Operatorzy instalacji krytycznych pod NIS 2 i KRITIS jednocześnie
Operator KRITIS nie wybiera między NIS 2 a KRITIS. Stosują się oba. Środki NIS 2 zgodnie z artykułem 21 są podłogą. Obowiązki specyficzne dla KRITIS zgodnie z §29, §32 i §65 BSIG stoją na wierzchu. BSI prowadzi oba reżimy z tej samej bazy dowodowej.
Wersja skrócona
Mniej więcej 1 500 do 2 000 podmiotów w Niemczech eksploatuje 'kritische Anlage' zdefiniowaną przez BSI-KritisV. Dystrybucja energii elektrycznej powyżej 500 GWh rocznie, woda pitna powyżej 22 milionów metrów sześciennych rocznie, ośrodki danych powyżej 3,5 megawata zakontraktowanej pojemności oraz długa lista innych progów sektorowych. Ci operatorzy nie funkcjonują we własnym odrębnym świecie. Mieszczą się wewnątrz NIS 2 jak każdy inny podmiot kluczowy, a obowiązki KRITIS nakładają się na wierzchu.
Baza wynika z artykułu 21 dyrektywy NIS 2: dziesięć środków zarządzania ryzykiem cyberbezpieczeństwa, proporcjonalnych do ryzyka. Niemcy kopiują to do §30 BSIG. Warstwa KRITIS dodaje trzy rzeczy: wyższą poprzeczkę proporcjonalności zgodnie z artykułem 21(1), ponieważ konsekwencje awarii są większe, obowiązkowy trzyletni cykl dowodowy zgodnie z §29 BSIG oraz wyższy pułap kar zgodnie z §65 BSIG (do 10 milionów euro lub 2 procent obrotu grupy).
Jeden regulator prowadzi oba reżimy. BSI rejestruje podmiot zgodnie z §33 BSIG, przegląda dowody §29, przyjmuje zgłoszenia incydentów §32 i egzekwuje zgodnie z §65. Ta sama baza dowodowa zasila obie warstwy. Ta strona przedstawia stos prawny, dodatkowe elementy KRITIS, dwie zasady rozstrzygające każdy przypadek graniczny oraz trzy mity, które słyszymy najczęściej.
Artykuł 21(1) i 21(2) dyrektywy NIS 2 (UE) 2022/2555
Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne podejmowały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych. Środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do występujących ryzyk, z uwzględnieniem stanu wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także kosztów wdrożenia.
Artykuł 21(1) ustanawia klauzulę proporcjonalności. 'Odpowiednie i proporcjonalne' oznacza, że głębokość środków musi odpowiadać ryzyku. Operator KRITIS znajduje się na szczycie tej skali: duży obszar zaopatrzenia, zależność publiczna, efekty kaskadowe. Stosuje się te same dziesięć środków zgodnie z artykułem 21(2), ale operator KRITIS musi wdrożyć je głębiej niż mały podmiot z Załącznika II.
§28, §30, §32, §33 i §65 BSIG (niemiecka transpozycja)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
BSIG nakłada obowiązki w jednej ustawie. §28 ustanawia zakres (kluczowy, ważny, operator KRITIS). §30 ustanawia dziesięć środków. §32 ustanawia kaskadę zgłaszania incydentów (24 godziny wczesne ostrzeżenie, 72 godziny zgłoszenie, jeden miesiąc raport końcowy). §33 ustanawia obowiązek rejestracji w BSI. §65 ustanawia pułap kar: do 10 milionów euro lub 2 procent obrotu grupy dla podmiotów kluczowych i operatorów KRITIS, do 7 milionów euro lub 1,4 procent dla podmiotów ważnych. Operatorzy KRITIS znajdują się w wyższym pułapie, nawet jeśli ich sektor w innym przypadku należałby do Załącznika II.
§29 BSIG i BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
§29 BSIG to cykl dowodowy specyficzny dla KRITIS. Co trzy lata operator przekazuje BSI audyt, inspekcję lub certyfikację wykazującą, że środki zgodnie z §30 faktycznie działają. Anlage jest zdefiniowana przez BSI-KritisV: ilościowe progi sektorowe (dystrybucja energii elektrycznej przy 500 GWh rocznie, woda pitna przy 22 milionach metrów sześciennych rocznie, ośrodki danych przy 3,5 megawata zakontraktowanej pojemności IT itd.). Osiągnijcie próg, a jesteście Betreiber kritischer Anlage. Cykl §29 dołącza się automatycznie.
Baza NIS 2 (artykuł 21 / §30 BSIG)
Dziesięć środków zarządzania ryzykiem zgodnie z artykułem 21(2): analiza ryzyka, obsługa incydentów, ciągłość działania, łańcuch dostaw, bezpieczny rozwój, obsługa podatności, szkolenia, kryptografia, kontrola dostępu, MFA. Proporcjonalnie do ryzyka zgodnie z artykułem 21(1). Ta sama lista, którą musi wdrożyć każdy podmiot kluczowy i ważny. Operatorzy KRITIS zaczynają tutaj, a nie gdzie indziej.
Trzyletni Nachweis zgodnie z §29 BSIG
Na wierzchu bazy NIS 2 operator KRITIS przekazuje BSI pakiet dowodowy co trzy lata: raport z audytu, inspekcję lub uznaną certyfikację obejmującą środki §30. Cykl jest stały, a nie oparty na ryzyku. Niedotrzymanie terminu uruchamia egzekwowanie zgodnie z §65 BSIG. Rejestracja zgodnie z §33 niesie również dodatkowe pola dla operatorów KRITIS: usługa krytyczna, metryki zaopatrzenia, lokalizacja Anlage oraz punkt kontaktowy 24/7.
