§30 BSIG: deset opatření kybernetické bezpečnosti
Krátká odpověď: §30 německého BSIG je národní transpozicí článku 21 NIS 2. Základní a důležité subjekty musí zavést deset opatření řízení rizik, od analýzy rizik přes zabezpečení dodavatelského řetězce po vícefaktorové ověřování. Zavedení musí být přiměřené velikosti, míře rizika a stavu techniky.
Co §30 BSIG vyžaduje
§30 BSIG stojí ve středu německého zavádění NIS 2. Ukládá základním a důležitým subjektům přijmout vhodná, přiměřená a účinná technická a organizační opatření k řízení rizik pro bezpečnost jejich informačních systémů, komponent a procesů.
Ustanovení transponuje článek 21(2) směrnice NIS 2 (směrnice (EU) 2022/2555) do německého práva. Podstata je celounijní a v každém členském státě totožná. Znění bylo přizpůsobeno německému legislativnímu stylu, ale deset opatření v §30(2) č. 1 až 10 BSIG odpovídá jedna ku jedné čl. 21(2)(a) až (j) NIS 2.
Povinnosti platí ode dne, kdy nabyl účinnosti NIS2UmsuCG. Zákon nestanovuje žádné přechodné období. Kdo spadá do působnosti, dluží opatření ode dne, kdy do působnosti vstoupí.
č. 1: Zásady analýzy rizik a bezpečnosti informačních systémů
Zásady analýzy rizik a bezpečnosti informačních systémů. Odpovídá článku 21(2)(a) NIS 2. Operacionalizováno v CIR (EU) 2024/2690 oddíl 2 pro digitální sektory v jeho příloze.
č. 2: Zvládání incidentů
Detekce, reakce, zamezení šíření, obnova a přezkum po incidentu. Odpovídá článku 21(2)(b) NIS 2. Propojuje se s ohlašovací povinností podle §32 BSIG.
č. 3: Kontinuita provozu
Správa záloh, obnova po havárii a krizové řízení. Odpovídá článku 21(2)(c) NIS 2. Patří sem i výpadek cloudu u vašeho poskytovatele.
č. 4: Zabezpečení dodavatelského řetězce
Zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů vztahů s přímými dodavateli a poskytovateli služeb. Odpovídá článku 21(2)(d) NIS 2. Tato povinnost se smluvně přenáší na každého přímého dodavatele.
č. 5: Bezpečnost při pořizování, vývoji a údržbě
Bezpečnostní opatření při pořizování, vývoji a údržbě informačních systémů, komponent a procesů, včetně zacházení se zranitelnostmi a jejich zveřejňování. Odpovídá článku 21(2)(e) NIS 2. Překrývá se s povinnostmi Cyber Resilience Act pro produkty s digitálními prvky.
č. 6: Posouzení účinnosti
Zásady a postupy pro posouzení účinnosti opatření řízení rizik. Odpovídá článku 21(2)(f) NIS 2. Toto je zpětnovazební smyčka: nejen zavést opatření, ale ověřit, zda fungují.
č. 7: Kybernetická hygiena a školení
Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti. Platí pro všechny zaměstnance, s rolově specifickým školením pro IT role. Školení řídicího orgánu je upraveno samostatně podle §38(3) BSIG.
č. 8: Kryptografie a šifrování
Zásady a postupy pro používání kryptografie a tam, kde je to vhodné, šifrování. Odpovídá článku 21(2)(h) NIS 2. "Tam, kde je to vhodné" umožňuje rozlišení podle rizika, ale vylučuje plošnou výjimku.
č. 9: Personální bezpečnost, řízení přístupu, správa aktiv
Personální bezpečnost, zásady řízení přístupu a správa aktiv. Odpovídá článku 21(2)(i) NIS 2. Pokrývá nástup a odchod zaměstnanců, přidělování přístupu podle zásady need-to-know a inventář aktiv.
č. 10: Vícefaktorové ověřování a zabezpečená komunikace
Řešení vícefaktorového nebo nepřetržitého ověřování, zabezpečená hlasová, video a textová komunikace a tam, kde je to vhodné, zabezpečené systémy nouzové komunikace uvnitř subjektu. Odpovídá článku 21(2)(j) NIS 2.
§30(1) věta 2 BSIG vyžaduje, aby opatření byla zvolena s ohledem na stav techniky, příslušné evropské a mezinárodní standardy a náklady na zavedení. Zohledňuje se velikost, míra rizika a pravděpodobnost incidentů.
