Řízení zranitelností podle NIS 2 podle článku 21 odst. 2 písm. e)
Řízení zranitelností má podle NIS 2 dvě stránky. Jak nakládáte se slabinami ve vlastních systémech. A jak nakládáte se slabinami, které vám lidé nahlásí. Povinnost je zakotvena v článku 21 odst. 2 písm. e), CIR (EU) 2024/2690 §6.10 rozepisuje konkrétní detaily a §30 odst. 2 bod 5 BSIG ji transponuje do německého práva.
Stručně
Řízení zranitelností je bod e) na seznamu článku 21 odst. 2. CIR svůj odpovídající oddíl nazývá "Nakládání se zranitelnostmi a jejich zveřejňování". Ten název je výmluvný. NIS 2 záleží na dvou věcech najednou: na slabinách sedících v systémech, které provozujete, a na slabinách, které outsideři najdou ve vašich produktech a chtějí vám o nich říct.
CIR §6.10 stanoví pět činností. Stahujte informace o zranitelnostech od CSIRT, úřadů, dodavatelů a poskytovatelů služeb. Provádějte skenování zranitelností ve zdokumentovaném rytmu. Kritické bez prodlení napravujte. Provažte nakládání se zranitelnostmi s vašimi procesy řízení změn, záplatování, rizik a incidentů. A zaveďte postup koordinovaného zveřejňování zranitelností (CVD), který je v souladu s národní politikou CVD.
Německo zakotvuje stejné pravidlo do národního práva prostřednictvím §30 odst. 2 bodu 5 BSIG. Národní rámec CVD běží přes program koordinovaného zveřejňování CERT-Bund při BSI. Sama NIS 2 také zřizuje evropskou databázi zranitelností podle článku 12, kterou provozuje ENISA a kde subjekty mohou dobrovolně zveřejňovat.
Článek 21 odst. 2 písm. e) směrnice NIS 2 (2022/2555)
Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně nakládání se zranitelnostmi a jejich zveřejňování.
Bod e) na seznamu deseti opatření. Všimněte si rámování: nakládání se zranitelnostmi a jejich zveřejňování sedí uvnitř širší povinnosti kolem pořizování, vývoje a údržby. CIR to rozděluje do samostatných oddílů (§6.9 pořizování, §6.10 zranitelnosti). Polovina o zveřejňování je to, co se podceňuje.
CIR (EU) 2024/2690, příloha §6.10
Dotčené subjekty získávají informace o technických zranitelnostech ve svých sítích a informačních systémech, posuzují svou expozici těmto zranitelnostem a přijímají vhodná opatření k jejich řízení.
Přímo závazné právo EU pro odvětví uvedená v příloze CIR (DNS, TLD, cloud, datová centra, MSP, služby vytvářející důvěru a další). §6.10.2 vyjmenovává pět konkrétních činností. §6.10.3 říká, že pokud zmírnění vynecháte, zapíšete proč. §6.10.4 říká, že kanály, které používáte ke sledování informací o zranitelnostech, pravidelně přezkoumáváte.
§30 odst. 2 bod 5 BSIG (Německo)
Bezpečnostní opatření pro pořizování, vývoj a údržbu systémů informačních technologií, komponent a procesů, včetně řízení zranitelností a jejich zveřejňování.
Německo kopíruje text EU. Národní rámec CVD běží přes program koordinovaného zveřejňování CERT-Bund při BSI, což je to, na co "v souladu s platnými národními politikami CVD" v CIR §6.10.2 písm. e) v Německu odkazuje.
Získejte informace dovnitř
Sledujte informace o zranitelnostech od CSIRT, úřadů, dodavatelů a poskytovatelů služeb. Provádějte skenování zranitelností v rytmu vhodném pro vaše prostředí. Skenovací nástroje (Tenable, Qualys, Nessus, OpenVAS) jsou inženýrská stránka. Zdroje (newsletter CERT-Bund, bezpečnostní oznámení dodavatelů, NVD) jsou stránka informovanosti. Potřebujete obojí.
Opravte kritické, zdokumentujte zbytek
Kritické zranitelnosti se napravují bez prodlení. Nakládání se zranitelnostmi se musí navázat na vaše řízení změn, řízení záplat, řízení rizik a řízení incidentů. Kde se rozhodnete nezmírňovat, §6.10.3 říká, že vytvoříte zdokumentovaný plán zmírnění nebo zapíšete, proč není potřeba žádné opatření. Žádný tichý nedodělek.
Provozujte proces koordinovaného zveřejňování
Zaveďte postup pro příjem hlášení o zranitelnostech od outsiderů a koordinaci jejich zveřejnění, v souladu s platnou národní politikou CVD. Minimální mechanika: zveřejněný kontaktní kanál (schránka security@ nebo soubor security.txt), SLA pro potvrzení, harmonogram nápravy a koordinované veřejné zveřejnění. CERT-Bund v případě potřeby zprostředkuje.
Pravidelně, nikoli reaktivně
§6.10.2 písm. b) říká, že skenování běží "pravidelně, je-li to vhodné". §6.10.4 říká, že kanály, které používáte ke sledování informací o zranitelnostech, pravidelně přezkoumáváte. Obě formulace znamenají: písemný rytmus. Zdokumentujte, jak často skenujete, zdokumentujte, jak často přezkoumáváte seznam zdrojů, a držte se toho. Skenování jednou za rok, protože si někdo vzpomněl, není pravidelné.
