NIS2 vs KRITIS: co se ve skutečnosti změnilo
NIS2 nenahrazuje KRITIS, dramaticky jej rozšiřuje. Z přibližně 2 000 provozovatelů na zhruba 30 000 subjektů, sedm nových odvětví, osobní odpovědnost vedení a přísnější lhůty pro hlášení.
KRITIS byl rozcvička. NIS2 je hlavní zápas.
Pokud byla vaše společnost již zařazena jako KRITIS (Kritische Infrastruktur) podle starého režimu BSI-KritisV, víte, jak vypadá regulace kybernetické bezpečnosti. Řešili jste audity BSI, hlášení incidentů a opatření IT bezpečnosti. Dobrá zpráva: vaše dosavadní práce není ztracena. Náročná zpráva: NIS2 zvyšuje laťku, rozšiřuje rozsah a přidává povinnosti, které dříve neexistovaly.
Pokud vaše společnost dříve KRITIS nebyla, je toto pravděpodobně vaše první setkání s povinnou regulací kybernetické bezpečnosti. NIS2, transponovaný do německého práva novelizovaným BSIG, přivádí zhruba 28 000 dalších společností do regulačního perimetru. Mnohé z těchto společností nikdy nehlásily incident státnímu úřadu, nikdy nebyly auditovány na IT bezpečnost a nikdy nepovažovaly kybernetickou bezpečnost za téma právního souladu.
| Aspekt | KRITIS (BSI-KritisV) | NIS2 / BSIG (nové) |
|---|---|---|
| Rozsah | Přibližně 2 000 provozovatelů kritické infrastruktury v 10 odvětvích, identifikovaných překročením konkrétních prahových hodnot (např. 500 000 obsluhovaných osob) | Přibližně 30 000 subjektů napříč 18 odvětvími, s použitím jednoduchého velikostního prahu: 50+ zaměstnanců nebo 10 mil. EUR+ ročního obratu. Zahrnuje kategorie 'základní' i 'důležité' |
| Model prahových hodnot | Odvětvově specifické kvantitativní prahy (např. 500 000 zásobovaných osob pro energetiku, 500 000 obyvatel pro vodu). Složité na výpočet, mnoho hraničních případů | Jednotná velikostní kritéria: střední podnik (50+ zaměstnanců nebo 10 mil. EUR+ obratu) napříč všemi odvětvími. Mnohem jednodušší na určení. Některá odvětví mají další kritéria bez ohledu na velikost |
| Registrace | Vlastní prohlášení BSI s volitelným ověřením. Pro většinu provozovatelů KRITIS zpočátku žádný formální registrační portál | Povinná registrace přes portál BSI podle § 33 BSIG. Nutno poskytnout údaje o subjektu, zařazení do odvětví, kontaktní osobu a rozsahy IP. Samostatné ustanovení o sankci za neregistraci |
| Hlášení incidentů | Významné incidenty hlášeny BSI bez přísné lhůty v dřívějších předpisech. Později zpřísněno, ale méně strukturované než NIS2 | Třístupňové povinné hlášení podle § 32 BSIG: včasné varování do 24 hodin, hlášení incidentu do 72 hodin, závěrečné hlášení do jednoho měsíce. Každý stupeň má definované požadavky na obsah |
| Sankce | Pokuty až 100 000 EUR za některá porušení. V praxi omezené vymáhání. Sankce zřídka uplatňovány veřejně | Pokuty až 10 mil. EUR nebo 2 % celosvětového ročního obratu pro základní subjekty, až 7 mil. EUR nebo 1,4 % pro důležité subjekty. Samostatné pokuty za porušení registrace a hlášení. Po vzoru sankční struktury GDPR |
| Odpovědnost vedení | Žádné konkrétní ustanovení o osobní odpovědnosti vedení. Uplatňovaly se obecné povinnosti podle práva obchodních společností | § 38 BSIG zavádí výslovnou osobní odpovědnost pro Geschäftsführung. Vedení musí schvalovat kybernetická opatření, absolvovat školení a může nést osobní odpovědnost za škody. Nelze vyloučit usnesením společníků |
| Požadavky na audit | Předkládání důkazů jednou za dva roky (§ 8a BSIG starý). Primárně vlastní audit s přezkumem předložených důkazů ze strany BSI | Základní subjekty: BSI může provádět proaktivní audity a kontroly na místě. Důležité subjekty: reaktivní dohled (audity vyvolané incidenty nebo důkazy o nesouladu). BSI má širší pravomoci k vymáhání včetně závazných pokynů |
| Bezpečnost dodavatelského řetězce | Podle starého režimu KRITIS nebyla konkrétním regulačním požadavkem. Společnosti řídily riziko dodavatelů podle vlastních podmínek | § 30 odst. 2 bod 4 BSIG nařizuje opatření bezpečnosti dodavatelského řetězce. Nutno posoudit kybernetickou bezpečnost dodavatelů, zahrnout bezpečnostní požadavky do smluv a sledovat úroveň dodavatelů po celou dobu vztahu. Platí pro všechny dotčené subjekty |
Nakládání s odpady
Sběr, zpracování a likvidace odpadu. Pokryto podle přílohy II NIS2. Zahrnuje komunální odpadové služby, zpracovatele nebezpečného odpadu a recyklační provozy. Většina odpadových společností se s regulací kybernetické bezpečnosti nikdy nesetkala.