Proporcionalita není licencí k vynechání opatření. BSI ve svých pokynech k §38(3) BSIG jasně uvedl, že plošný přenos rizika na kybernetické pojištění nebo poskytovatele služeb je vyloučen. Přiměřené znamená: ne každé opatření v maximální hloubce, ale přizpůsobené konkrétní situaci a doložené písemně.
Článek 21(2) NIS 2 je základ na úrovni EU. Deset písmen (a) až (j) je závazných. Znění bylo ponecháno otevřené, aby je členské státy mohly začlenit do národních dozorových struktur. §30 BSIG přebírá deset opatření jako č. 1 až 10 bez věcné odchylky.
Pro poskytovatele DNS, registry TLD, poskytovatele cloudu, datová centra, sítě pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, online tržiště, internetové vyhledávače, platformy sociálních sítí a poskytovatele služeb vytvářejících důvěru operacionalizuje deset opatření ve své příloze prováděcí nařízení Komise EU 2024/2690. Nařízení platí přímo, bez národní transpozice. Pro tyto sektory leží na stole jak §30 BSIG, tak CIR.
§30 BSIG platí pro základní subjekty podle §28(6) BSIG a důležité subjekty podle §28(7) BSIG. Sektory jsou uvedeny v příloze 1 a příloze 2 směrnice NIS 2. Práh velikosti je alespoň 50 zaměstnanců nebo 10 milionů eur ročního obratu, se zvláštními pravidly pro KRITIS a pro sektory, které platí bez ohledu na velikost.
Pokud si nejste jisti, začněte testem působnosti podle článku 2 NIS 2. Dodavatelé regulovaných subjektů přicházejí do styku s §30 také prostřednictvím č. 4 (dodavatelský řetězec): povinnosti se smluvně přenášejí na přímé dodavatele.
Porušení povinnosti zavést opatření podle §30 BSIG s sebou nese správní pokuty podle §65 BSIG. Pro základní subjekty je maximum 10 milionů eur nebo 2 procenta celosvětového obratu za předchozí rok, podle toho, co je vyšší. Pro důležité subjekty je maximum 7 milionů eur nebo 1,4 procenta.
§38 BSIG navíc zakládá osobní odpovědnost řídicího orgánu za porušení povinnosti schválit opatření podle §30 a dohlížet na jejich zavedení. Odpovědnost nezávisí na tom, zda skutečně došlo ke škodě.
Časté dotazy k §30 BSIG
Je §30 BSIG totéž co článek 21 NIS 2?
Co do podstaty ano. §30 BSIG je německá transpozice článku 21 NIS 2. Deset opatření v §30(2) č. 1 až 10 BSIG odpovídá jedna ku jedné čl. 21(2)(a) až (j) NIS 2. Pro celounijní práci citujte jako primární zdroj článek 21 NIS 2 a §30 BSIG uvádějte jako německou transpozici.
Musím zavést všech deset opatření?
Ano. Deset opatření není volitelných. Volba probíhá uvnitř každého opatření prostřednictvím proporcionality. Vynechání celého opatření není povoleno. Hloubku zavedení lze přizpůsobit velikosti, míře rizika a stavu techniky, ale vypuštění celého čísla ne.
Co znamená proporcionalita v praxi?
Proporcionalita podle §30(1) věty 2 BSIG znamená: opatření odpovídají velikosti, míře rizika, pravděpodobnosti a závažnosti incidentů a nákladům na zavedení. Rozhodnutí musí být doloženo písemně. Plošný přenos rizika na kybernetické pojištění nebo poskytovatele služeb BSI neuznává jako přiměřené zavedení.
Jak doložím zavedení vůči BSI?
Prostřednictvím dokumentace. Pro každé z deseti opatření zaznamenejte písemně zvolené zavedení, zdůvodnění hloubky a posouzení účinnosti. Audit BSI podle §61 nebo §62 BSIG zkoumá tyto záznamy, ne ústní vysvětlení. Strukturované sebehodnocení napříč všemi deseti opatřeními je nejrychlejší výchozí bod.
Jaký je rozdíl mezi §30 BSIG a IT-Grundschutz?
§30 BSIG je povinnost. IT-Grundschutz je jedna konkrétní metodika, která tuto povinnost naplňuje. §44(2) BSIG označuje IT-Grundschutz za dostatečné zavedení. Stejně dobře jsou možné i jiné standardy, jako je ISO 27001, ale důkazy zůstávají vázány na deset opatření podle §30 BSIG, ne na strukturu zvoleného standardu.