Významný vs. klíčový vs. KRITIS: stejná práce, jiné důsledky
NIS2 definuje tři úrovně regulovaných subjektů. Bezpečnostní opatření jsou u všech tří shodná. Mění se to, jak pozorně vás BSI sleduje a jak tvrdě udeří, pokud selžete.
Tři úrovně, jeden soubor pravidel
Německá transpozice NIS2 (BSIG) zařazuje regulované subjekty do tří kategorií: wichtige Einrichtungen (významné subjekty), klíčové subjekty (besonders wichtige Einrichtungen) a Betreiber kritischer Anlagen (provozovatelé KRITIS). Mnoho firem stráví týdny zjišťováním, do které kategorie spadají, ještě než vůbec začnou pracovat na souladu.
Klíčový poznatek zní takto: pro samotnou práci na tom nezáleží. Všechny tři kategorie musí zavést stejných 10 kategorií bezpečnostních opatření vymezených v §30 odst. 2 BSIG. Stejné řízení rizik. Stejné hlášení incidentů. Stejná bezpečnost dodavatelského řetězce. Stejné řízení přístupů. Stejné politiky šifrování. Stejné plánování kontinuity provozu.
Rozdíly spočívají v dohledu (jak vás BSI sleduje), v sankcích (kolik zaplatíte, pokud budete přistiženi v nesouladu) a ve třech dodatečných povinnostech, které se týkají pouze provozovatelů KRITIS. Proces souladu, kterým projdete na NISD2, pokrývá všechny tři kategorie shodně.
| Kritérium | Významný (Wichtig) | Klíčový (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Velikost firmy | 50+ zaměstnanců NEBO >10 mil. EUR obrat a >10 mil. EUR bilanční suma | 250+ zaměstnanců NEBO >50 mil. EUR obrat a >43 mil. EUR bilanční suma | Jakákoli velikost, určeno prahy infrastruktury (např. 500 000 zásobovaných osob) |
| Odvětví | Příloha I (energetika, doprava, finance, zdravotnictví, voda, digitální infrastruktura, vesmír) + Příloha II (poštovní služby, odpady, chemie, potraviny, výroba, digitální služby, výzkum) | Pouze odvětví z Přílohy I (středně velké subjekty v Příloze I se zařazují jako významné, nikoli klíčové) | Podmnožina klíčových, pouze subjekty provozující infrastrukturu, jejíž výpadek by narušil veřejné zásobování |
| Zahrnutí nezávislé na velikosti | Nekvalifikovaní poskytovatelé služeb vytvářejících důvěru, malí telekomunikační operátoři | Kvalifikované služby vytvářející důvěru, registry TLD, poskytovatelé DNS, velcí telekomunikační operátoři | Provozovatelé kritických zařízení podle BSI-KritisV (rozvodné sítě, úprava vody, nemocnice atd.) |
Unijní práh pro střední podnik zní: 50+ zaměstnanců NEBO (>10 mil. EUR obrat A >10 mil. EUR bilanční suma). Obě finanční kritéria musí být splněna současně, vysoký obrat sám o sobě nestačí. U klíčových subjektů zní práh pro velký podnik: 250+ zaměstnanců NEBO (>50 mil. EUR obrat A >43 mil. EUR bilanční suma). Tyto příklady ukazují, jak pravidla fungují v praxi.
