Bezpečnost personálu podle NIS 2 podle čl. 21 odst. 2 písm. i)
Lidé jsou součástí bezpečnostní hranice. Čl. 21 odst. 2 písm. i) NIS 2 jmenuje bezpečnost personálu, řízení přístupu a správu aktiv jedním dechem. § 10 CIR (EU) 2024/2690 rozepisuje čtyři personální části. V Německu nese tutéž povinnost § 30 odst. 2 bod 9 BSIG.
Stručná verze
Většina narušení začíná u člověka. Čl. 21 odst. 2 písm. i) staví bezpečnost personálu na seznam deseti kybernetických povinností. Text spojuje tři věci dohromady: bezpečnost personálu, řízení přístupu a správu aktiv. Jsou propojeny, protože role rozhoduje o tom, jaký přístup člověk potřebuje a kterých aktiv se může dotknout.
§ 10 CIR (EU) 2024/2690 bere personální polovinu a rozděluje ji do čtyř částí. Ujistěte se, že lidé rozumějí své roli (§ 10.1). Prověřujte spolehlivost tam, kde to dává smysl (§ 10.2). Řešte odchody a změny rolí čistě (§ 10.3). Mějte disciplinární postup pro porušení (§ 10.4). Ne měkké HR. Provozní bezpečnost.
Německo transponuje celé čl. 21 odst. 2 písm. i) prostřednictvím § 30 odst. 2 bodu 9 BSIG, který uvádí bezpečnost personálu, řízení přístupu a správu aktiv pohromadě. Stejné znění. Stejná povinnost. Tato stránka prochází v tomto pořadí směrnici, navazující nařízení EU a německou transpozici.
Čl. 21 odst. 2 písm. i) směrnice NIS 2 (2022/2555)
Bezpečnost lidských zdrojů, zásady řízení přístupu a správa aktiv.
Bod i) na seznamu deseti kybernetických opatření, která musí každý základní a důležitý subjekt zavést. Tři povinnosti vtěsnané do jednoho odstavce, protože fungují jen společně.
CIR (EU) 2024/2690, příloha § 10
Bezpečnost lidských zdrojů (čl. 21 odst. 2 písm. i) směrnice (EU) 2022/2555).
§ 10 CIR rozděluje personální polovinu do čtyř pododdílů. § 10.1 role a nábor, § 10.2 prověrky spolehlivosti, § 10.3 ukončení a změny rolí, § 10.4 disciplinární postup. Přímo závazné právo EU pro poskytovatele DNS, poskytovatele cloudu a datových center, MSP, poskytovatele služeb vytvářejících důvěru a další odvětví uvedená v příloze.
§ 30 odst. 2 bod 9 BSIG (Německo)
Bezpečnost lidských zdrojů, koncepce pro řízení přístupu a správu aktiv.
Německo kopíruje text EU. Povinnost je stejná. BSI signalizuje IT-Grundschutz, zejména modul ORP.2 'Personal', jako praktickou cestu k zavedení.
Role, povědomí a nábor
Ujistěte se, že lidé vědí, jaké jsou jejich kybernetické odpovědnosti. Personál obecně, uživatelé s administrátorským nebo privilegovaným přístupem a zejména statutární orgán. Najímejte cíleně na role relevantní pro kybernetickou bezpečnost: kontrola referencí, ověření kvalifikací, písemné testy tam, kde je to vhodné.
Prověrky spolehlivosti tam, kde je to vhodné
Prověrky personálu a přímých poskytovatelů tam, kde je to 'proveditelné a použitelné' a role to vyžaduje. Sepište, které role mohou zastávat pouze lidé, jejichž spolehlivost byla ověřena. Závisí to na roli, není to univerzální. Typickými kandidáty jsou role s administrátorským a privilegovaným přístupem.
Ukončení, změna role a disciplína
Když někdo odchází nebo mění roli, bezpečnostní povinnosti, které přetrvávají po skončení zaměstnání, musí být písemně zakotveny ve smlouvě a skutečně vymáhány. Doložky o mlčenlivosti trvají i po skončení zaměstnání. A musí existovat disciplinární postup pro porušení bezpečnostních zásad.
Prověrky spolehlivosti závisí na roli, nejsou univerzální
§ 10.2 říká prověrky 'tam, kde je to proveditelné a použitelné' a pouze u rolí, které to vyžadují. Neprověřujete každou pokladní. Prověřujete osobu, která drží doménového administrátora. Kritéria pro to, které role potřebují prověrku spolehlivosti, patří písemně, ještě před náborem, ne až poté.
Mlčenlivost přetrvává pracovní poměr
§ 10.3 chce, aby bezpečnostní povinnosti, které musí platit po odchodu člověka, byly smluvně zakotveny. Mlčenlivost je ta zjevná. Nezveřejňování detailů incidentů, dat zákazníků, architektury systémů. Doložka jde do smlouvy první den, nikoli v poslední den odcházejícího.
