§ 30 BSIG / Art. 21

Požadavky NIS2

Co musí dotčené subjekty zavést: 10 povinných kybernetických opatření, přísná kaskáda hlášení incidentů a soulad podložený důkazy.

Cory HiseyCory Hisey·Laufend geprüft

10 povinných opatření pro řízení rizik (§ 30 BSIG / čl. 21 odst. 2 NIS-2)

Všechny základní a důležité subjekty musí tato opatření zavést. Žádné přechodné období neexistuje. Tyto povinnosti platí v Německu od 6. prosince 2025.

1

Analýza rizik a zásady bezpečnosti informací

Zaveďte a udržujte zásady pro analýzu rizik a bezpečnost informačních systémů. Provádějte pravidelná hodnocení rizik pokrývající všechny kritické systémy a procesy.

2

Řešení incidentů

Zaveďte postupy pro předcházení, detekci, identifikaci, zadržení, zmírnění a reakci na bezpečnostní incidenty.

3

Kontinuita provozu a krizové řízení

Správa záloh, plánování obnovy po havárii a postupy krizového řízení k zajištění provozní odolnosti.

4

Bezpečnost dodavatelského řetězce

Bezpečnostní opatření pro vztahy s přímými dodavateli a poskytovateli služeb. Zahrnuje posouzení kybernetických postupů všech dodavatelů a smluvní bezpečnostní požadavky.

5

Bezpečnost při pořizování, vývoji a údržbě

Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů. Zahrnuje řešení zranitelností a postupy jejich zveřejňování.

6

Posuzování účinnosti

Zásady a postupy pro posuzování účinnosti opatření k řízení kybernetických rizik. Pravidelné testování a vyhodnocování bezpečnostních kontrol.

7

Kybernetické školení a kybernetická hygiena

Základní postupy kybernetického školení pro všechny zaměstnance. Programy zvyšování povědomí pokrývající phishing, sociální inženýrství, správu hesel a bezpečné používání počítačů.

8

Kryptografie a šifrování

Zásady a postupy pro používání kryptografie a tam, kde je to vhodné, šifrování. Pokrývá data v klidu, data při přenosu a správu klíčů.

9

Bezpečnost personálu, řízení přístupu a správa aktiv

Zásady bezpečnosti lidských zdrojů, mechanismy řízení přístupu a postupy správy aktiv. Zahrnuje nástup a odchod, přístup podle zásady nejmenších oprávnění a inventáře aktiv.

10

Vícefaktorové ověřování a zabezpečená komunikace

Použití MFA nebo řešení průběžného ověřování. Zabezpečená hlasová, obrazová a textová komunikace. Zabezpečené nouzové komunikační systémy uvnitř subjektu.

Kaskáda hlášení incidentů
Všechny základní a důležité subjekty musí hlásit významné bezpečnostní incidenty BSI prostřednictvím třístupňové kaskády.
24 hodin

Včasné varování (Frühwarnung)

Nahlaste, zda existuje podezření, že incident způsobily protiprávní nebo zlovolné jednání, a zda by mohl mít přeshraniční dopad.

72 hodin

Aktualizované hlášení (Aktualisierte Meldung)

Posouzení závažnosti, posouzení dopadů, indikátory kompromitace a počáteční analýza příčiny, je-li k dispozici.

1 měsíc

Závěrečné hlášení (Abschlussmeldung)

Podrobný popis incidentu, potvrzená příčina, přijatá zmírňující opatření, zavedené preventivní kroky a posouzení přeshraničního dopadu.

Co se počítá jako "významný" incident?

Bezpečnostní incident se kvalifikuje jako významný, pokud způsobil nebo je schopen způsobit závažné provozní narušení nebo finanční ztráty pro subjekt.

Kvalifikuje se také tehdy, pokud zasáhl nebo je schopen zasáhnout jiné fyzické či právnické osoby způsobením značné hmotné nebo nehmotné újmy. Pro 11 typů digitálních subjektů podle CIR 2024/2690 (DNS, cloud, MSP, MSSP, tržiště, vyhledávače, sociální sítě, služby vytvářející důvěru atd.) platí další kvantitativní prahové hodnoty z čl. 3 CIR (finanční ztráta nad 500 000 EUR nebo 5 % ročního obratu, exfiltrace obchodního tajemství, úmrtí nebo vážná újma na zdraví, úspěšný zlovolný neoprávněný přístup) plus odvětvově specifická kritéria v čl. 5 až 14 (například výpadek DNS přesahující 30 minut nebo výpadek cloudu zasahující více než 5 % uživatelů).

Požadavky na audit a důkazy

Provozovatelé KRITIS

Musí prokazovat soulad prostřednictvím auditů, kontrol nebo certifikací každé 3 roky. Musí do svých opatření zahrnout systémy detekce útoků. Lhůtu pro první důkazy stanoví BSI při registraci (přibližně 2028).

Základní subjekty (mimo KRITIS)

Žádný pravidelný povinný cyklus auditů, ale musí udržovat komplexní dokumentaci. BSI může provádět proaktivní namátkové kontroly a kdykoli nařídit předložení důkazů na základě výběru podle rizika.

Důležité subjekty

Musí dokumentovat zavedení všech požadovaných opatření. Kontroly BSI jsou pouze reaktivní, vyvolané incidenty nebo odůvodněným podezřením na nesoulad.

Přijatelné důkazy
  • Interní nebo externí auditní zprávy
  • Certifikace (ISO 27001, BSI IT-Grundschutz atd.)
  • Komplexní dokumentace hodnocení rizik, zavedených opatření a přezkumů účinnosti

Certifikace ISO 27001 nebo IT-Grundschutz soulad s NIS2 podporuje, ale nezaručuje: požadavky BSIG mohou jít nad rámec standardního rozsahu certifikace.

Bezpečnost dodavatelského řetězce
NIS2 zavádí povinné požadavky na bezpečnost dodavatelského řetězce. Subjekty musí:
  • Posoudit kybernetické postupy všech přímých dodavatelů a poskytovatelů služeb
  • Zahrnout kybernetické požadavky do smluv s dodavateli
  • Průběžně sledovat a přezkoumávat bezpečnostní úroveň dodavatelů
  • Koordinovat zveřejňování zranitelností s dodavateli
  • Zohlednit celkovou kvalitu produktů a postupů dodavatelů, včetně jejich postupů bezpečného vývoje