| Scénář | Zaměstnanci | Obrat | Bilanční suma | Odvětví | Zařazení |
|---|---|---|---|---|---|
| Obchodní firma s vysokým obratem, malý tým | 12 | 25 mil. EUR | 18 mil. EUR | Příloha I, bankovnictví | Významný, oba finanční prahy překročeny (>10 mil. EUR), počet zaměstnanců nerozhoduje |
| Velký výrobce, nízká marže | 200 | 5 mil. EUR | 3 mil. EUR | Příloha II, výroba | Významný, počet zaměstnanců ≥50 postačuje, obrat nerozhoduje |
| SaaS startup, vysoký obrat, malý tým | 8 | 15 mil. EUR | 4 mil. EUR | Příloha I, digitální infrastruktura | Mimo působnost, obrat překračuje 10 mil. EUR, ale bilanční suma je pod 10 mil. EUR. Potřeba OBOU |
| Regionální nemocnice | 400 | 60 mil. EUR | 45 mil. EUR | Příloha I, zdravotnictví | Klíčový, 250+ zaměstnanců v odvětví Přílohy I. Při >30 000 hospitalizacích za rok: KRITIS |
| Obchodník s energií, s nízkým objemem aktiv | 15 | 120 mil. EUR | 55 mil. EUR | Příloha I, energetika | Klíčový, oba velké finanční prahy překročeny (>50 mil. EUR obrat A >43 mil. EUR bilanční suma) |
| Firma na svoz a likvidaci odpadu | 80 | 8 mil. EUR | 6 mil. EUR | Příloha II, odpady | Významný, 80 zaměstnanců ≥práh 50, navzdory nízkému obratu. Pouze NACE E.38 (nikoli sanace E.39) |
| Poskytovatel řízených služeb (MSP) | 45 | 12 mil. EUR | 11 mil. EUR | Příloha I, řízení služeb IKT | Významný, pod 50 zaměstnanci, ale oba finanční prahy překročeny. Rovněž podléhá CIR 2024/2690 |
| Zpracovatel potravin, sezónní pracovní síla | 55 (roční průměr) | 9 mil. EUR | 7 mil. EUR | Příloha II, potraviny | Významný, počet zaměstnanců se vyjadřuje v ročních pracovních jednotkách (čl. 5 dop. 2003/361/ES). Sezónní špičky se započítávají poměrně |
| Kvalifikovaný poskytovatel služeb vytvářejících důvěru (qTSP) | 3 | 500 tis. EUR | 200 tis. EUR | Příloha I, digitální infrastruktura | Klíčový, nezávisle na velikosti podle §28 odst. 1 BSIG. qTSP jsou vždy klíčové bez ohledu na velikost |
| Distributor chemikálií, velká dceřiná společnost | 180 | 70 mil. EUR | 50 mil. EUR | Příloha II, chemie | Významný, navzdory velkým finančním ukazatelům odvětví Přílohy II končí na úrovni významný. Jen Příloha I + velký = klíčový |
Prahy velikosti podle čl. 2 doporučení Komise 2003/361/ES, na který odkazuje čl. 2 odst. 1 směrnice NIS2. Počet zaměstnanců se vyjadřuje v ročních pracovních jednotkách (čl. 5). Pravidla pro propojené a partnerské podniky (čl. 3 přílohy) mohou agregovat počet zaměstnanců a finanční ukazatele mateřské společnosti. Zařazení do odvětví podle Přílohy I/II směrnice NIS2, transponováno v §28 BSIG, Anlage 1/2. Případy nezávislé na velikosti podle §28 odst. 1 BSIG.
Co je shodné u všech tří kategorií
Povinnosti souladu vymezené v §30 odst. 2 BSIG jsou pro významné, klíčové i KRITIS stejné. Neexistuje lehčí verze pro významné subjekty ani těžší verze pro klíčové subjekty. Všech 10 kategorií bezpečnostních opatření platí stejně:
- Politiky a postupy řízení rizik (§30 odst. 2 č. 1)
- Řešení a hlášení incidentů, 24 h prvotní, 72 h podrobné, 1 měsíc závěrečná zpráva (§32)
- Kontinuita provozu a obnova po havárii (§30 odst. 2 č. 3)
- Bezpečnost dodavatelského řetězce (§30 odst. 2 č. 4)
- Bezpečnost při pořizování, vývoji a údržbě (§30 odst. 2 č. 5)
- Politiky pro hodnocení účinnosti bezpečnostních opatření (§30 odst. 2 č. 6)
- Kybernetická hygiena a školení (§30 odst. 2 č. 7)
- Kryptografie a politiky šifrování (§30 odst. 2 č. 8)
- Bezpečnost lidských zdrojů a řízení přístupu (§30 odst. 2 č. 9)
- Vícefaktorové ověřování a zabezpečená komunikace (§30 odst. 2 č. 10)
- Registrace u BSI do 3 měsíců (§33)
- Odpovědnost vedení, osobní odpovědnost za schvalování a sledování bezpečnostních opatření (§38)
To znamená, že platforma NISD2 pokrývá všechny typy subjektů stejnou sadou požadavků. Ať jste významná potravinářská firma, nebo klíčový dodavatel energie, proces souladu je shodný. Plníte stejné požadavky, vytváříte stejné důkazy a splňujete stejné standardy.
