Art. 21(2)(g) NIS 2 + CIR §8

Kybernetická hygiena a bezpečnostní školení NIS 2 podle čl. 21 odst. 2 písm. g)

Článek 21 odst. 2 písm. g) NIS 2 pokrývá vaši pracovní sílu. Článek 20 odst. 2 pokrývá váš řídicí orgán. Dvě samostatné povinnosti. §8 CIR (EU) 2024/2690 stanoví, co povinnost vůči pracovní síle vlastně znamená: program povědomí pro všechny, plus školení specifické pro role pro lidi v bezpečnostně relevantních rolích.

Simon OrzelSimon Orzel·

Stručná verze

Článek 21 odst. 2 písm. g) zařazuje kybernetickou hygienu a bezpečnostní školení na seznam deseti opatření kybernetické bezpečnosti, která musí mít zavedena každý základní a důležitý subjekt. Povinnost se vztahuje na všechny v subjektu, včetně řídicího orgánu a přímých dodavatelů.

§8 CIR (EU) 2024/2690 rozděluje povinnost na dvě části. §8.1 je povědomí: program, který zasáhne každého zaměstnance, opakuje se periodicky, je v souladu s vaší politikou bezpečnosti informací a vaším skutečným obrazem hrozeb, pokrývá hrozby, kontaktní místa a zdroje. §8.2 je školení specifické pro role: identifikujte zaměstnance v bezpečnostně relevantních rolích, vyškolte je v oblasti bezpečné konfigurace a provozu, známých hrozeb a toho, jak se chovat během bezpečnostně relevantní události.

Toto není stejná povinnost jako čl. 20 odst. 2. Článek 20 odst. 2 je školení pro samotný řídicí orgán, o kybernetických rizicích a manažerských praktikách. Článek 21 odst. 2 písm. g) je školení pro zbytek organizace. Potřebujete obojí. Auditoři kontrolují obojí.

Právní zdroj
Tři vrstvy poskládané na sebe. Směrnice (závazná pro každou zemi EU). Prováděcí nařízení (přímo použitelné právo EU pro sektory uvedené v příloze). Vnitrostátní transpozice (v Německu: BSIG).

Článek 21 odst. 2 písm. g) směrnice NIS 2 (2022/2555)

Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti.

Toto je bod g) na seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý základní a důležitý subjekt. Je to povinnost napříč celou pracovní silou, odlišná od školení řídicího orgánu podle čl. 20 odst. 2.

CIR (EU) 2024/2690, příloha §8

Pro účely čl. 21 odst. 2 písm. g) směrnice (EU) 2022/2555 dotčené subjekty zajistí, aby si jejich zaměstnanci, včetně členů řídicího orgánu a přímých dodavatelů, byli vědomi rizik, byli informováni o významu kybernetické bezpečnosti a uplatňovali postupy kybernetické hygieny.

Protože jde o nařízení (nikoli směrnici), je to přímo závazné právo EU. §8.1 stanoví program povědomí. §8.2 stanoví povinnost školení specifického pro role. Vztahuje se na poskytovatele DNS, registry TLD, poskytovatele cloudu a datových center, MSP, poskytovatele služeb vytvářejících důvěru a další sektory uvedené v jeho příloze.

§30 odst. 2 bod 7 BSIG (Německo)

Základní postupy v oblasti kybernetické hygieny a školení v oblasti kybernetické bezpečnosti.

Německo text EU přebírá doslova. Implementační cestou, na kterou BSI ukazuje, je IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit', který pokrývá jak stranu povědomí, tak stranu specifickou pro role.

