Protokolování a monitoring NIS 2 podle čl. 21 odst. 2 písm. b)
Protokolování je vrstvou viditelnosti pro zvládání incidentů. Čl. 21 odst. 2 písm. b) je místo, kde tato povinnost žije. CIR § 3.2 jmenuje dvanáct typů událostí a provozní pravidla a Německo dává totéž pravidlo do § 30 odst. 2 bod 2 BSIG.
Stručná verze
Protokolování a monitoring nejsou podle NIS 2 samostatnou povinností. Spadají do opatření pro zvládání incidentů podle čl. 21 odst. 2 písm. b). Logika je jednoduchá: pokud nevidíte, co se děje ve vaší síti, nemůžete odhalit bezpečnostní incident a nemůžete ho zvládnout.
CIR (EU) 2024/2690 § 3.2 doplňuje podrobnosti. Jmenuje dvanáct typů událostí, které musíte protokolovat, stanoví pravidla pro alarmy a kvalifikovanou reakci, určuje vymezenou dobu uchovávání a žádá časově synchronizované systémy plus redundantní monitoring. To je minimum pro sektory jmenované v příloze CIR.
Německo dává totéž pravidlo do § 30 odst. 2 bod 2 BSIG. Praktickým základem je IT-Grundschutz OPS.1.1.5 'Protokollierung' a DER.1 'Detektion'. Tato stránka provede směrnicí, navazujícím nařízením EU a německou transpozicí v tomto pořadí.
Čl. 21 odst. 2 písm. b) směrnice NIS 2 (2022/2555)
Zvládání incidentů.
Toto je bod b) v seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý klíčový a důležitý subjekt. CIR § 3 ho pak uvádí do praxe. Protokolování a monitoring spadají do § 3.2.
CIR (EU) 2024/2690, příloha § 3.2.1
Dotčené subjekty stanoví postupy a použijí nástroje k monitorování a protokolování činností ve svých síťových a informačních systémech tak, aby bylo možné odhalit události, které lze považovat za bezpečnostní incidenty, a reagovat na ně za účelem omezení jejich dopadu.
Protože jde o nařízení (nikoli směrnici), je přímo závazným právem EU. § 3.2 se pak člení na sedm podbodů pokrývajících typy událostí k protokolování, výstrahy, uchovávání, synchronizaci času a redundanci. Žádná národní transpozice není potřeba.
§ 30 odst. 2 bod 2 BSIG (Německo)
Zvládání incidentů.
Německo kopíruje text EU slovo od slova. Praktické 'jak' přichází přes IT-Grundschutz: OPS.1.1.5 'Protokollierung' pro návrh protokolování a DER.1 'Detektion' pro stranu výstrah a reakce.
Protokolujte dvanáct typů událostí
Sestavte seznam proti svému inventáři aktiv. Kde je to vhodné, zachyťte: příchozí a odchozí síťový provoz, změny uživatelů a oprávnění, přístup k systémům a aplikacím, ověřovací události, veškerou privilegovanou a administrátorskou činnost, přístup ke kritické konfiguraci nebo záložním souborům, protokoly bezpečnostních nástrojů (AV, IDS, firewall), využití systémových zdrojů, fyzický přístup, využití síťových zařízení, aktivaci nebo pozastavení samotných protokolů a okolní události.
Přezkum, alarm, kvalifikovaná reakce
Sbírat protokoly nestačí. Kontrolujte je v pravidelné kadenci kvůli neobvyklým nebo nežádoucím trendům. Kde je to vhodné, nastavte prahy. Když je práh překročen, spusťte automatizovaný alarm. A zajistěte, aby skutečně včas zareagoval někdo kvalifikovaný. Ukládání bez přezkumu není protokolování podle § 3.2.
Chraňte, uchovávejte, synchronizujte čas, redundance
Samotné protokoly jsou důkazem. Uchovávejte je po vymezenou dobu, chraňte je před neoprávněným přístupem a změnami, synchronizujte čas všech systémů, aby šly události korelovat, a provozujte monitorovací systém redundantně. Monitoring monitorovacího systému je sám nezávislý na systémech, které sleduje.
Protokoly jsou aktivum, ne vedlejší produkt
§ 3.2.5 zachází s protokoly jako s kritickými daty. Vymezená doba uchovávání, ochrana před manipulací, ochrana před neoprávněným přístupem. Pokud útočník může smazat protokoly, které ukazují, co udělal, povinnost protokolování není splněna. Také proto § 3.2.3 písm. k) výslovně uvádí 'aktivaci, deaktivaci nebo pozastavení' protokolů jako událost, kterou musíte protokolovat.