| Povinnost | Významný | Klíčový | KRITIS |
|---|---|---|---|
| 10 bezpečnostních opatření (§30) | Povinné | Povinné | Povinné |
| Hlášení incidentů (§32) | 24 h / 72 h / 1 měsíc | 24 h / 72 h / 1 měsíc | 24 h / 72 h / 1 měsíc |
| Registrace u BSI (§33) | Základní | Základní | Rozšířená, kritická služba, metriky zásobování, umístění zařízení, kontakt 24/7 |
| Odpovědnost vedení (§38) | Osobní odpovědnost | Osobní odpovědnost | Osobní odpovědnost |
| Dohled BSI | Pouze reaktivní (§62), BSI zasahuje jen při existenci důkazů o nesouladu | Proaktivní (§61), BSI může provést audit kdykoli bez podnětu | Proaktivní + povinný tříletý cyklus prokazování (§39) |
| Maximální pokuta (základní) | 7 000 000 EUR | 10 000 000 EUR | 10 000 000 EUR |
| Maximální pokuta (z obratu) | 1,4 % celosvětového obratu | 2 % celosvětového obratu | 2 % celosvětového obratu |
| Systémy detekce útoků (§31) | Nevyžadováno | Nevyžadováno | Vyžadováno, nepřetržitá schopnost SIEM/SOC |
| Povinné prokázání souladu (§39) | Nevyžadováno | Nevyžadováno | Vyžadováno, každé 3 roky, předkládáno BSI |
KRITIS: tři dodatečné povinnosti
Provozovatelé KRITIS, tedy subjekty provozující infrastrukturu, jejíž výpadek by narušil veřejné zásobování (rozvodné sítě, úprava vody, nemocnice), musí splnit tři dodatečné požadavky nad rámec toho, co musí dělat významné a klíčové subjekty.
§31, systémy detekce útoků (Angriffserkennungssysteme)
Potřebujete systém, který nepřetržitě sleduje vaši síť a dokáže rozpoznat probíhající útoky nebo zjistit, že už se někdo dostal dovnitř. V praxi to znamená nasadit SIEM (Security Information and Event Management), tedy software, který sbírá logy z každého serveru, firewallu a koncového zařízení, dává je do souvislostí a upozorňuje na anomálie. Musí používat porovnávání vzorů A detekci anomálií, nejen signatury. Většina firem to outsourcuje na poskytovatele řízeného SOC (Security Operations Center), což obvykle stojí 5 000 až 15 000 EUR měsíčně. Běžné subjekty NIS2 si vystačí se základním monitoringem, provozovatelé KRITIS výslovně nikoli.
§33 odst. 2, rozšířená registrace u BSI
Nad rámec standardní registrace (název, odvětví, kontakt) musí provozovatelé KRITIS BSI přesně sdělit, jakou kritickou službu poskytují (např. „zásobování pitnou vodou pro 200 000 osob“), jaké kritické komponenty používají, fyzické umístění zařízení a kontaktní osobu dostupnou 24/7 v kteroukoli hodinu. Metriky zásobování se musí hlásit každoročně, BSI je používá k ověření, že stále překračujete práh KRITIS (vymezený v BSI-KritisV, např. 500 000 zásobovaných osob u vody, 104 MW u elektřiny).
§39, povinné prokázání souladu každé 3 roky (Nachweispflicht)
Každé 3 roky musíte proaktivně předložit BSI výsledky auditů, bezpečnostní zprávy nebo certifikace prokazující soulad se všemi opatřeními podle §30 a s detekcí útoků podle §31. BSI si vás nemusí přijít najít, přijdete za ním vy. Pokud BSI zjistí nedostatky, vydá závazné příkazy k nápravě s lhůtami a požaduje důkaz, že jste problémy odstranili. Představte si to jako povinný cyklus certifikace ISO, jen auditorem je stát. První lhůta: prosinec 2028 (5 let pro nemocnice: prosinec 2030).
