale
Přílohy I a II NIS 2 uvádějí 18 sektorů. Příloha CER uvádí 11 sektorů. Sektory energetiky, dopravy, bankovnictví, infrastruktury finančního trhu, zdravotnictví, pitné vody, odpadních vod, digitální infrastruktury, veřejné správy a kosmického prostoru se objevují v obou. CER navíc pokrývá výrobu, zpracování a distribuci potravin, což stojí mimo NIS 2.
Sítě a informační systémy vs kontinuita fyzické služby
NIS 2 chrání kybernetickou bezpečnost sítí a informačních systémů používaných subjektem. CER chrání schopnost subjektu nadále poskytovat základní službu proti fyzickým, přírodním a člověkem způsobeným narušením. Stejný provozovatel, dvě různé optiky rizika.
Kritické subjekty podle CER jsou klíčové subjekty podle NIS 2
Čl. 2 odst. 3 NIS 2 směruje každý subjekt označený jako kritický subjekt podle CER přímo do NIS 2 jako klíčový subjekt. Opačně to automaticky neplatí: být v rozsahu NIS 2 vás neoznačuje jako kritický subjekt podle CER.
Kybernetické riziko není fyzické riziko
Čl. 21 NIS 2 vyžaduje opatření k řízení rizik kybernetické bezpečnosti (politiky, zvládání incidentů, kontinuita činností, bezpečnost dodavatelského řetězce, řízení přístupu, kryptografie a tak dále). Čl. 12 až 13 CER vyžadují plán odolnosti pokrývající opatření fyzické ochrany, redundanci, kontinuitu činností a personální bezpečnost. Důkazy se místy překrývají (například plány kontinuity činností), ale katalog rizik je odlišný.
Často stejný provozovatel, dvě hlášení, dva orgány
Vodárenský podnik, nemocniční skupina, distributor energie nebo orgán veřejné správy mohou mít povinnosti podle obou směrnic současně. To obvykle znamená dvě paralelní hodnocení rizik a dvě paralelní linie hlášení, jednu příslušnému orgánu pro NIS 2 a jednu příslušnému orgánu pro CER.
BSI
V Německu je Bundesamt fuer Sicherheit in der Informationstechnik (BSI) vedoucím orgánem pro provedení NIS 2. BSI přijímá registrace, oznámení incidentů a dohlíží na opatření k řízení rizik kybernetické bezpečnosti podle NIS 2.
BBK
Německým vedoucím orgánem pro CER je Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe (BBK), nikoli BSI. BBK dohlíží na označování kritických subjektů a fyzickou odolnost podle plánovaného KRITIS-Dachgesetz.
ENISA a skupina pro odolnost kritických subjektů
Na kybernetické straně ENISA podporuje členské státy a provozovatele podle NIS 2. Na straně CER skupina pro odolnost kritických subjektů zřízená podle čl. 19 CER koordinuje mezi členskými státy. Komise podporuje obě vrstvy, ale kybernetický a fyzický pruh zůstávají na úrovni EU institucionálně oddělené.
CER pokrývá i kybernetickou bezpečnost, takže potřebujeme jen jeden projekt
CER neupravuje kybernetickou bezpečnost. Bod odůvodnění 4 a ustanovení o rozsahu CER výslovně ponechávají kybernetické riziko NIS 2. CER se zaměřuje na fyzické, přírodní a člověkem způsobené hrozby pro službu. Čistě kybernetický ISMS nesplňuje CER. Samotný plán fyzické odolnosti nesplňuje NIS 2.
Obě směrnice se vztahují na úplně stejné provozovatele
Překryv sektorů je vysoký, ale ne 100procentní. CER zahrnuje výrobu, zpracování a distribuci potravin. NIS 2 zahrnuje řízení služeb ICT a několik kategorií digitálních služeb, které CER nepokrývá. A i tam, kde se uplatňují obě, CER vyžaduje výslovné označení členským státem, zatímco NIS 2 většinou funguje na základě sebeidentifikace podle kritérií velikosti a sektoru.
KRITIS je německou transpozicí CER
KRITIS je dlouhodobý německý koncept, který předchází oběma směrnicím a je v současnosti rozprostřen napříč BSIG, BSI-KritisV a sektorově specifickými zákony. Plánovaný KRITIS-Dachgesetz má za cíl transponovat CER, ale není totéž co stávající perimetr KRITIS a není to transpozice NIS 2. Tři samostatné pracovní proudy, nikoli jeden.
Regionální distributor energie s přibližně 400 zaměstnanci provozuje jeden ISMS pro NIS 2 (opatření k řízení rizik podle čl. 21, oznámení incidentu na BSI do 24 hodin, bezpečnost dodavatelského řetězce, školení). Paralelně tentýž distributor provozuje plán odolnosti kritického subjektu podle CER, pokrývající fyzickou ochranu lokalit, redundanci rozvoden, kontroly spolehlivosti personálu a kontinuitu činností pro fyzická narušení. Oba plány sdílejí vstupy kontinuity činností, ale žijí pod dvěma samostatnými liniemi správy a řízení.
V každodenní praxi je nejčistším řešením jediný registr rizik, který každé riziko označí jako kybernetické, fyzické nebo obojí a napájí dva výstupy: opatření k řízení rizik kybernetické bezpečnosti podle NIS 2 na jedné straně, plán odolnosti podle CER na druhé. To se vyhne zdvojení inventáře aktiv a práce na kontinuitě činností a přitom udrží regulatorní výstupy jasně oddělené.
Tato platforma provádí povinnosti podle čl. 21 NIS 2 jako registr povinností: inventář aktiv, inventář dodavatelů, registr rizik, zvládání incidentů, kontinuita činností, školení a důkazy o dohledu. CER není v rozsahu platformy.
Provozovatelé, kteří mají povinnosti podle obou směrnic, mohou znovu použít inventář aktiv a dodavatelů podle NIS 2 jako vstup do svého plánu odolnosti podle CER, ale samotný plán odolnosti podle CER sedí v samostatném pracovním proudu, nad nímž dohlíží příslušný orgán pro CER.
- Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 (NIS 2). EUR-Lex: 32022L2555.
- Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, čl. 2 odst. 3 o vazbě na CER. NIS 2, přílohy I a II o sektorech.
- CER, čl. 1 (předmět úpravy), čl. 5 (sektory), čl. 6 (kritéria pro identifikaci kritických subjektů), čl. 12 a 13 o plánech odolnosti.
- Spolkový úřad pro informační bezpečnost (BSI), národní stránka o provedení NIS 2.
- Spolkový úřad pro civilní ochranu a pomoc při katastrofách (BBK), národní stránka o provedení CER.