NIS2 a IT-Grundschutz
§44(2) BSIG poskytuje právní zkratku: zavedení IT-Grundschutz se v Německu uznává jako důkaz souladu s NIS2.
Právní řetězec
Německé firmy mají oproti svým evropským protějškům jedinečnou výhodu, pokud jde o soulad s NIS2. Zatímco firmy ve Francii, Itálii nebo Nizozemsku musí pracovat přímo se směrnicí NIS2 a prováděcím nařízením EU, německé firmy mohou využít IT-Grundschutz, zavedenou metodiku spravovanou BSI, která je v Německu standardem pro informační bezpečnost už přes 25 let.
§44(2) BSIG poskytuje právní zkratku: firmy, které zavedou IT-Grundschutz, mohou toto použít jako důkaz souladu s NIS2. Nejde o neformální doporučení. Je to zakotveno ve spolkovém zákoně o kybernetické bezpečnosti. BSI sám vyvíjí a spravuje jak rámec Grundschutz, tak režim vymáhání NIS2, čímž zajišťuje vzájemný soulad už ze své podstaty.
Tato stránka mapuje celý právní řetězec od směrnice EU NIS2 přes německou transpozici až po praktickou metodiku zavedení. Porozumění tomuto řetězci je zásadní pro každého, kdo má soulad na starosti: říká vám přesně, které požadavky odkud pocházejí, proč existují a jak je naplnit doloženými důkazy.
Směrnice NIS2
Směrnice EU 2022/2555, celounijní rámec kybernetické bezpečnosti
BSIG
Německý spolkový zákon o kybernetické bezpečnosti, transponuje NIS2 do německého práva
CIR 2024/2690
Prováděcí nařízení EU, definuje minimální technická opatření
IT-Grundschutz
Metodika BSI, zavedený německý rámec pro zavedení těchto opatření
§44(2) BSIG uvádí, že soulad s požadavky §30 BSIG lze prokázat zavedením uznávaných standardů, a výslovně označuje IT-Grundschutz jako takový standard. To znamená, že pokud zavedete Grundschutz podle metodiky BSI-200-1 až BSI-200-4, máte právně uznávaný základ pro tvrzení o souladu s NIS2. Není to propustka, která vás zbaví odpovědnosti (důkazy stále potřebujete), ale dává vám to jasnou metodiku schválenou BSI, kterou lze následovat.
V praxi to znamená, že nemusíte směrnici NIS2 ani CIR 2024/2690 vykládat od nuly. Grundschutz Kompendium už mapuje technické požadavky na konkrétní Bausteine (moduly) a Anforderungen (požadavky). Když BSI provádí audit vašeho souladu s NIS2, audituje proti metodice, kterou sám vytvořil, ne proti abstraktní směrnici EU. Tento soulad odstraňuje mezeru ve výkladu, která sužuje firmy v jiných členských státech EU.
Pro auditory BSI je zavedení Grundschutz známé prostředí. Grundschutz auditují už desítky let. To znamená efektivitu auditu: auditoři přesně vědí, jaké důkazy očekávat, terminologie je standardizovaná a metodika je dokumentovaná v němčině. Porovnejte to s obhajobou improvizovaného přístupu k souladu proti anglickému znění CIR. Praktická výhoda je značná.
CIR 2024/2690 (prováděcí nařízení Komise) bylo zveřejněno 17. října 2024 a stanovuje technické a metodické požadavky na soulad s NIS2 v celé EU. Platí přímo (bez nutnosti transpozice) a definuje minimální opatření, která musí zavést všechny základní a důležité subjekty. Toto je spodní hranice, nikoli strop.
CIR přímo zavazuje pouze 11 konkrétních typů digitálních subjektů: poskytovatele služeb DNS, registry názvů TLD, služby cloud computingu, poskytovatele datových center, sítě pro doručování obsahu, řízené služby, řízené bezpečnostní služby, online tržiště, internetové vyhledávače, platformy sociálních sítí a poskytovatele služeb vytvářejících důvěru. §30 BSIG však nezávisle ukládá stejných 10 opatření (čl. 21(2) NIS-2) všem sektorům spadajícím pod NIS2 v Německu, takže technický detail CIR se stává faktickou referencí i mimo svou přímou působnost.
Grundschutz Kompendium pokrývá každou oblast opatření v CIR a svými Bausteine jde dál. Tam, kde CIR stručně říká "zaveďte řízení přístupu", Grundschutz upřesňuje přesně jak, například prostřednictvím modulů jako ORP.4 (Identity and Access Management) s pokyny k zavedení krok za krokem. Proto §44(2) BSIG uznává Grundschutz: je nadmnožinou oblastí opatření CIR, ne jen jeho ekvivalentem.
Uznání ze strany BSI
IT-Grundschutz je v §44(2) BSIG výslovně označen jako uznávaný standard pro prokázání souladu s NIS2. Certifikace ISO 27001 může váš případ podpořit, ale v zákoně není konkrétně jmenována. Když je BSI zároveň autorem rámce i orgánem vymáhání, na souladu záleží.
Pokrytí požadavků
Grundschutz pokrývá každou oblast opatření CIR 2024/2690 prostřednictvím svých Bausteine v Kompendiu a jde preskriptivně dál. ISO 27001 pokrývá řízení informační bezpečnosti obecně, ale konkrétně neřeší všechna opatření §30 BSIG, zejména lhůty pro hlášení incidentů specifické pro NIS2 (§32 BSIG), požadavky na dodavatelský řetězec (§30(2)(4) BSIG) a povinnosti řídicího orgánu (§38 BSIG). Potřebovali byste ISO 27001 a navíc doplnění mezer.
Jazyk a metodika
Grundschutz vyvíjí BSI v němčině, pro německé organizace. Terminologie přesně odpovídá BSIG. ISO 27001 je mezinárodní standard zveřejněný v angličtině, s odlišnou terminologií a méně preskriptivní metodikou. Pro stočlennou německou firmu typu Mittelstand jsou konkrétní pokyny k zavedení v němčině podle Grundschutz výrazně praktičtější než abstraktní cíle opatření ISO 27001.
Výhoda při auditu
Když BSI provádí audit vašeho souladu s NIS2, předložení důkazů strukturovaných podle Grundschutz znamená, že auditor mluví vaším jazykem. Metodika, struktura dokumentace i očekávané důkazy jsou standardizované. To se promítá do rychlejších auditů, méně nedorozumění a jasnějších výsledků.
Soulad s BSI
BSI vydává Grundschutz Kompendium, vymáhá soulad s NIS2 a v rámci svých dozorových pravomocí může kontrolovat vaše zavedení (§61 BSIG); formální certifikaci provádějí auditoři akreditovaní BSI. Použití vlastní metodiky BSI zajišťuje, že váš výklad požadavků odpovídá výkladu regulátora. Žádná mezera ve výkladu: stejná organizace, která definuje pravidla, poskytuje i návod.
Právní jistota
§44(2) BSIG dává zavedení Grundschutz výslovné právní postavení jako důkaz souladu. To je nejsilnější dostupná právní pozice: následujete metodiku uznávanou samotným zákonem. Při zpochybnění můžete poukázat na konkrétní zákonné ustanovení, které váš přístup potvrzuje, ne jen na osvědčenou praxi oboru nebo názor konzultanta.