Koordinované zveřejňování je povinnost, nikoli volba
§6.10.2 písm. e) říká, že postup musí existovat. Ne "pokud dostanete hlášení". Postup existuje proto, aby když výzkumník skutečně něco najde, měl kanál a vy měli proces. Minimální použitelné: schránka security@vasedomena.com, kterou někdo čte, lhůta pro potvrzení (běžně 7 dní) a lhůta pro zveřejnění (běžně 90 dní). Zdokumentujte to, zveřejněte to, namiřte na to soubor security.txt.
BSI / program CVD CERT-Bund
BSI provozuje CERT-Bund, federální CSIRT, a provozuje program koordinovaného zveřejňování zranitelností. Výzkumníci mohou hlásit přes CERT-Bund a BSI bude koordinovat s dotčenými dodavateli. §30 odst. 2 bod 5 BSIG na to ukazuje. Pokud zavádíte proces CVD poprvé, sladění vašich časových lhůt a kontaktních kanálů s modelem CERT-Bund je bezpečné výchozí nastavení.
Evropská databáze zranitelností (článek 12 NIS 2)
Článek 12 NIS 2 zřizuje evropskou databázi zranitelností provozovanou ENISA. Subjekty do ní mohou dobrovolně zveřejňovat zranitelnosti. Není to povinný hlásicí kanál podle článku 23. Je to referenční zdroj pro celou EU, který agreguje informace o zranitelnostech napříč členskými státy.
Národní CSIRT jako koordinátoři CVD
Každý členský stát má svůj národní CSIRT, který působí jako koordinátor CVD (NCSC-NL v Nizozemsku, CERT.at v Rakousku, CCB v Belgii). Povinnost je v celé EU stejná. Co se liší: se kterým CSIRT mluvíte a přesná mechanika jejich koordinačního procesu.
Záplatujeme na Patch Tuesday, to stačí.
Nestačí. §6.10.2 písm. c) říká, že kritické zranitelnosti se napravují bez prodlení. Patch Tuesday je rytmus vydávání od dodavatele. Zero-day zveřejněný ve čtvrtek s aktivním zneužitím nečeká do příštího úterý. Potřebujete rytmus záplatování pro rutinní opravy a mimořádný proces pro kritické problémy.
Nemáme proces CVD, protože nám nikdy nikdo nehlásí zranitelnosti.
§6.10.2 písm. e) neříká "zaveďte proces, až začnou chodit hlášení". Říká, že postup musí existovat. Smyslem je zajistit, aby když výzkumník skutečně něco najde, měl jasný kanál a váš tým věděl, co dělat. Schránka security@ a jednostránková politika stačí ke splnění povinnosti. Pokud ji nemáte, je to zjištění.
Skenování zranitelností je práce bezpečnostního týmu.
Je, dokud nepřečtete §6.10.2 písm. d): nakládání se zranitelnostmi musí být v souladu s řízením změn, řízením záplat, řízením rizik a řízením incidentů. A §6.10.4: přezkoumávejte kanály na úrovni organizace. To dělá z řízení zranitelností mezitýmový proces dotýkající se IT provozu, vývoje, rizik a vedoucího orgánu, nikoli izolovanou bezpečnostní činnost.
Inženýrská stránka je obvykle v rozumném stavu. Většina IT týmů v Mittelstandu už provozuje skener (Tenable, Qualys, Nessus, OpenVAS) a má nějaký rytmus záplatování, i kdyby to bylo jen "Patch Tuesday pro klienty, čtvrtletně pro servery". Povinnosti podle CIR §6.10.2 písm. a) + b) + c) jsou většinou o sepsání toho, co se už děje, a o utažení lhůty pro kritické opravy.
Stránka CVD je nedostatečně zdokumentovaná polovina. Realistické minimum: schránka security@vasedomena.com směrovaná na dva lidi, jednostránková politika zveřejňování (potvrdit do 7 dní, zveřejnit do 90 dní, uvést výzkumníky, kteří to chtějí) a soubor security.txt na /.well-known/security.txt ukazující na schránku. Půl dne práce. Ta část, kterou audity skutečně označují.
Modul PRO zachycuje váš soupis zranitelností, harmonogram skenování, úkoly nápravy a rozhodnutí o přijetí na jednom místě. Každý nález skenu se směruje do úkolu s vlastníkem, termínem a schválením. "Zdokumentujte, proč není potřeba žádné opatření" podle §6.10.3 je stejná cesta schválení: písemné odůvodnění, jmenovaný schvalovatel, auditní stopa. Žádná samostatná tabulka.
Dodáváme také šablonu politiky CVD (nastavení schránky security@, obsah security.txt, SLA pro potvrzení a zveřejnění v souladu s CERT-Bund). Doplníte svou doménu a kontakty a máte povinnost §6.10.2 písm. e) pokrytou. Příchozí hlášení se směrují do stejného toku úkolů jako nálezy skenů, takže časová osa reakce se sleduje stejným způsobem.
- Směrnice (EU) 2022/2555 (NIS 2), článek 12 a článek 21 odst. 2 písm. e). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §6.10. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), §30 odst. 2 bod 5 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
- BSI / program koordinovaného zveřejňování zranitelností CERT-Bund. bsi.bund.de
- Evropská databáze zranitelností ENISA (článek 12 NIS 2)