Art. 21(2)(a) NIS 2

Řízení rizik podle NIS 2 podle článku 21 odst. 2 písm. a)

NIS 2 říká, že musíte řídit kybernetické riziko strukturovaným způsobem. Povinnost je zakotvena v článku 21 odst. 2 písm. a), CIR (EU) 2024/2690 §2 rozepisuje konkrétní detaily a váš národní regulátor (v Německu: BSI) je ten, komu se zodpovídáte.

Simon OrzelSimon Orzel·

Stručně

Řízení rizik stojí na prvním místě seznamu deseti kybernetických povinností v článku 21 odst. 2. Pokud se na vás NIS 2 vztahuje, musíte odhalit rizika pro vaše systémy, posoudit, jak závažná mohou být, a něco s nimi udělat. Stejné pravidlo platí v celé EU.

CIR (EU) 2024/2690 doplňuje detail. Příloha §2 říká, že váš rámec řízení rizik potřebuje tři části. Jeden si zaveďte. Ověřte, že ho lidé skutečně používají. Nechte ho nezávisle přezkoumat. To je minimum. Pokud provozujete DNS, cloud, datové centrum, MSP, služby vytvářející důvěru nebo jakékoli jiné odvětví uvedené v příloze CIR, váže vás to přímo.

Německo zakotvuje stejné pravidlo do národního práva prostřednictvím §30 odst. 2 bodu 1 BSIG. Znění je téměř doslovné s textem EU. Tato stránka prochází směrnici, navazující prováděcí nařízení EU a německou transpozici v tomto pořadí.

Právní zdroj
Tři vrstvy navršené na sebe. Směrnice (závazná pro každou zemi EU). Prováděcí nařízení (přímo použitelné právo EU pro odvětví uvedená v příloze). Národní transpozice (v Německu: BSIG).

Článek 21 odst. 2 písm. a) směrnice NIS 2 (2022/2555)

Zásady analýzy rizik a bezpečnosti informačních systémů.

Toto je bod a) na seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý základní a důležitý subjekt.

CIR (EU) 2024/2690, příloha §2

Pro účely čl. 21 odst. 2 písm. a) směrnice (EU) 2022/2555 dotčené subjekty zavedou vhodný rámec řízení rizik k identifikaci a řešení rizik pro bezpečnost sítí a informačních systémů.

Protože jde o nařízení (nikoli o směrnici), je přímo závazným právem EU. Není potřeba žádná národní transpozice. Vztahuje se na poskytovatele DNS, registry TLD, poskytovatele cloudu, datová centra, poskytovatele řízených služeb a další odvětví uvedená v jeho příloze.

§30 odst. 2 bod 1 BSIG (Německo)

Zásady analýzy rizik a bezpečnosti informačních technologií.

Německo kopíruje text EU téměř doslovně. Drobná změna ("bezpečnost informačních technologií" místo "bezpečnost informačních systémů") je otázkou formulace, nikoli významu.

Tři věci, které CIR §2 skutečně vyžaduje
CIR 2024/2690 rozděluje řízení rizik do tří částí. Každá z nich je vlastní pododdíl v příloze. Potřebujete všechny tři.
§2.1

Zaveďte rámec řízení rizik

Sepište, jak odhalujete rizika, jak je hodnotíte, co s nimi děláte a se kterými riziky jste ochotni žít. Pokryjte každý systém, na kterém vašemu podniku záleží. Kdokoli rozhoduje o tom, jaká rizika přijímáte, to musí jmenovitě podepsat.

§2.2

Ověřte, že to lidé skutečně dodržují

V pravidelném rytmu kontrolujte, zda váš tým dělá to, co rámec říká. Pokud ne, zapište mezeru a napravte ji. Rámec, který nikdo nedodržuje, není rámec.

§2.3

Nechte na něj nezávisle pohlédnout

Čas od času by se na rámec měl podívat někdo, kdo ho neprovozuje. Nezávislý znamená strukturálně oddělený, nikoli nutně externí. Může to udělat váš interní auditní tým. Může to udělat najatý konzultant. Jde o čerstvý pohled.

Dvě pravidla, která utvářejí vše ostatní
Článek 21 má dvě základní pravidla, která utvářejí, jak se posuzuje každé z deseti opatření. Nejde o nezávazné doporučení. Je to výkladový standard.

Přístup zohledňující všechna nebezpečí (článek 21 odst. 2)

Kybernetické útoky nejsou jediné, co je na seznamu. Požár, povodeň, výpadek proudu, odchod klíčového člověka, krach dodavatele, to vše se počítá. Pokud váš registr rizik obsahuje jen malware a phishing, standard jste nesplnili.