Přezkum protokolů je povinnost, ne příjemný bonus
§ 3.2.4 chce pravidelné kontroly neobvyklých trendů, prahy tam, kde je to vhodné, automatizované alarmy při překročení prahu a včasnou kvalifikovanou reakci. SIEM, na který se nikdo nedívá, toto nesplňuje. Auditor se zeptá, kdo přezkoumal které výstrahy, kdy a co s tím udělal.
BSI / IT-Grundschutz OPS.1.1.5 + DER.1
BSI ukazuje na IT-Grundschutz jako na praktickou cestu. OPS.1.1.5 'Protokollierung' je místo, kde žije návrh protokolování (co protokolovat, uchovávání, ochrana). DER.1 'Detektion' pokrývá stranu výstrah a reakce (kadence přezkumu, pravidla SIEM, kvalifikované zpracování). Obojí dohromady odpovídá CIR § 3.2.
Technické prováděcí pokyny ENISA
TIG od ENISA dává konkrétní příklady důkazů pro § 3.2: šablony zásad protokolování, vzorové prahy výstrah, výchozí doby uchovávání a mapování na přílohu A ISO/IEC 27001:2022 (A.8.15 Protokolování, A.8.16 Monitorovací činnosti). Pokud už provozujete ISO 27001, většinu opatření znovu využijete.
Národní transpoziční zákony
Každý členský stát má vlastní transpozici (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost podle § 3.2 je stejná, protože CIR je přímo použitelný. Liší se: se kterým národním úřadem mluvíte a jak se místně provozují kanály hlášení a kadence auditů.
Uchováváme všechny protokoly navždy, takže jsme krytí.
§ 3.2.5 chce vymezenou dobu uchovávání, ne nekonečnou. Uchovávat vše navždy je problém ochrany údajů (čl. 5 odst. 1 písm. e) GDPR, omezení uložení) a problém nákladů. Rozhodněte o okně uchovávání pro každý typ protokolu, zapište ho, zdůvodněte ho oproti svému obrazu rizik a držte se ho.
SIEM to má, takže jsme v pořádku.
Blízko, ale ne úplně. § 3.2.4 nechce jen ukládání. Chce pravidelný přezkum, prahy tam, kde je to vhodné, automatizované alarmy při překročení a kvalifikovanou osobu, která skutečně reaguje. SIEM, který běží bez pravidel nebo s pravidly, která nikdo neladí, nesplňuje § 3.2.4.
Protokolujeme činnost uživatelů, ale ne činnost administrátorů.
§ 3.2.3 písm. e) je výslovný: veškerý privilegovaný přístup k systémům a aplikacím plus činnost administrátorských účtů. Administrátoři jsou uživatelé s nejvyšším dopadem ve vaší síti. Jejich neprotokolování je mezera, kterou auditor najde první.
Co vidíme v praxi: většina firem středního trhu má protokoly firewallu a protokoly Active Directory. Zřídka mají systematicky pokrytých všech dvanáct typů událostí podle § 3.2.3. Privilegovaný přístup, změny konfiguračních souborů a fyzický přístup jsou tři obvyklé mezery.
Nejlevnější náprava: sestavte seznam podle § 3.2.3 proti svému inventáři aktiv (RSK 2.2), nasměrujte vše na jedno místo (centrální úložiště protokolů nebo malý SIEM), nastavte prahy na vysoce hodnotné události a kontrolujte týdně. První den nepotřebujete spravované SOC. Potřebujete někoho, kdo se dívá na výstrahy a ví, co dělat.
Modul INC pokrývá strategii protokolování podle § 3.2: které typy událostí protokolujete, proti kterým aktivům a s jakým oknem uchovávání. Napíšete to jednou, odsouhlasíte to a stane se to vaší auditně připravenou zásadou protokolování.
Modul EFF pokrývá stranu přezkumu podle § 3.2.4: prahy alarmů, kadence přezkumu, důkazy o kvalifikované reakci. Odsouhlasení a auditní stopa ukáží auditorovi, že se někdo na výstrahy podíval a jednal podle nich. Žádná hromada tabulek. Žádný druhý nástroj.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 2 písm. b), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 3.2, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), § 30 odst. 2 bod 2 ve znění zákona o provádění NIS2 a posílení kybernetické bezpečnosti
- IT-Grundschutz Kompendium, OPS.1.1.5 'Protokollierung' a DER.1 'Detektion', bsi.bund.de/grundschutz
- Technické prováděcí pokyny ENISA pro CIR (EU) 2024/2690 (k květnu 2026)