Jak se připravit na audit BSI podle §64 a §65 BSIG
Článek 32 NIS 2 dává každému dohledovému orgánu pevnou sadu nástrojů. §64 BSIG ji kopíruje do německého práva. Tato stránka prochází čtyřstupňový žebříček důkazů, který BSI používá, plus to, na co musí být připraveny nezbytný subjekt, důležitý subjekt a provozovatel KRITIS.
Stručně
Audit BSI není jedna událost. Článek 32 NIS 2 uvádí pevnou sadu dohledových pravomocí pro nezbytné subjekty: kontroly na místě, cílené bezpečnostní audity nezávislým orgánem, audity ad hoc, kde je k tomu opodstatněný důvod, bezpečnostní skenování a písemné žádosti o informace a dokumenty. BSI po tomto žebříčku eskaluje.
§64 BSIG transponuje tyto pravomoci do německého práva jako Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung a technische Untersuchung. §61 BSIG stanoví okolní dohledové pravomoci. §65 BSIG je místo, kde žijí pokuty. Pokuty dosahují deseti milionů eur nebo dvou procent obratu skupiny u nezbytných subjektů a sedmi milionů nebo jednoho celého čtyř desetin procenta u důležitých subjektů, což zrcadlí článek 34 NIS 2.
Většina auditů krok na místě nikdy nedosáhne. Čistá dokumentace, řídící orgán, který za ni dokáže odpovídat, a písemný plán nápravy známých mezer ukončí audit v kroku jedna nebo dva. Tato stránka prochází žebříček, právní text za ním a tři pasti, které z papírového auditu udělají návštěvu na místě.
Článek 32 směrnice NIS 2 (2022/2555)
Členské státy zajistí, aby dohledová opatření uložená nezbytným subjektům pro účely této směrnice byla účinná, přiměřená a odrazující, s přihlédnutím k okolnostem každého jednotlivého případu. Při výkonu svých dohledových pravomocí ve vztahu k nezbytným subjektům mají příslušné orgány pravomoc tyto subjekty podrobit: a) kontrolám na místě a dohledu na dálku, včetně namátkových kontrol prováděných školenými odborníky; b) pravidelným a cíleným bezpečnostním auditům prováděným nezávislým orgánem nebo příslušným orgánem; c) auditům ad hoc, mimo jiné v případech odůvodněných na základě významného incidentu nebo porušení této směrnice nezbytným subjektem; d) bezpečnostnímu skenování na základě objektivních, nediskriminačních, spravedlivých a transparentních kritérií posouzení rizik, je-li to nezbytné ve spolupráci s dotčeným subjektem; e) žádostem o informace nezbytné k posouzení opatření k řízení kybernetických bezpečnostních rizik přijatých dotčeným subjektem.
Článek 32 stanoví sadu nástrojů ex ante pro nezbytné subjekty. Článek 33 ji zrcadlí pro důležité subjekty, ale jako dohled ex post, což znamená, že BSI může jednat pouze tehdy, má-li indicie o nesouladu. Článek 34 stanoví horní hranice pokut, které BSIG kopíruje.
Prováděcí nařízení Komise (EU) 2024/2690, příloha
Pro účely článku 21 odst. 2 směrnice (EU) 2022/2555 dotčené subjekty stanoví, zavedou a uplatňují politiku bezpečnosti sítí a informačních systémů [...] a rámec řízení rizik [...] zaměřený na rizika pro bezpečnost sítí a informačních systémů.
Příloha CIR je to, proti čemu auditor ve skutečnosti kontroluje. Vysvětluje, co musí obsahovat řízení rizik, bezpečnost dodavatelského řetězce, řešení incidentů, kontinuita provozu, školení, kryptografie, řízení přístupu a ostatní opatření podle článku 21 odst. 2. Směrnice dává BSI právo nahlédnout. Příloha CIR stanoví laťku.
§64 BSIG (Německo)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
§64 BSIG dává BSI tři operativní pravomoci: žádat o dokumenty, vstoupit do vašich kanceláří v obvyklé pracovní době, provést technickou kontrolu. §61 BSIG stanoví širší dohledový mandát. §65 BSIG stanoví pokuty, přičemž horní hranice z článku 34 jsou přeneseny přímo. Provozovatelé KRITIS nesou dodatečnou tříletou povinnost prokazování podle §29 BSIG.