Přiměřenost (článek 21 odst. 1 druhý pododstavec)

Co děláte, přizpůsobujete riziku, kterému skutečně čelíte. Text říká, že to musí být "přiměřené danému riziku". Do rozhodnutí vstupuje šest věcí: jak jste exponovaní, jak jste velcí, jak je incident pravděpodobný, jak by byl závažný (včetně širšího hospodářského a společenského dopadu), stav techniky a kolik stojí zavedení. Šedesátičlenný Stadtwerk nemusí utrácet jako banka.

Jak to národní regulátoři skutečně řídí
EU stanoví pravidlo. Každá země ho transponuje. Podstata je stejná. Místní mechanika se trochu liší.
Německo

BSI / §30 BSIG

BSI uvádí deset opatření podle článku 21 odst. 2 ve svých Infopakete a nazývá je "přinejmenším následujících deset opatření (viz § 30 odst. 2 BSIG)". Německá transpozice se drží znění směrnice věrně a jako praktickou cestu k zavedení ukazuje na IT-Grundschutz.

Celá EU

Technické prováděcí pokyny ENISA

ENISA, agentura EU pro kybernetickou bezpečnost, vydává Technické prováděcí pokyny (TIG), které berou abstraktní text CIR a ukazují, co dělat v praxi. Mapují také požadavky na zavedené standardy jako ISO/IEC 27001:2022 a NIST CSF 2.0, takže stávající certifikace vám dají náskok.

Ostatní členské státy

Národní transpoziční zákony

Každý členský stát má vlastní transpoziční zákon (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnosti jsou stejné, protože směrnice stanoví jeden standard pro celou EU. Co se liší: lhůty, kanály pro hlášení, se kterým úřadem mluvíte.

Tři pasti, které vidíme pořád
Tři předpoklady, které se objevují téměř na každém hovoru s přípravou na audit. Všechny tři vytvářejí mezery, které auditor najde.

  • Máme kybernetické pojištění, takže jsme krytí.

    BSI je přímočaré: "Paušální přenos rizika nebo obecné přijetí rizika je tedy vyloučeno." Pojištění je něco, co přidáváte navrch k ošetření rizik, nikoli náhrada. Také nemůžete prostě "přijmout" každé riziko, kterým se nechcete zabývat. Tento argument audit nepřežije.

  • Analýzu rizik zvládneme bez soupisu našich aktiv.

    Nezvládnete. CIR §2.1 nefunguje bez písemného soupisu toho, co skutečně máte. Aplikace, systémy, lokality, data, dodavatelé. IT-Grundschutz vám umožní sdružit identická aktiva dohromady (45 kancelářských notebooků se počítá jako jedna položka s počtem), takže soupis nemusí být obrovský. Musí ale existovat.

  • O tom, co přijmeme, rozhodujeme případ od případu.

    Auditor potřebuje vidět kritéria, která jste stanovili před incidentem, nikoli po něm. Rozhodněte předem: při jakém prahu riziko přijmete, při jakém prahu ho napravíte, při jakém prahu ho přenesete (např. pojištěním). Tato kritéria patří do rámce, nikoli do dodatečného e-mailu.

Jak to skuteční provozovatelé v Mittelstandu opravdu dělají

Článek 21 odst. 1 vám dává prostor díky doložce o přiměřenosti: co děláte, musí odpovídat vaší velikosti, vaší expozici riziku a tomu, kolik to stojí. Sama směrnice neočekává, že budete dělat vše v maximální hloubce hned první den.

Co vidíme, že praktici v německém Mittelstandu dělají: nejdřív gap assessment, pak dvanáct až patnáct nejnaléhavějších opatření během prvního roku, pak zbytek rozložený na další rok nebo dva. To podle článku 21 odst. 1 obstojí, dokud je fázování sepsané, odůvodněné vaším obrazem rizik a schválené vedoucím orgánem. Neobstojí, pokud je fázování nezdokumentované nebo pokud jste vynechali nejvyšší rizika.

Jak to řešíme na platformě

Rámec §2 CIR jsme zabudovali do platformy jako modul. Rizika zaznamenáváte k aktivům, hodnotíte pravděpodobnost a dopad, každé směrujete do plánu ošetření a zachycujete kritéria přijetí s podepsaným schválením. Žádná hromada tabulek. Žádný druhý nástroj.

Část monitorování podle §2.2 vychází z používání platformy: schválení, stav úkolů, auditní stopa. Nevedete oddělený protokol shody. Nezávislé přezkoumání podle §2.3 může probíhat interně (kolega, který není v řetězci) nebo externě (najatý auditor). Ať tak či tak, dáme jim pohled jen pro čtení, který potřebují.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 21. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §1 a §2. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Zákon o BSI (BSIG), §30 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
  • BSI Infopakete "NIS 2 Pflichten". bsi.bund.de/dok/nis-2-infopakete
  • Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690 (k květnu 2026)
Řiďte rizika bez hromady tabulek
Aktiva, rizika, ošetření, schválení a důkazy o účinnosti na jedné platformě. Zdarma, open source, žádný lock-in.
Otevřít platformu zdarma