Síť CSIRT a EU-CyCLONe podle článků 15 a 16
NIS 2 buduje dvě přeshraniční sítě spolupráce. Síť CSIRT řeší technickou reakci na incidenty mezi vnitrostátními CSIRT. EU-CyCLONe řeší politickou koordinaci, když kybernetická krize přesáhne jednu zemi. Obě mají jako sekretariát ENISA.
Stručná verze
NIS 2 dělá dvě věci najednou. Říká subjektům v působnosti, aby hlásily incidenty svému vnitrostátnímu CSIRT nebo příslušnému orgánu. Říká také členským státům, aby spolu mluvily, když incident překročí hranice nebo ohrožuje více než jednu zemi. Tu část o vzájemné komunikaci zřizují články 15 a 16.
Článek 15 vytváří síť CSIRT. Je to technická a operativní vrstva. Sedí na ní vnitrostátní CSIRT (v Německu: CERT-Bund v BSI) plus CERT-EU. Vyměňují si data o hrozbách, koordinují přeshraniční reakci na incidenty a sdílejí nástroje. Sekretariát vede ENISA.
Článek 16 vytváří EU-CyCLONe, evropskou styčnou organizační síť pro kybernetické krize. Je to politická vrstva. Sedí na ní orgány členských států pro řízení kybernetických krizí (v Německu: spolkové ministerstvo vnitra). Koordinují politickou reakci na rozsáhlé incidenty. Sekretariát vede rovněž ENISA. Stejná agentura, dvě vrstvy.
Článek 15 odst. 1 a článek 16 odst. 1 směrnice NIS 2 (2022/2555)
S cílem přispět k rozvoji důvěry mezi členskými státy a podpořit rychlou a účinnou operativní spolupráci se zřizuje síť vnitrostátních CSIRT. […] S cílem podpořit koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a zajistit pravidelnou výměnu relevantních informací mezi členskými státy a orgány, institucemi a jinými subjekty Unie se zřizuje evropská styčná organizační síť pro kybernetické krize (EU-CyCLONe).
Dva sousedící články. Dvě sítě. Článek 15 sedí na operativní úrovni. Článek 16 sedí na politické úrovni. Směrnice zřizuje oba subjekty přímo. K jejich existenci není potřeba žádné další právo EU.
Neuplatní se. Instituce na úrovni článku
Neexistuje žádné prováděcí nařízení, které by síť CSIRT nebo EU-CyCLONe dále upřesňovalo.
Na rozdíl od čl. 21 odst. 2 (který CIR rozpracovává) jsou články 15 a 16 samovykonatelné. Sítě zveřejnily vlastní jednací řády, ale to jsou pracovní dokumenty, nikoli právní předpisy EU. Pro subjekty v působnosti je důležité, kdo jsou jejich vnitrostátní protějšky, nikoli vnitřní provozní postupy sítí.
Vnitrostátní určení CSIRT podle čl. 10 NIS 2 + vnitrostátní orgán pro kybernetické krize
Německo: CERT-Bund (v BSI) je určeným vnitrostátním CSIRT v síti podle článku 15. Spolkové ministerstvo vnitra (BMI) zastupuje Německo v EU-CyCLONe.
Každý členský stát jmenuje vnitrostátní CSIRT podle článku 10 NIS 2 a jmenuje orgán odpovědný za řízení kybernetických krizí. Pro Německo BSIG potvrzuje BSI jako vnitrostátní orgán a CERT-Bund jako vnitrostátní CSIRT. Zástupcem na politické úrovni v EU-CyCLONe je BMI.
Síť CSIRT: operativní spolupráce
Síť vyměňuje informace o kapacitách CSIRT, sdílí nástroje a postupy, vyměňuje data o incidentech a hrozbách, koordinuje reakci na přeshraniční incidenty, podporuje členské státy u incidentů, které je postihují, a přispívá ke koordinovanému zveřejňování zranitelností podle článku 12. Technická práce mezi technickými týmy.
EU-CyCLONe: politická koordinace
EU-CyCLONe buduje připravenost na řízení rozsáhlých kybernetických bezpečnostních incidentů a krizí, vytváří sdílený obraz situace, posuzuje následky a navrhuje, jak je napravit, koordinuje politickou reakci a (na žádost členského státu) projednává vnitrostátní plány reakce na rozsáhlé incidenty. Politická práce mezi politickými zástupci.
Kdy operativní vrstva eskaluje na politickou vrstvu
Malé nebo rutinní přeshraniční incidenty zůstávají v síti CSIRT. Rozsáhlé incidenty, které vyžadují rozhodnutí na ministerské úrovni (meziodvětvový dopad, veřejná komunikace, prohlášení na úrovni EU), eskalují na EU-CyCLONe. Obě sítě jsou navrženy tak, aby si práci předávaly, s ENISA jako spojovacím sekretariátem.
Technické a politické jsou různé úkoly
Analytik CSIRT sdílející signatury malwaru přes hranice má jiný úkol než ministerský poradce informující kabinet o tom, zda přiřknout útok státnímu aktérovi. NIS 2 je drží v samostatných sítích záměrně. Míchání obou vrstev je způsob, jak zpomalit technickou reakci a vytěsnit politické rozhodování.
