EU 2024/2690

Průvodce implementací CIR 2024/2690

Prováděcí nařízení EU, které přesně určuje, jaká technická a metodická opatření musejí subjekty NIS2 zavést. Bylo zveřejněno v Úředním věstníku dne 17. října 2024 a je přímo použitelné ve všech členských státech.

Cory HiseyCory Hisey·Laufend geprüft

Co je CIR 2024/2690?

Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 bylo zveřejněno v Úředním věstníku Evropské unie (řada OJ L, 2024/2690). Stanoví pravidla pro uplatňování směrnice (EU) 2022/2555 (směrnice NIS2), pokud jde o technické a metodické požadavky na opatření k řízení kybernetických bezpečnostních rizik. Na rozdíl od samotné směrnice NIS2 toto nařízení nevyžaduje vnitrostátní transpozici. Platí přímo ve všech 27 členských státech ode dne svého vstupu v platnost.

CIR je odpovědí na otázku, kterou si klade každý compliance officer: 'Co přesně musíme zavést?' Zatímco §30 BSIG (německá transpozice) uvádí 10 oblastí opatření v obecné rovině, příloha CIR je rozkládá na konkrétní, auditovatelné technické a metodické požadavky. Jde o nejpodrobnější dostupnou oficiální specifikaci povinností NIS2. Je podrobnější než samotná směrnice, konkrétnější než BSIG a přímo vymahatelná.

Nařízení bylo vypracováno po konzultaci s ENISA a skupinou pro spolupráci NIS a vychází ze stávajících rámců včetně ISO/IEC 27001, ETSI EN 319 401 a vnitrostátních norem. Vztahuje se konkrétně na poskytovatele služeb DNS, registry názvů TLD, poskytovatele služeb cloud computingu, poskytovatele řízených služeb ICT, poskytovatele řízených bezpečnostních služeb, poskytovatele online tržišť, poskytovatele internetových vyhledávačů, poskytovatele platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru. Jeho technické požadavky však slouží jako faktické měřítko pro všechny subjekty NIS2.

Subjekty přímo zahrnuté
CIR ukládá povinné požadavky následujícím typům subjektů, jak jsou vymezeny v článku 1:

Poskytovatelé služeb DNS

Registry názvů TLD

Poskytovatelé služeb cloud computingu

Poskytovatelé řízení služeb ICT (řízené služby) a poskytovatelé řízených bezpečnostních služeb

Poskytovatelé online tržišť

Poskytovatelé platforem sociálních sítí

Poskytovatelé služeb vytvářejících důvěru

Struktura nařízení

CIR se skládá ze 7 článků vymezujících oblast působnosti, definice a požadavky, dále z podrobné přílohy obsahující technické a metodické specifikace.

Článek 2. Definice

Stanoví definice pojmů 'bezpečnost sítí a informačních systémů', 'významný incident' a dalších klíčových pojmů. Sjednocuje terminologii se směrnicí NIS2 a přidává přesnost specifickou pro implementaci.

Článek 3. Významnost incidentů

Vymezuje, kdy je incident 'významný', tedy prahovou hodnotu, která spouští ohlašovací povinnost. Incident je významný, pokud způsobí finanční ztrátu přesahující 500 000 EUR nebo 5 % ročního obratu, vede k úniku obchodního tajemství, způsobí smrt nebo značné poškození zdraví, nebo splňuje kritéria specifická pro daný subjekt vymezená v tomto článku.

Článek 4. Opakující se významné incidenty

Stanoví, že opakující se incidenty, které jednotlivě nedosahují prahu významnosti, mohou být sečteny a posuzovány jako jediný významný incident, pokud společně splňují kritéria v období šesti měsíců.

Článek 5. Významné incidenty pro registry DNS a TLD

Doplňuje specifická kritéria významnosti pro poskytovatele služeb DNS a registry TLD, včetně dostupnosti služby pod 99,9 % po jakoukoli dobu, chybné míry odpovědí DNS a narušení integrity nebo důvěrnosti uložených dat o registraci domén.