Žádost o dokumentaci a procházka
Krok jedna je písemná Auskunfts- und Unterlagenanforderung podle §64 BSIG. BSI žádá o váš rámec řízení rizik, seznam aktiv, politiku řešení incidentů, záznamy o školení, opatření dodavatelského řetězce a doklady o školení vedení podle §38 BSIG. Krok dva je procházkový hovor: BSI žádá odpovědné role, aby vysvětlily, co je na papíře. Na tomto hovoru se obvykle očekává člen řídícího orgánu. Většina auditů se zde uzavírá.
Kontrola na místě
Pokud dokumentace chybí nebo procházka odhalí mezery, které BSI nedokáže sladit, §64 BSIG jim umožňuje vstoupit do vašich prostor v pracovní době a provést kontrolu. Budou chtít vidět, jak se politiky promítají do praxe: zálohy skutečně běží, řízení přístupu je skutečně vynucováno, příručky pro incidenty jsou skutečně známé. Článek 32 odst. 2 písm. c) jim umožňuje eskalovat ad hoc po významném incidentu, bez varování. Náprava nespočívá v dobrém výkonu v daný den. Spočívá v tom, nemít nic, co by procházka už nemohla ukázat.
Cílený bezpečnostní audit a technická kontrola
Článek 32 odst. 2 písm. b) umožňuje BSI nařídit pravidelný nebo cílený bezpečnostní audit nezávislým orgánem, na vaše náklady. §64 BSIG přidává technische Untersuchung: skeny, přezkumy konfigurace, analýzu logů. Článek 32 odst. 2 písm. d) jim umožňuje provádět bezpečnostní skenování vašeho perimetru podle objektivních a nediskriminačních kritérií. Tento krok je u důležitých subjektů vzácný, u nezbytných subjektů strukturálně dostupný a u provozovatelů KRITIS standardní cestou podle §29 BSIG (tříletý cyklus prokazování, Nachweis).
Datované a podepsané vítězí nad vyčerpávajícím
Auditor nechce dokonalou politiku. Chce politiku, která je datovaná, podepsaná jmenovaným vlastníkem, naposledy přezkoumaná v posledních dvanácti měsících a navázaná na verzi. Šestistránková politika s podpisem jednatele před dvěma měsíci má větší hodnotu než čtyřicetistránková politika, kterou nikdo nevlastní. Známé mezery s písemným plánem nápravy a cílovým datem jsou v pořádku. Neznámé mezery a nezdokumentovaná rozhodnutí nikoli.
Řídící orgán musí být v místnosti
Článek 20 NIS 2 činí řídící orgán odpovědným za schvalování opatření k řízení kybernetických bezpečnostních rizik a za dohled nad jejich zaváděním. §38 BSIG to transponuje s osobní odpovědností. Procházka BSI, při níž jednatel nedokáže odpovídat za rizikový obraz, je sama o sobě zjištěním. Nápravou není scénář. Je jím čtvrtletní přezkum, kterého se jednatel skutečně účastní.
Standardní audit BSI + prokazování KRITIS podle §29
U nezbytných a důležitých subjektů provozuje BSI žebříček podle §64 BSIG od žádosti o dokumentaci výše. U provozovatelů KRITIS (kritická infrastruktura podle §28 BSIG) §29 BSIG přidává tříletou povinnost prokazování (Nachweis): každé tři roky provozovatel předkládá důkaz (obvykle zprávu externího auditu), který prokazuje, že opatření podle §30 BSIG jsou zavedena. Prokazování podle §29 je řízeno kalendářem a nezávisí na tom, zda BSI zahájí audit.
ENISA + skupina pro spolupráci NIS
ENISA, agentura EU pro kybernetickou bezpečnost, vydává technické pokyny k implementaci (TIG), které mapují článek 21 NIS 2 na zavedené standardy jako ISO/IEC 27001:2022 a NIST CSF 2.0. Skupina pro spolupráci NIS podle článku 14 NIS 2 koordinuje praxi auditů napříč členskými státy. Pokud působíte v několika zemích, podstata, kterou auditoři kontrolují, je stejná. Mechanika (formuláře, kanály, lhůty) se liší.
Sektorové příslušné orgány
U některých sektorů (energetika, finance, telekomunikace) leží dohled částečně u sektorového regulátora (BNetzA, BaFin) namísto BSI nebo vedle něj. Směrnice to umožňuje a §61 BSIG pojmenovává rozdělení působnosti. Samotné pravomoci podle článku 32 se nemění. Mění se, který orgán se objeví u dveří.