ENISA jako spojovací tkáň
ENISA vede sekretariát pro obě sítě. Stejná agentura, stejná budova, stejné situační povědomí. To je záměrná volba designu EU: udržet obě vrstvy spolupráce strukturálně oddělené, ale zajistit, aby sdílely společný operační obraz. Bez toho by politická vrstva reagovala na zastaralé informace.
CERT-Bund (BSI) + BMI
CERT-Bund v BSI je německým vnitrostátním CSIRT v síti podle článku 15. Spolkové ministerstvo vnitra (BMI) zastupuje Německo v EU-CyCLONe. Pro subjekt v působnosti je praktickým kontaktem BSI. Politická úroveň běží nad vaší hlavou, ale její rozhodnutí mohou formovat to, co vám BSI řekne dělat.
ENISA jako sekretariát pro obě sítě
ENISA, agentura EU pro kybernetickou bezpečnost, zajišťuje sekretariát pro síť CSIRT i pro EU-CyCLONe. Vytváří dokumenty s pokyny, které vznikají z obou sítí (scénáře reakce na incidenty, zprávy o hrozbách, zprávy ze cvičení). Tyto publikace se vracejí do vnitrostátních pokynů jako BSI Infopakete.
Vnitrostátní CSIRT + vnitrostátní orgány pro kybernetické krize
Každý členský stát jeden jmenuje. Nizozemsko: NCSC-NL v síti CSIRT, ministerstvo spravedlnosti a bezpečnosti v EU-CyCLONe. Rakousko: GovCERT Austria v síti, spolkový kancléřský úřad na politické úrovni. Struktura je v celé EU totožná; agentury se liší podle země.
Síť CSIRT řeší vše kybernetické na úrovni EU.
Neřeší. Síť CSIRT je operativní a technická vrstva. Rozsáhlé incidenty, které vyžadují politickou koordinaci (meziodvětvová komunikace, rozhodnutí o přiřčení, ministerské brífinky), eskalují na EU-CyCLONe. Dvě sítě, dvě vrstvy, záměrně.
EU-CyCLONe je regulátor, kterému hlásíme.
Není. EU-CyCLONe je koordinační orgán mezi orgány členských států. Nereguluje subjekty v působnosti. Nepřijímá hlášení incidentů. Hlášení podle článku 23 NIS 2 jde vašemu vnitrostátnímu CSIRT nebo příslušnému orgánu. EU-CyCLONe působí o úroveň výše, mezi vládami.
Hlášení incidentů podáváme síti CSIRT.
Nepodáváte. Článek 23 NIS 2 říká, že hlásíte svému vnitrostátnímu CSIRT nebo příslušnému orgánu. V Německu je to BSI. Vnitrostátní CSIRT pak sdílí relevantní informace se sítí CSIRT tam, kde je potřeba přeshraniční koordinace. Síť je protějškem vašeho CSIRT, ne vaším.
Pro Stadtwerk nebo IT operátora z Mittelstandu je praktickým kontaktním bodem váš vnitrostátní CSIRT. V Německu je to CERT-Bund v BSI. Hlásíte mu incidenty podle článku 23 NIS 2, čtete jeho upozornění, voláte mu, když něco hoří. Síť CSIRT a EU-CyCLONe běží za tímto rozhraním.
Proč na vás tyto sítě stále záleží: když udeří přeshraniční incident (představte si útok na dodavatelský řetězec postihující patnáct zemí naráz), je to koordinace na úrovni sítě CSIRT, díky které je reakce vašeho vnitrostátního CSIRT v souladu se zbytkem EU. A politická koordinace na úrovni EU-CyCLONe rozhoduje, zda reakce skončí u technického zadržení, nebo se stane veřejným prohlášením. Obojí formuje radu, kterou nakonec dostanete.
Modul incidentů směruje oznámení vašemu vnitrostátnímu CSIRT podle článku 23 (v Německu: BSI). Se sítí CSIRT ani s EU-CyCLONe přímo nekomunikujete; vnitrostátní CSIRT je vaším jediným protějškem pro hlášení incidentů. Platforma se postará o termíny (24 h včasné varování, 72 h oznámení, jednoměsíční závěrečná zpráva).
Naše referenční vrstva zpřístupňuje publikace a dokumenty s pokyny ENISA, které vycházejí z práce sítě CSIRT. Upozornění na hrozby, společné zprávy, zjištění ze cvičení: ty vstupují do toho, jak vykládáme 'vhodné a přiměřené' podle čl. 21 odst. 1. Nemusíte je sledovat sami.
- Směrnice (EU) 2022/2555 (NIS 2), články 15 a 16. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), článek 10 (určení CSIRT) a článek 23 (hlášení incidentů)
- Web ENISA o síti CSIRT a EU-CyCLONe. enisa.europa.eu
- Zákon o BSI (BSIG), CERT-Bund jako vnitrostátní CSIRT podle §5 BSIG
- Standardní operační postupy EU-CyCLONe (veřejně shrnuté ENISA)