BSI / IT-Grundschutz ORP.2
Základna IT-Grundschutz od BSI pokrývá bezpečnost personálu v modulu ORP.2 'Personal'. ORP.2 prochází náborem, povědomím, školením, postupy při odchodu a personálem dodavatelů. V Německu musíte také koordinovat s pracovním právem: omezení AGG pro kritéria prověřování, spolurozhodování podnikové rady podle BetrVG u prověrek. Dělejte zásadu s podnikovou radou v místnosti, nikoli proti ní.
Technické prováděcí pokyny ENISA
TIG od ENISA pro CIR (EU) 2024/2690 mapuje § 10 na kontroly přílohy A ISO/IEC 27001:2022 A.6.1 až A.6.6 (prověřování, podmínky zaměstnání, povědomí, disciplinární proces, ukončení, mlčenlivost). Pokud již provozujete ISO 27001, většina § 10 je zavedena. TIG jmenuje důkazy, které auditoři očekávají.
Vnitrostátní transpoziční zákony
Každý členský stát má vlastní transpozici (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost podle čl. 21 odst. 2 písm. i) je stejná. Co se místně liší: omezení pracovního práva u prověřování, která formou zrcadlí německé AGG a BetrVG, ne-li v detailu.
Neděláme prověrky. Ochrana osobních údajů to zakazuje.
Příliš široké. § 10.2 omezuje prověrky spolehlivosti na role, kde jsou 'proveditelné a použitelné'. U uživatelů s administrátorským nebo privilegovaným přístupem je zdokumentovaná prověrka spolehlivosti podle GDPR obvykle v pořádku, pokud máte jasný právní základ, vymezený rozsah a podnikovou radu na palubě. Úkolem není 'neprověřovat nikoho'. Úkolem je 'sepsat, které role to vyžadují, a provést to pro tyto role'.
Když někdo odejde, vezmeme mu kartu a zablokujeme účet. Hotovo.
Dobré pro část fyzického a IT přístupu. Nestačí pro § 10.3. Směrnice chce povinnosti, které přetrvávají zaměstnání, písemně zakotvené ve smlouvě. Mlčenlivost, nezveřejňování, vrácení aktiv, pokračující ohlašovací povinnosti k incidentům, o kterých osoba ví. Kontrolní seznam odcházejícího bez smluvního ukotvení je polovina práce.
Nemáme disciplinární postup pro narušení IT bezpečnosti.
Ano, máte, jen jste si jej pro IT konkrétně nesepsali. § 10.4 chce disciplinární postup pro porušení bezpečnostních zásad. Nemusí to být samostatný proces. Zapojte jej do svého obecného disciplinárního postupu HR: pojmenujte spouštěč ('porušení zásady bezpečnosti informací'), odkažte na zásadu, zdokumentujte eskalační cestu.
Většina společností Mittelstand již dělá polovinu § 10, aniž by to nazývala NIS 2. HR provádí kontrolu referencí při náboru. Existuje kontrolní seznam odcházejícího. Doložky o mlčenlivosti jsou ve standardní pracovní smlouvě. Školení povědomí probíhá jednou ročně. To pokrývá hlavní část § 10.1 a část § 10.3.
Mezery v § 10, které vidíme, jsou užší, než si lidé myslí. Zaprvé: smluvní doložky o mlčenlivosti, které výslovně pokrývají povinnosti související s IT a přetrvávají skončení zaměstnání, nejen obecný text NDA. Zadruhé: písemný seznam rolí, kde je prověrka spolehlivosti před náborem povinná, s vypsanými kritérii. Zatřetí: výslovný disciplinární postup pro narušení IT bezpečnosti, i kdyby šlo o jeden odstavec odkazující na obecný postup HR. Uzavřete tyto tři a § 10 je hotov.
Platforma zachycuje důkazy podle § 10 v modulech HR a ACC. Přiřazení rolí jsou na jednom místě s osobou, rolí, stavem prověrky spolehlivosti a datem posledního školení povědomí. Kontrolní seznam odcházejícího je pracovní postup se schválením, nikoli wordový dokument.
Disciplinární protokol je v auditní stopě. Když je zaznamenáno porušení zásady, postup, který se spustí, je zdokumentován, podniknuté kroky jsou schváleny a uzavření je viditelné. Žádná tabulka. Žádný druhý nástroj. Tatáž důkazní základna, na kterou se podívá váš auditor.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 2 písm. i), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 10, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), § 30 odst. 2 bod 9 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
- BSI IT-Grundschutz, modul ORP.2 'Personal', bsi.bund.de/grundschutz
- Technické prováděcí pokyny ENISA pro CIR (EU) 2024/2690 (stav k květnu 2026)