Pokud máme politiky napsané, jsme připraveni.
Napsané politiky jsou krok jedna. Procházka v kroku dva je místo, kde se audit ve skutečnosti rozhoduje. Auditor žádá odpovědnou roli, aby vysvětlila, jak politika funguje v praxi. Pokud to role vysvětlit nedokáže, politika je papír a audit se přesouvá na místo podle §64 BSIG. Léčbou nejsou lepší politiky. Je jí to, že je odpovědná osoba skutečně používá a řídící orgán je skutečně přezkoumává.
Dokumentaci dáme do pořádku, jakmile dorazí dopis o auditu.
BSI obvykle stanoví lhůtu dvou až čtyř týdnů pro žádost o dokumentaci podle §64. Vybudovat registr rizik, inventář aktiv a politiku řešení incidentů od nuly v tomto okně není reálné. Navíc to vytváří nejhorší možný artefakt pro auditora: čerstvý dokument bez historie verzí, bez předchozích podpisů a bez sledovatelného použití. Dokumenty je třeba provozovat, nikoli vyrábět kvůli dopisu.
Odpovídáme jen za to, co provozujeme sami, ne za své dodavatele.
Článek 21 odst. 2 písm. d) NIS 2 a §30 odst. 2 bod 4 BSIG kladou bezpečnost dodavatelského řetězce na subjekt, nikoli na dodavatele. Odpověď typu černá skříňka jako „to řeší náš poskytovatel řízených služeb“ je zjištěním. Auditor bude žádat o smluvní ustanovení, posouzení rizika dodavatele a důkaz, že dodavatele kontrolujete. Provozovatelé KRITIS to čelí ostřeji: prokazování podle §29 pokrývá i řízené služby. Můžete outsourcovat provoz, nikoli odpovědnost.
Regionální dodavatel energie, se kterým pracujeme, je v působnosti jako provozovatel KRITIS podle §28 BSIG. Jeho poslední prokazování podle §29 bylo před osmnácti měsíci, další je za osmnáct. Přípravu provádějí průběžně: každé čtvrtletí CISO projde s jednatelem jedno opatření podle §30 BSIG, zachytí důkaz (verze politiky, podpis, poslední přezkum, otevřené položky nápravy) a uzavře jakoukoli mezeru před dalším čtvrtletím. Než auditor zaklepe, nevyrábí se nic kvůli návštěvě. Vše je datované.
Samotné prokazování podle §29 probíhá prostřednictvím externího auditora pověřeného provozovatelem. BSI audit neprovádí přímo: přijímá externí zprávu. Auditní zpráva označuje mezery jako „erhebliche Mängel“ (závažné nedostatky), „sonstige Mängel“ (ostatní nedostatky) nebo žádné. Závažné nedostatky spouštějí navazující povinnosti. Ostatní nedostatky přicházejí s plánem nápravy a cílovým datem. Dodavatel energie uzavře zhruba osmdesát procent auditních zjištění předtím, než zpráva jde k BSI, tím, že seznam mezer bere jako stálý program jednání na další dvě čtvrtletí.
Každý požadavek NIS 2 na platformě standardně produkuje tři věci: politiku s verzí a podpisem, opakující se přezkum s lhůtou a auditní stopu, která zaznamenává, kdo co a kdy udělal. Auskunfts- und Unterlagenanforderung podle §64 BSIG se stává exportem, nikoli psacím projektem. Předáváte zabalený balík důkazů (politiky, podpisy, seznam aktiv, registr rizik, záznam incidentů, záznamy o školení, seznam dodavatelů) namísto pročesávání souborů.
U provozovatelů KRITIS běží prokazování podle §29 na týchž datech. Externí auditor dostane pouze pro čtení náhled na tytéž artefakty, které společnost již provozuje. Žádný druhý nástroj, žádná paralelní hromada tabulek a žádný spěch v týdnu auditu. Smysl je strukturální: až přijde den dopisu o auditu, nepřipravujete se. Exportujete.
- Směrnice (EU) 2022/2555 (NIS 2), články 32, 33, 34. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), §29 (KRITIS Nachweis), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete „NIS 2 Pflichten“. bsi.bund.de/dok/nis-2-infopakete
- Technické pokyny k implementaci od ENISA pro CIR (EU) 2024/2690 (k květnu 2026)
- Referenční dokumenty skupiny pro spolupráci NIS k praxi dohledu. digital-strategy.ec.europa.eu