Článek 6. Technické a metodické požadavky

Klíčový článek. Vyžaduje, aby zahrnuté subjekty zavedly technické a metodické požadavky stanovené v příloze. Opatření musejí být 'vhodná a přiměřená' rizikům, s ohledem na velikost subjektu, jeho expozici, pravděpodobnost incidentů a dopad na společnost.

Článek 7. Vstup v platnost

Nařízení vstoupilo v platnost dvacátým dnem po jeho zveřejnění v Úředním věstníku (zveřejněno 17. října 2024). Platí přímo ve všech členských státech, aniž by vyžadovalo vnitrostátní transpozici.

10 oblastí opatření (příloha CIR)
Příloha organizuje technické a metodické požadavky do 10 oblastí, které odpovídají §30 odst. 2 BSIG. Každá oblast obsahuje podrobné dílčí požadavky s konkrétními implementačními kritérii.
1

Politika bezpečnosti sítí a informačních systémů

Vyžaduje zdokumentovanou bezpečnostní politiku schválenou vedením, přezkoumávanou alespoň jednou ročně a aktualizovanou po významných incidentech nebo změnách. Musí vymezit role, odpovědnosti a rámec pro všechna následná opatření. Musí zahrnovat politiku akceptace rizik a doklad o angažovanosti vedení.

2

Řízení rizik

Vyžaduje zdokumentovanou metodiku posuzování rizik, identifikaci rizik pokrývající všechna kritická aktiva a procesy, analýzu rizik s posouzením pravděpodobnosti a dopadu, ošetření rizik se zdokumentovanými rozhodnutími (akceptovat, zmírnit, přenést, vyhnout se) a akceptaci zbytkového rizika vedením. Musí být přezkoumáváno v plánovaných intervalech a po významných změnách.

3

Zvládání incidentů

Vyžaduje postupy detekce, klasifikace, reakce a obnovy po incidentech. Musí vymezit role a odpovědnosti pro zvládání incidentů, zřídit komunikační kanály, zahrnout poincidentní analýzu (získané poznatky) a vést záznamy o incidentech. Detekce musí zahrnovat monitorování anomálií a známých indikátorů kompromitace.

4

Kontinuita provozu a krizové řízení

Vyžaduje analýzu dopadů na provoz, plány kontinuity pro kritické služby, postupy zálohování a obnovy s ověřenou schopností obnovy a postupy krizového řízení. Integrita záloh musí být pravidelně ověřována. Cíle doby obnovy musejí být vymezeny a otestovány. Plány musejí být přezkoumány po incidentech nebo významných změnách.

5

Bezpečnost dodavatelského řetězce

Vyžaduje politiku bezpečnosti dodavatelského řetězce, posouzení postupů kybernetické bezpečnosti přímých dodavatelů, smluvní bezpečnostní požadavky na produkty a služby ICT a sledování bezpečnostní situace dodavatelů po celou dobu trvání smlouvy. Musí zohledňovat rizika specifická pro dodavatelský řetězec včetně těch, která vyplývají z vlastního dodavatelského řetězce dodavatele.

6

Bezpečnost při pořizování, vývoji a údržbě

Vyžaduje bezpečný životní cyklus vývoje u vlastního vývoje, bezpečnostní požadavky na pořizované produkty a služby ICT, řízení konfigurace, postupy řízení změn a bezpečnostní testování (včetně skenování zranitelností a penetračního testování, kde je to vhodné). Musí pokrývat celý životní cyklus od pořízení až po vyřazení z provozu.

7

Kryptografie

Vyžaduje politiku používání kryptografie, včetně výběru kryptografických algoritmů a délek klíčů odpovídajících klasifikaci dat, postupy správy klíčů (generování, distribuce, ukládání, obměna, odvolání, zničení) a pravidelné přezkoumávání kryptografických implementací oproti aktuálním osvědčeným postupům a známým zranitelnostem.