Tři věci, které §8 CIR skutečně vyžaduje
§8 CIR 2024/2690 má dva oddíly, ale tři odlišné povinnosti, když je pečlivě přečtete. Povědomí pro všechny. Specifické pro role pro některé. Nástup plus periodická aktualizace.
§8.1

Program povědomí pro všechny

Program, který zasáhne každého zaměstnance, včetně řídicího orgánu a přímých dodavatelů. Opakuje se periodicky, ne jednorázově. Noví příchozí jsou zachyceni. Obsah je v souladu s vaší politikou bezpečnosti informací a vaším skutečným obrazem hrozeb. Pokrývá kybernetické hrozby, které se na vás skutečně vztahují, kontaktní místa, pokud něco vypadá špatně, a zdroje, které mohou zaměstnanci využít.

§8.2

Školení specifické pro role pro bezpečnostně relevantní role

Identifikujte, které role potřebují bezpečnostně relevantní dovednosti. Pak vyškolte tyto lidi ve třech věcech: jak konfigurovat a provozovat systémy, kterých se dotýkají (včetně mobilních zařízení), známé hrozby, které se vztahují na jejich práci, a jak se chovat během bezpečnostně relevantní události. Širší než IT: helpdesk, vývojáři, HR, finance mohou všichni splňovat.

§8.1 + §8.2

Noví příchozí a periodická aktualizace

Obě části §8 říkají, že program musí zasáhnout nové zaměstnance v bezpečnostně relevantních rolích a být pravidelně aktualizován. To znamená krok v nástupu uvnitř HR procesů, plus kadenci přezkumu samotného kurikula, aby obsah sledoval hrozby, kterým dnes skutečně čelíte, spíše než hrozby, kterým jste čelili před dvěma lety.

Dvě pravidla, která formují celou povinnost
Dvě výkladová pravidla protínají §8. Vysvětlují, proč jednotné video pro všechny neobstojí a proč stejný program nemůže sloužit každé roli.

Povědomí a specifické pro role jsou dva odlišné programy

§8.1 a §8.2 nejsou totéž jen přebalené. Povědomí jde ke všem. Specifické pro role jde k lidem, jejichž práce vytváří nebo řídí bezpečnostní expozici. Obsah je jiný, kadence je jiná, důkaz je jiný. Pokud má váš plán školení jen jeden program, jednu ze dvou povinností vám chybí.

Obsah školení odráží váš skutečný obraz rizik

§8.1 říká, že program povědomí musí být 'v souladu s politikou bezpečnosti informací a krajinou rizik' subjektu. Obecný obsah o phishingu určený pro banku se nehodí pro Stadtwerk nebo firmu v odpadovém hospodářství. Program musí sledovat hrozby, kterým skutečně čelíte, systémy, které skutečně provozujete, a kontaktní místa, na která mají zaměstnanci skutečně volat.

Jak to vnitrostátní regulátoři skutečně řídí
EU stanoví pravidlo. Každá země je transponuje. Podstata je stejná. Místní mechanika se trochu liší.
Německo

BSI / IT-Grundschutz Baustein ORP.3

Implementační cestou BSI pro §30 odst. 2 bod 7 BSIG je IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung'. ORP.3 pokrývá jak stranu povědomí (roční školení pro všechny zaměstnance), tak stranu specifickou pro role (hlubší moduly pro administrátory, vývojáře, helpdesk a manažery). Stanoví také konkrétní očekávání ohledně frekvence a žádá vás, abyste zdokumentovali kurikulum, účast a kadenci přezkumu.

Celá EU

Technické implementační pokyny ENISA

TIG ENISA pro CIR (EU) 2024/2690 mapuje §8 na ISO/IEC 27001:2022 (A.6.3, A.7.2.2 ve starém číslování), NIST CSF 2.0 (PR.AT) a ETSI EN 319 401. Pokud již provozujete bezpečnostní povědomí podle ISO 27001, TIG vám řekne, které stávající kontroly pokrývají §8 a kde je mezera.

Ostatní členské státy

Vnitrostátní transpoziční zákony

Každý členský stát povinnost transponuje (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Podstata je stejná, protože směrnice stanoví jeden celounijní standard. Liší se: jazyk dokumentace, ohlašovací kanály a který vnitrostátní orgán audituje záznamy o školení.

