Hodnocení účinnosti podle článku 21(2)(f) NIS 2
Nestačí jen sepsat svá opatření kybernetické bezpečnosti. Článek 21(2)(f) říká, že musíte průběžně kontrolovat, zda skutečně fungují. CIR §7 z toho dělá pojmenované KPI, vlastníky a kadenci přezkumů.
Krátká verze
Hodnocení účinnosti je smyčka důkazu. Strávili jste rok nastavováním řízení rizik, řízení přístupu, kryptografie, přezkumů dodavatelů a zbytku. Článek 21(2)(f) klade další otázku: fungují opatření, která jste sepsali, skutečně? Doložená kontrola, kterou nikdo netestuje, není totéž co fungující kontrola.
CIR (EU) 2024/2690 §7 mění abstraktní povinnost na proces PDCA. Vyberete, co měřit. Vyberete jak a jak často. Pojmenujete vlastníka měření a vlastníka analýzy. Přezkoumáte výsledky. Po každém významném incidentu rámec aktualizujete.
Německo vkládá stejné pravidlo do národního práva prostřednictvím §30(2)(6) BSIG. Znění úzce sleduje směrnici. Tato stránka prochází směrnici, navazující nařízení EU a německou transpozici v tomto pořadí.
Článek 21(2)(f) směrnice NIS 2 (2022/2555)
Politiky a postupy k posuzování účinnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti.
Bod (f) na seznamu deseti opatření kybernetické bezpečnosti, která musí každý nezbytný a důležitý subjekt zavést. Směrnice neříká, jak často nebo s jakými KPI. To je ponecháno na CIR §7.
CIR (EU) 2024/2690, příloha §7
Pro účely čl. 21 odst. 2 písm. f) směrnice (EU) 2022/2555 dotčené subjekty stanoví, zavedou a uplatňují politiku a postupy k posouzení, zda jsou opatření k řízení rizik v oblasti kybernetické bezpečnosti účinně zavedena a udržována.
Přímo závazné právo EU pro odvětví uvedená v příloze CIR. §7 jmenuje šest věcí, které musí vaše politika pokrýt (co, jak, kdy, kdo měří, kdy se výsledky analyzují, kdo analyzuje). Vyžaduje také přezkum v plánovaných intervalech nebo po každém významném incidentu.
§30(2)(6) BSIG (Německo)
Politiky a postupy k posuzování účinnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti.
Německo kopíruje text EU téměř slovo od slova. BSI očekává, že při auditu ukážete na doložený koncept hodnocení, ne na nahodilou tabulku.
CO měříte
Pojmenujte opatření k řízení rizik kybernetické bezpečnosti, která sledujete. Počítají se postupy i kontroly. Nemusíte měřit vše. Musíte však vybrat sadu, sepsat ji a propojit ji s výsledky posouzení rizik a s vašimi předchozími významnými incidenty.
JAK a KDY měříte
Pro každé opatření pojmenujte metodu monitorování a měření, přístup k analýze a kadenci. Čtvrtletní metriky s ročním hloubkovým rozborem jsou běžným tvarem. Metoda musí poskytovat platné výsledky, takže „máme z toho pocit“ neprojde.
KDO je odpovědný
Dvě pojmenované role. Jedna osoba vlastní měření (vytahuje čísla, provádí test, exportuje log). Druhá osoba vlastní analýzu (čte data, posuzuje, zda kontrola funguje, eskaluje). Při malé velikosti Mittelstandu může obojí dělat stejná osoba, ale dokument je musí jmenovat.
Propojte účinnost s registrem rizik
CIR §7.2 říká, že politika musí zohledňovat výsledky posouzení rizik a předchozí významné incidenty. Volně plovoucí KPI se nepočítají. Pokud měříte shodu s opravami, ale vaše tři hlavní rizika jsou narušení u dodavatelů, phishing a expozice OT, vaše KPI míjejí podstatu. Vyberte KPI, která testují kontroly pokrývající vaše nejvyšší rizika.
Reportujte nahoru k řídícímu orgánu
Článek 20(1) NIS 2 ukládá řídícímu orgánu schvalovat opatření k řízení rizik kybernetické bezpečnosti a dozorovat jejich zavádění. Nemohou dozorovat to, co nevidí. Data o účinnosti se před ně musí periodicky dostat. Čtvrtletně je běžnou kadencí. Na formátu nezáleží, pokud je doložen.