8

Řízení přístupu a správa aktiv

Vyžaduje politiku řízení přístupu založenou na obchodních a bezpečnostních požadavcích, správu identit s jedinečnou identifikací uživatelů, postupy přidělování a odebírání přístupu, správu privilegovaného přístupu a inventář aktiv pokrývající všechny komponenty sítí a informačních systémů. Přístupová práva musejí být přezkoumávána v plánovaných intervalech.

9

Vícefaktorové ověřování a zabezpečená komunikace

Vyžaduje vícefaktorové ověřování nebo průběžné ověřování pro přístup ke kritickým systémům a vzdálený přístup. Pro nouzové a záložní scénáře musejí být zřízeny zabezpečené komunikační kanály. Hlasová, video a textová komunikace používaná při reakci na incidenty musí být zabezpečena proti odposlechu.

10

Povědomí o kybernetické bezpečnosti a školení

Vyžaduje pravidelné programy zvyšování povědomí o kybernetické bezpečnosti pro všechny zaměstnance, školení specifická pro role u pracovníků s bezpečnostními odpovědnostmi a školení vedení v oblasti řízení kybernetické bezpečnosti. Školení musí pokrývat bezpečnostní politiky subjektu, běžné hrozby, postupy hlášení incidentů a konkrétní odpovědnosti dotčených pracovníků.

CIR, směrnice NIS2 a BSIG. Jak do sebe zapadají
Pochopení právní hierarchie je pro plánování compliance zásadní.

Směrnice NIS2 (EU) 2022/2555 je nadřazený právní předpis. Stanoví rámec, povinnosti a režim vymáhání na úrovni EU. Členské státy ji měly transponovat do vnitrostátního práva do 17. října 2024. Německou transpozicí je NIS2UmsuCG, který novelizuje BSIG. BSIG nyní obsahuje všechny povinnosti NIS2 v německém právu, včetně §30 (opatření kybernetické bezpečnosti) a §32 (hlášení incidentů).

CIR 2024/2690 je přímo použitelné nařízení EU. Nevyžaduje transpozici a má přednost před kolidujícími vnitrostátními ustanoveními. Tam, kde CIR stanoví technický požadavek, platí tento požadavek přímo bez ohledu na to, zda jej BSIG řeší. Pro typy subjektů uvedené v článku 1 je CIR primárním standardem compliance.

Pro subjekty, které NEJSOU přímo uvedeny v článku 1 CIR, ale přesto podléhají NIS2 (např. poskytovatelé energie, zdravotnictví, doprava), slouží CIR jako nejautoritativnější reference toho, jak vypadají 'vhodná a přiměřená' opatření. Očekává se, že německé soudy a BSI budou při posuzování, zda opatření společnosti splňují standard §30 BSIG, odkazovat na technické specifikace CIR, i když CIR tyto subjekty formálně nezavazuje.

Zdroje
  • Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024. Úřední věstník Evropské unie, OJ L 2024/2690
  • EUR-Lex. Úplné znění CIR 2024/2690 (CELEX: 32024R2690)
  • Směrnice (EU) 2022/2555 (směrnice NIS2). Úřední věstník Evropské unie
  • ENISA. Technické pokyny k implementačním opatřením NIS2 (2024)
  • secuvera GmbH. Analýza požadavků CIR 2024/2690 a mapování na ISO 27001 (2024)
  • BSIG. §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), ve znění NIS2UmsuCG
Zaveďte požadavky CIR systematicky
Platforma mapuje každý požadavek přílohy CIR na strukturované úkoly s nahráváním důkazů, sledováním termínů a schvalováním vedením. Z třicetistránkového nařízení tak vznikají proveditelné kroky compliance.
Začněte svůj proces compliance NIS2