Co to znamená pro vaši firmu
Pokud jste firma s 50 až 250 zaměstnanci v Německu, tedy typický uživatel NISD2, jste téměř jistě zařazeni jako wichtige Einrichtung (významný subjekt). Vaše výrobní firma, podnik na zpracování potravin nebo poskytovatel IT služeb spadají do této kategorie. Práce na souladu, kterou musíte odvést, je naprosto stejná jako u velkého klíčového subjektu nebo dokonce u provozovatele KRITIS. Jediný praktický rozdíl: BSI vás nebude proaktivně auditovat, dokud k tomu nebude mít důvod (incident, stížnost nebo upozornění).
To není důvod dělat méně. Pokud vás BSI bude auditovat, reaktivně po incidentu, a shledá vás v nesouladu, platí pokuty až 7 milionů EUR nebo 1,4 % celosvětového obratu. A vaše vedení nese osobní odpovědnost podle §38. Nejbezpečnější pozicí je plný soulad bez ohledu na kategorii. NISD2 vám poskytuje stejný proces souladu, jaký používají klíčové subjekty a KRITIS, protože požadavky jsou shodné.
Často kladené otázky
Může být moje firma zároveň významná i klíčová?
Ne. Kategorie se podle §28 BSIG vzájemně vylučují. Pokud splníte práh pro klíčový subjekt (250+ zaměstnanců nebo >50 mil. obrat v odvětví Přílohy I), jste klíčový. Pokud splníte práh pro významný, ale ne pro klíčový, jste významný. KRITIS je podmnožina klíčových, provozovatelé KRITIS se automaticky zařazují jako klíčoví s dodatečnými povinnostmi navíc.
Jsem významný subjekt. Musím dělat méně práce na souladu?
Ne. Všech 10 kategorií bezpečnostních opatření v §30 odst. 2 BSIG platí shodně pro významné i klíčové subjekty. Jediný rozdíl je ve vymáhání: BSI dohlíží na klíčové subjekty proaktivně (namátkové audity) a na významné subjekty reaktivně (až po důkazech o nesouladu). Ale samotná opatření, lhůty hlášení incidentů i odpovědnost vedení jsou stejné.
Jak poznám, jestli jsem KRITIS?
Zařazení KRITIS je vymezeno v nařízení BSI-KritisV na základě konkrétních prahů zásobování: 500 000 zásobovaných osob u vody, 104 MW instalovaného výkonu u elektřiny, 30 000 hospitalizací za rok u nemocnic atd. Pokud by výpadek vaší infrastruktury přímo nenarušil veřejné zásobování v tomto měřítku, nejste KRITIS. Většina firem ze středního trhu KRITIS není, jsou to významné nebo klíčové subjekty.
Co se stane, když zařazení svého subjektu určím špatně?
Zařazení určuje intenzitu dohledu a horní hranice sankcí, nikoli to, co musíte zavést. Pokud zavedete všech 10 kategorií opatření (kterými vás NISD2 provede), jste v souladu bez ohledu na zařazení. Rizikem nesprávného zařazení je podcenění vaší expozice vůči dohledu, tedy domněnka, že vás BSI nebude auditovat, ačkoli ve skutečnosti může.
Rozlišuje CIR 2024/2690 mezi významnými a klíčovými subjekty?
Ne. CIR se vztahuje na konkrétní typy subjektů (poskytovatelé cloudu, poskytovatelé DNS, poskytovatelé řízených služeb atd.) bez ohledu na to, zda jsou zařazeni jako významní, nebo klíčoví. Technické požadavky v CIR jsou pro obě kategorie shodné.
- §28 BSIG, zařazení subjektů (klíčové a významné subjekty)
- §30 BSIG, opatření řízení rizik (10 kategorií, shodné pro všechny typy subjektů)
- §31 BSIG, systémy detekce útoků (pouze KRITIS)
- §32 BSIG, povinnosti hlášení incidentů (shodné lhůty pro všechny typy subjektů)
- §33 BSIG, registrační povinnosti (rozšířené pro KRITIS)
- §38 BSIG, odpovědnost vedení (shodná pro všechny typy subjektů)
- §39 BSIG, prokazování souladu (pouze KRITIS, každé 3 roky)
- §61 BSIG, dohled nad klíčovými subjekty (proaktivní)
- §62 BSIG, dohled nad významnými subjekty (reaktivní)
- §65 BSIG, sankce a pokuty
- CIR 2024/2690, prováděcí nařízení EU (bez rozlišení typu subjektu)
- BSI-KritisV, nařízení o prazích KRITIS