BSI / IT-Grundschutz DER.1
BSI uvádí hodnocení účinnosti jako bod šest z deseti opatření článku 21(2). Vrstva IT-Grundschutz DER.1 „Detekce“ pokrývá operativní stránku monitorování (analýza logů, SIEM, detekce anomálií). Samotná DER.1 §7 nesplňuje, ale je jedním ze vstupů, na který bude váš koncept hodnocení odkazovat.
Technický prováděcí pokyn od ENISA
TIG od ENISA pro CIR (EU) 2024/2690 jmenuje důkazy, které auditoři podle §7 očekávají: doloženou politiku, seznam KPI s cíli a skutečnostmi, pojmenované vlastníky, zápisy z přezkumů, úkoly z analýzy. ENISA také mapuje §7 na kontroly ISO/IEC 27001:2022 9.1 (monitorování) a 5.36 (přezkum shody).
Národní transpoziční zákony
Každý členský stát má vlastní transpoziční zákon (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost je stejná, protože směrnice stanoví jeden standard pro celou EU. Co se liší: komu reportujete, jak vypadá auditní cyklus, který odvětvový regulátor má ve vaší zemi slovo.
Provádíme roční audit, to je naše hodnocení účinnosti.
Audit je kontrola v jednom okamžiku. CIR §7 žádá průběžné monitorování a měření plus periodickou analýzu. Audit je jedním vstupem, ne celou odpovědí. Pokud je vaším jediným důkazem účinnosti zpráva z auditu jednou ročně, nemáte koncept podle §7.
Máme SIEM, takže máme monitorování pokryté.
SIEM je jeden z nástrojů mezi vstupy, na které váš koncept hodnocení odkazuje. §7 se neptá „máte SIEM“. Ptá se „kterou kontrolu testujete, jaké KPI proti ní měříte, jaká cílová hodnota definuje účinnost“. Samotné dashboardy SIEM na to neodpovídají.
Náš CISO ví, zda opatření fungují.
CIR §7.2(d) a §7.2(f) žádají pojmenované vlastníky a doloženou analýzu. Kmenové znalosti v hlavě jedné osoby selhávají ve dvou bodech: žádná auditní stopa, žádná kontinuita, pokud tato osoba odejde. Koncept musí být sepsán, analýza zaznamenána a řídící orgán musí výsledky vidět.
Většina firem z Mittelstandu už měří dvě věci: dostupnost systému a shodu s opravami. Obojí jsou dobrá KPI, ale pokrývají jen dvě z deseti opatření článku 21(2). Článek 21(2)(f) od vás žádá více: počty incidentů proti cílům, průměrnou dobu do detekce, průměrnou dobu do reakce, míry dokončení školení, výsledky phishingových testů, míry dokončení přezkumů dodavatelů.
Co vidíme v praxi: vyberte šest až osm KPI, která se mapují na vaše hlavní rizika. Čtvrtletní výstup pro řídící orgán. Roční hloubkový rozbor, který přezkoumá výběr KPI proti aktualizovanému registru rizik. Po každém významném incidentu se spustí spouštěč podle §7.3 a vy přezkoumáte příslušná opatření bez ohledu na kalendář. To obstojí v rámci přiměřenosti podle čl. 21 odst. 1 pro provozovatele se 60 až 250 lidmi.
Koncept hodnocení podle §7 jsme do platformy zabudovali jako modul. Definujete KPI, propojíte každé z nich s opatřením k řízení rizik, které testuje, nastavíte kadenci měření a cílovou hodnotu a pojmenujete vlastníka měření a vlastníka analýzy. Platforma vlastníkovi připomene, kdy je další odečet na řadě.
Dashboard řídícího orgánu sloučí každé KPI do jednoho čtvrtletního pohledu, připraveného na dozorovou schůzku podle čl. 20 odst. 1. Po významném incidentu se spouštěč přezkumu podle §7.3 spustí automaticky: relevantní KPI vyplynou na povrch, dotčení vlastníci dostanou úkol, analýza získá odsouhlasení. Auditní stopa je ve výchozím nastavení úplná.
- Směrnice (EU) 2022/2555 (NIS 2), článek 21(2)(f). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §7. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), §30(2)(6) ve znění zákona o zavedení NIS2 a posílení kybernetické bezpečnosti
- BSI IT-Grundschutz, vrstva DER.1 „Detekce bezpečnostně relevantních událostí“. bsi.bund.de/grundschutz
- Technický prováděcí pokyn od ENISA pro CIR (EU) 2024/2690 (stav k květnu 2026)