Tři pasti, na které narážíme pořád
Tři předpoklady, které se objevují v hovorech o přípravě na audit. Všechny tři zanechávají zdokumentovatelnou mezeru.

  • Absolvovali jsme kurz pro řídicí orgán, se školením NIS 2 jsme hotovi.

    Článek 20 odst. 2 a článek 21 odst. 2 písm. g) jsou dvě samostatné povinnosti. Kurz pro řídicí orgán pokrývá čl. 20 odst. 2. Váš program pro celou pracovní sílu pokrývá čl. 21 odst. 2 písm. g). Jeden nenahrazuje druhý. Auditor si vyžádá důkaz o obojím.

  • Provozujeme roční phishingovou simulaci, takže povědomí je pokryto.

    Phishingová simulace je jedna taktika, ne program. §8.1 CIR vyžaduje program, který pokrývá hrozby, jež se na vás vztahují, kontaktní místa pro hlášení obav a zdroje, které mohou zaměstnanci využít. Musí také zasáhnout nové příchozí a běžet periodicky. Jediná roční simulace tento test sama o sobě nesplňuje.

  • Školíme IT tým, to pokrývá povinnost specifickou pro role.

    §8.2 říká 'zaměstnanci, jejichž role vyžadují bezpečnostně relevantní dovednosti'. To je širší než IT. Pracovníci helpdesku, kteří resetují hesla, vývojáři, kteří píší kód, pracovníci HR, kteří řeší nástupy a odchody, pracovníci financí, kteří řeší schvalování plateb. Všichni mohou spadat do §8.2. Seznam rolí musí vyjít z vašeho skutečného obrazu rizik, ne z organizačního schématu.

Jak to skuteční operátoři z Mittelstandu opravdu dělají

Co vidíme v německém Mittelstandu: roční phishingová simulace plus bezpečnostní odstavec v nástupní prezentaci. To není §8. §8 chce písemný program, s cílovou skupinou na modul, frekvencí na modul a záznamem na učícího se o tom, co a kdy dokončil.

Podoba, která obstojí při auditu: jeden vzdělávací směr povědomí pro všechny (nástupní modul plus roční obnova, hrozby a kontaktní místa) a směr specifický pro role pro bezpečnostně relevantní role, které jste identifikovali (administrátoři, vývojáři, helpdesk, plus kterékoli obchodní role, které vaše analýza rizik označila). Zdokumentujte kurikulum, publikum, frekvenci, záznamy o dokončení a datum přezkumu samotného kurikula.

Jak to řešíme na platformě

Modul Školení (TRN) zachycuje program: každý kurz, jeho cílové publikum, jeho frekvenci a záznam o dokončení na učícího se. Kurikulum povědomí můžete přiřadit ke 'všem zaměstnancům' a moduly specifické pro role k rolím, které jste definovali. Auditní stopa je důkazem.

Strana povědomí §8.1 je naplněna kurzem pro CEO na platformě (čl. 20 odst. 2) plus vzdělávacím směrem povědomí pro všechny zaměstnance. Strana specifická pro role §8.2 je naplněna přidáním modulů specifických pro role a jejich přiřazením zaměstnancům, které vaše analýza rizik označí. Dokončení se zaznamenává automaticky. Cykly přeškolení plánuje modul.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 2 písm. g). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §8. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Zákon o BSI (BSIG), §30 odst. 2 bod 7 ve znění implementačního zákona NIS2 a posílení kybernetické bezpečnosti
  • BSI IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit'
  • Technické implementační pokyny ENISA pro CIR (EU) 2024/2690 (k květnu 2026)
Provozujte školení kybernetické hygieny bez tabulek
Povědomí pro všechny, specifické pro role pro ty, kdo to potřebují, záznamy o dokončení a kadence přezkumu na jedné platformě. Zdarma, open source, bez vázanosti na dodavatele.
Otevřít platformu zdarma