Výroba a distribuce potravin
Výroba, zpracování a velkoobchodní distribuce potravin. Pokryto podle přílohy II NIS2. To přesahuje maloobchodní potravinový řetězec a zahrnuje výrobní zařízení, logistiku chladicího řetězce a systémy bezpečnosti potravin.
Výroba kritických produktů
Výroba zdravotnických prostředků, počítačů, elektroniky, optických produktů, elektrického zařízení, strojů, motorových vozidel a dalších dopravních prostředků. Pokryto podle přílohy II NIS2. Do této kategorie spadá značný počet německých společností Mittelstand.
Poštovní a kurýrní služby
Poskytovatelé poštovních služeb a kurýrní společnosti. Pokryto podle přílohy II NIS2. Zahrnuje služby doručování balíků, třídění pošty a logistické platformy podporující doručení poslední míle.
Výroba a distribuce chemikálií
Výroba, produkce a distribuce chemikálií. Pokryto podle přílohy II NIS2. Významně se překrývá se stávající bezpečnostní regulací (Störfallverordnung), ale přidává povinnosti specifické pro kybernetickou bezpečnost.
Výzkumné organizace
Výzkumné instituce, jejichž hlavním účelem je provádět aplikovaný výzkum nebo experimentální vývoj. Pokryto podle přílohy II NIS2. Zahrnuje ústavy Fraunhofer, centra Helmholtz a soukromé výzkumné organizace nad velikostním prahem.
Digitální infrastruktura a služby
Rozšířený rozsah pro digitální poskytovatele: poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, online tržiště, vyhledávače, sociální sítě a datová centra. Někteří byli částečně pokryti dříve. NIS2 definice významně rozšiřuje a vyjasňuje.
- BSI zůstává ústředním příslušným orgánem a vnitrostátním CSIRT pro Německo
- IT-Grundschutz zůstává doporučenou metodikou pro zavádění bezpečnostních opatření (§ 44 odst. 2 BSIG)
- Základní princip 'přiměřených a úměrných' opatření. Musíte zavést to, co je rozumné pro vaši velikost a rizikový profil, nikoli vše teoreticky možné
- Požadavek udržovat systém řízení bezpečnosti informací (ISMS) v nějaké formě, ať už formálně certifikovaný, nebo strukturovaný kolem Grundschutz
Často kladené dotazy
Už jsme byli KRITIS. Musíme stále dělat něco nového?
Ano. I když jste byli plně vyhovujícím provozovatelem KRITIS, NIS2 přidává nové povinnosti: povinnou registraci u BSI přes portál podle § 33 (pokud již nebyla provedena), přísnější lhůty pro hlášení incidentů (kaskáda 24h/72h/1 měsíc), výslovnou odpovědnost vedení podle § 38 a povinná opatření bezpečnosti dodavatelského řetězce. Vaše stávající bezpečnostní opatření pravděpodobně pokrývají většinu technických požadavků, ale regulační a správní povinnosti jsou nové.
Jaká jsou nová odvětví, která nebyla v KRITIS?
Sedm odvětví je nově v rozsahu podle NIS2, která nebyla pokryta starým režimem KRITIS: nakládání s odpady, výroba a distribuce potravin, výroba kritických produktů, poštovní a kurýrní služby, výroba a distribuce chemikálií, výzkumné organizace a rozšířená digitální infrastruktura a služby. Společnosti v těchto odvětvích se s povinnou regulací kybernetické bezpečnosti vypořádávají poprvé.
Je NIS2 jen KRITIS pod jiným názvem?
Ne. NIS2 je zásadně širší a hlubší regulační režim. KRITIS pokrýval přibližně 2 000 provozovatelů s vysokými prahy. NIS2 pokrývá přibližně 30 000 subjektů s mnohem nižšími prahy. NIS2 přidává osobní odpovědnost vedení, povinnou registraci, strukturované lhůty pro hlášení incidentů, povinnosti dodavatelského řetězce a výrazně vyšší sankce. Představte si KRITIS jako pilotní program. NIS2 je plné nasazení.
Jaký je největší praktický rozdíl pro společnosti?
Osobní odpovědnost vedení podle § 38 BSIG. Za KRITIS byla kybernetická bezpečnost problémem IT oddělení. Za NIS2 je Geschäftsführung osobně odpovědná za schvalování a dohled nad kybernetickými opatřeními, musí absolvovat kybernetické školení a může nést odpovědnost za škody plynoucí z nesouladu. Tuto odpovědnost nelze vyloučit, ani usnesením společníků. To mění kybernetickou bezpečnost z položky IT rozpočtu na otázku správy na úrovni vedení.
- Směrnice (EU) 2022/2555 - směrnice NIS2, příloha I a příloha II (definice odvětví)
- BSIG - § 28 (rozsah a definice subjektů), § 30 (kybernetická opatření), § 32 (hlášení incidentů), § 33 (registrace), § 38 (odpovědnost vedení), § 65 (sankce)
- BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (předchozí prahová regulace KRITIS)
- BSI - pokyny k rozsahu NIS2 a dokumentace zařazení do odvětví (2025)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit