Art. 21(2)(i)+(j) NIS 2 + CIR §11

Řízení přístupu podle NIS 2 podle článku 21 odst. 2 písm. i) + j)

Článek 21 odst. 2 písm. i) jmenuje zásady řízení přístupu. Článek 21 odst. 2 písm. j) jmenuje vícefaktorové ověřování. CIR §11 je pokrývá společně v sedmi pododdílech. Tato stránka prochází širší povinnosti zásad, privilegovaných účtů a identity. Vyhrazená stránka o MFA pokrývá §11.7.

Simon OrzelSimon Orzel·

Stručně

Řízení přístupu sedí v bodech i) a j) článku 21 odst. 2. Bod i) jmenuje "bezpečnost lidských zdrojů, zásady řízení přístupu a správu aktiv". Bod j) jmenuje "používání vícefaktorového ověřování nebo řešení kontinuálního ověřování, zabezpečenou hlasovou, video a textovou komunikaci". Obojí platí pro každý základní a důležitý subjekt v celé EU.

CIR (EU) 2024/2690 §11 pokrývá obě písmena společně, pod nadpisem "Řízení přístupu (čl. 21 odst. 2 body i) a j) směrnice (EU) 2022/2555)". Rozděluje povinnost do sedmi pododdílů: samotné zásady, správa práv, privilegované účty, systémy správy systémů, identifikace, ověřování a vícefaktorové ověřování. Tato stránka prochází §11.1 až §11.6. Konkrétně k §11.7 viz vyhrazená stránka o MFA.

Německo zakotvuje povinnost zásad do §30 odst. 2 bodu 9 BSIG a povinnost MFA do §30 odst. 2 bodu 10 BSIG. Německým základem pro zavedení je IT-Grundschutz ORP.4 "Identitäts- und Berechtigungsmanagement".

Právní zdroj
Tři vrstvy, ale úroveň směrnice se dělí na dvě písmena. Článek 21 odst. 2 písm. i) pro zásady řízení přístupu (s personální bezpečností a správou aktiv). Článek 21 odst. 2 písm. j) pro MFA a zabezpečenou komunikaci. CIR §11 pak pokrývá obě písmena společně. BSIG je na národní úrovni opět rozděluje.

info.accessControl.legalAnchor.directiveI.label

info.accessControl.legalAnchor.directiveI.quote

info.accessControl.legalAnchor.directiveI.context

info.accessControl.legalAnchor.directiveJ.label

info.accessControl.legalAnchor.directiveJ.quote

info.accessControl.legalAnchor.directiveJ.context

CIR (EU) 2024/2690, příloha §11

Řízení přístupu (čl. 21 odst. 2 body i) a j) směrnice (EU) 2022/2555).

CIR §11 má sedm pododdílů: §11.1 zásady řízení přístupu, §11.2 správa přístupových práv, §11.3 privilegované účty a účty správy systémů, §11.4 systémy správy systémů, §11.5 identifikace, §11.6 ověřování, §11.7 vícefaktorové ověřování. Toto nařízení váže přímo poskytovatele DNS, cloud, datová centra, poskytovatele řízených služeb a další odvětví uvedená v příloze.

§30 odst. 2 body 9 a 10 BSIG (Německo)

Konzepte für die Zugriffskontrolle und für das Management von Anlagen. […] Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.

Německo rozděluje body i) + j) EU do dvou čísel BSIG. §30 odst. 2 bod 9 nese řízení přístupu a správu aktiv. §30 odst. 2 bod 10 nese MFA a zabezpečenou komunikaci. Podstata je stejné pravidlo EU.

Tři věci, které CIR §11 skutečně vyžaduje (kromě §11.7 MFA)
CIR §11 rozděluje řízení přístupu do sedmi pododdílů. Pododdíly §11.1 až §11.6 pokrývají zásady, registr práv, privilegované účty a vrstvu identity. §11.7 (MFA) má vlastní stránku. Zde jsou tři bloky, do kterých ostatních šest pododdílů spadá.
§11.1 + §11.2

Zásady a správa práv

Sepište, jak funguje přístup (logický a fyzický) pro personál, návštěvy, poskytovatele a poskytovatele služeb. Udělujte, měňte a odebírejte práva na základě obchodní potřeby: need-to-know, need-to-use, oddělení povinností. Každé právo je přiřazeno jmenované osobě. Odebrání běží při změně zaměstnání, nikoli v týdenním cyklu. Přístup třetích stran (návštěvy, poskytovatelé) se sleduje.

§11.3 + §11.4

Privilegované a administrátorské účty

Administrátorské účty dostávají silnou identifikaci, ověřování a autorizaci. Pouze vyhrazené administrátorské účty, používané výhradně k instalaci, konfiguraci, správě a údržbě. Administrátorská práva jsou nastavena individuálně a omezena. Systémy správy systémů sedí na vlastní logické síti, oddělené od aplikačních sítí, přístupné přes ověřování a šifrování.

§11.5 + §11.6

Identita a ověřování

Životní cyklus identity: jedinečné identifikátory, každý identifikátor navázaný na jednu osobu, monitorování a protokolování po celý životní cyklus. Postupy ověřování odpovídají zásadám řízení přístupu: síla hesla škálovaná podle klasifikace aktiv, postupy změny, zablokování po neúspěšných pokusech, časové limity relací, samostatné přihlašovací údaje pro privilegované účty.

Dvě pravidla, která utvářejí vše ostatní
Každým pododdílem CIR §11 se táhnou dva principy. Oba rozhodují, jak auditor čte to, co jste skutečně vybudovali.

Need-to-know, need-to-use, oddělení povinností

CIR §11.2 jmenuje všechny tři. Need-to-know: data dostanou jen lidé, kteří je potřebují. Need-to-use: práva odpovídají úkolu, nikoli titulu. Oddělení povinností: žádná jediná osoba by neměla být schopna udělit, použít a auditovat stejné právo. Pokud jsou vaše skupiny v AD "IT" a "všichni ostatní", nezavedli jste ani jedno z těch tří.

Privilegovaný není jen běžný s více právy

CIR §11.3 a §11.4 zvyšují laťku konkrétně pro administrátorské účty. Silná identifikace. MFA jmenované v samotném §11.3, nikoli jen v §11.7. Vyhrazené účty používané pouze pro administrátorskou práci. Systémy správy systémů na vlastní síti. Smysl: kompromitovaný administrátorský účet kompromituje vše, takže administrátorské účty dostávají vlastní režim.

Jak to národní regulátoři skutečně řídí
EU stanoví pravidlo. Každá země ho transponuje. Podstata je stejná. Místní mechanika se trochu liší.
Německo

BSI / IT-Grundschutz ORP.4

Německým základem je modul IT-Grundschutz ORP.4 "Identitäts- und Berechtigungsmanagement". ORP.4 pokrývá životní cyklus identity, práva založená na rolích, oddělení privilegovaných účtů, pravidla hesel a rytmus přezkumu. Podle §44 odst. 2 BSIG je zavedení Grundschutz výslovně uznáváno jako splnění povinností NIS 2 v Německu.

Celá EU

Technické prováděcí pokyny ENISA

Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690 procházejí každý pododdíl §11 v provozním jazyce a mapují ho na ISO/IEC 27001:2022 (A.5.15 až A.5.18, A.8.2 až A.8.5) a NIST CSF 2.0 (PR.AA). Stávající zavedení řízení přístupu podle ISO 27001 pokrývá většinu §11 už teď.

Ostatní členské státy

Národní transpoziční zákony

Každý členský stát transponuje článek 21 odst. 2 písm. i) a j) do vlastního zákona (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnosti jsou identické, protože směrnice stanoví jeden standard pro celou EU. Co se liší: na který základní standard národní regulátor ukazuje.

Tři pasti, které vidíme pořád
Tři předpoklady, které se objevují téměř na každém přezkumu řízení přístupu v Mittelstandu. Všechny tři vytvářejí mezery, které auditor najde.

  • Máme skupiny v AD, takže máme řízení přístupu.

    Začátek, nikoli konec. CIR §11.2 chce zdokumentované zásady přístupových práv, práva přiřazená jmenovaným osobám, postup odebrání navázaný na změnu zaměstnání a auditní protokol udělení a odebrání. Skupiny v AD vám dají mechanismus. Nedají vám zásady, registr jmenovaných osob ani postup nástupů, přesunů a odchodů, na který se auditor zeptá.

  • Naši administrátoři používají na administrátorskou práci svůj běžný účet, se sudo nebo "spustit jako správce".

    Ne podle CIR §11.3.2. Text vyžaduje "vyhrazené administrátorské účty" používané pouze k instalaci, konfiguraci, správě a údržbě. Běžný účet administrátora je na e-mail, kalendář a Excel. Samostatný administrátorský účet, s vlastním MFA, je na privilegovanou práci. Smíchání obou znamená, že phishingový e-mail může kompromitovat administrátorskou roli.

  • Přístupová práva synchronizujeme každé pondělí ráno.

    Blízko, ale ne to, co §11.2 žádá. Povinnost odebrání se spouští při změně zaměstnání, nikoli v kalendářním cyklu. Kdo odešel v úterý, neměl by mít přístup ve středu. U změn rolí uvnitř firmy, zejména privilegovaných, by změna měla být okamžitá. Týdenní rytmus je v pořádku pro auditní přezkum, nikoli pro samotné odebrání.

Jak to skuteční provozovatelé v Mittelstandu opravdu dělají

Typické nastavení v Mittelstandu s 50 až 250 zaměstnanci: Active Directory nebo Entra ID pro identity, skupiny v AD pro přístup k aplikacím, HR systém, který vystavuje IT onboardingové tikety. Mechanismus je většinou na místě. Mezery §11 žijí na třech místech.

Co vidíme, že praktici zachytí jako první: písemné zásady přístupových práv (většina má návrh, málokdo má aktuální podepsanou verzi), vyhrazené administrátorské účty (většina administrátorů stále používá sudo na svém každodenním účtu) a postup nástupů, přesunů a odchodů, který je jen na IT, místo aby ho řídilo HR (takže účet externisty přetrvává, protože HR nikdy IT neřeklo, že odešel). Náprava těch tří uzavře většinu mezery §11.

Jak to řešíme na platformě

Náš modul ACC pokrývá §11.1 (nahrajete nebo sepíšete zásady řízení přístupu a vedoucí orgán je schválí), §11.2 (registr práv navázaný na jmenované uživatele), §11.3 (soupis privilegovaných účtů se samostatným důkazem ověřování) a §11.5 plus §11.6 (protokol zdroje identity navázaný na váš IdP). Oddělení systému správy systémů podle §11.4 je zdokumentováno jako architektonické rozhodnutí s důkazy.

Konkrétně k části MFA podle §11.7 viz vyhrazená stránka o MFA a její tok důkazů. Auditní stopa, kterou platforma vede automaticky (schválení, stav úkolů, protokol změn), pokrývá to, co chce auditor vidět k rytmu přezkumu a k rozhodnutí vedení.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 21 odst. 2 písm. i) a j). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §11. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Zákon o BSI (BSIG), §30 odst. 2 bod 9 a §30 odst. 2 bod 10 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
  • IT-Grundschutz Kompendium, modul ORP.4 "Identitäts- und Berechtigungsmanagement". bsi.bund.de/grundschutz
  • Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690 (k květnu 2026)
Řiďte přístup bez hromady tabulek
Zásady, registr práv, privilegované účty a protokol identity na jedné platformě. Zdarma, open source, žádný lock-in.
Otevřít platformu zdarma