Wyższy pułap kar i głębsza proporcjonalność
Zgodnie z §65 BSIG operatorzy KRITIS znajdują się w tym samym pułapie kar co podmioty kluczowe: do 10 milionów euro lub 2 procent obrotu grupy. Podmioty ważne (Załącznik II bez Anlage KRITIS) znajdują się o pułap niżej, przy 7 milionach euro lub 1,4 procent. Test proporcjonalności zgodnie z artykułem 21(1) również się przesuwa: argument kosztu wdrożenia jest trudniejszy do wysunięcia, gdy awaria Anlage dotyka setek tysięcy zaopatrywanych osób.
Jeden regulator, jedna baza dowodowa, dwie warstwy
BSI prowadzi oba reżimy z tego samego biura w Bonn. Audyt, który przekazujecie zgodnie z §29 BSIG, to ten sam audyt, który dowodzi waszych środków §30 dla NIS 2. Rejestr dostawców, który prowadzicie dla artykułu 21(2)(d), to ten sam rejestr, który BSI czyta podczas inspekcji §29. KRITIS nie powiela dowodów NIS 2. Po prostu prosi was o dowiedzenie środków NIS 2 w stałym cyklu, z wyższym pułapem kar jako zabezpieczeniem.
KRITIS jest dodatkowy, a nie zastępczy
Częste błędne odczytanie: 'jesteśmy KRITIS, więc zasady NIS 2 nie mają zastosowania.' Błędny kierunek. KRITIS stoi na wierzchu NIS 2 w BSIG, a nie obok niego. §28 wymienia operatorów KRITIS dodatkowo do podmiotów kluczowych i ważnych. §30 (środki), §32 (zgłaszanie) i §33 (rejestracja) stosują się do wszystkich trzech. §29 (trzyletni Nachweis) i wyższy pułap §65 to dodatki specyficzne dla KRITIS. Pominięcie środków NIS 2 narusza artykuł 21 dyrektywy.
BSI prowadzi oba reżimy
Bundesamt für Sicherheit in der Informationstechnik jest centralnym właściwym organem zgodnie z §40 BSIG. Rejestruje operatorów KRITIS, przegląda dowody §29, przyjmuje zgłoszenia incydentów §32 i egzekwuje zgodnie z §65. To samo biuro w Bonn obsługuje 60-osobowego producenta z Załącznika II i 5 000-osobowego dystrybutora energii elektrycznej. Inna skala, ten sam regulator, ten sam stos prawny.
Energetyka i telekomunikacja mają drugiego regulatora
Dwa sektory nie mają samego BSI. Operatorzy energetyczni odpowiadają przed Bundesnetzagentur za bezpieczeństwo sieci zgodnie z §11 EnWG. Telekomunikacja odpowiada przed Bundesnetzagentur za integralność sieci zgodnie z §165 TKG. Te nakładki stoją obok BSIG, a nie zamiast niego. Dystrybutor energii elektrycznej KRITIS zgłasza do BSI incydenty NIS 2 i do BNetzA zdarzenia istotne dla sieci. Ten sam budynek, dwie skrzynki odbiorcze.
Brak bezpośredniego odpowiednika KRITIS na poziomie UE
Dyrektywa NIS 2 nie zawiera reżimu KRITIS. ENISA nie prowadzi trzyletniego cyklu dowodowego. Najbliższym porównywalnym konstruktem jest dyrektywa CER (2022/2557) w sprawie odporności podmiotów krytycznych, która dotyczy odporności fizycznej, a nie cyberbezpieczeństwa. Inne państwa członkowskie transponują artykuł 21 i artykuł 23 w ten sam sposób, ale dodatkowa niemiecka warstwa KRITIS jest krajowym wyborem przeniesionym z ustawy IT-Sicherheitsgesetz z 2015 roku. Zagraniczne spółki zależne niemieckiego operatora KRITIS nie przejmują obowiązku §29 za granicą.
Jesteśmy KRITIS, więc nowe zasady NIS 2 nas nie dotyczą.
Błędny kierunek. §28 BSIG wymienia operatorów KRITIS jako jedną z trzech kategorii objętych regulacją obok podmiotów kluczowych i ważnych. §30 (środki), §32 (zgłaszanie), §33 (rejestracja) oraz baza artykułu 21 stosują się do wszystkich trzech. Dodatki specyficzne dla KRITIS to §29 (trzyletni Nachweis) i pułap kar §65. Jeśli pominiecie środki NIS 2, ponieważ 'KRITIS już to pokrywa', naruszacie artykuł 21 dyrektywy i niemiecką transpozycję.
Plasujemy się poniżej progu KRITIS-V, więc jesteśmy też poza NIS 2.
Próg BSI-KritisV (np. 500 GWh rocznie dla dystrybucji energii elektrycznej, 22 miliony metrów sześciennych rocznie dla wody, 3,5 megawata dla ośrodków danych) decyduje o KRITIS, a nie o NIS 2. Komunalny zakład użyteczności publicznej zaopatrujący 80 000 osób jest poniżej progu KRITIS, ale nadal w sektorze 1 załącznika I (energetyka) i niemal na pewno jest przedsiębiorstwem średniej wielkości. To umieszcza go w zakresie NIS 2 jako podmiot kluczowy, z obowiązkami §30, §32 i §33. Tylko bez trzyletniego cyklu §29 i z niższym pułapem kar §65.
Właśnie zaliczyliśmy audyt §29, więc dla NIS 2 też mamy z głowy.
Zaliczenie Nachweis §29 pokrywa cykl dowodowy. Nie wyłącza reszty NIS 2. Kaskada zgłaszania incydentów §32 (24 godziny / 72 godziny / jeden miesiąc) działa ciągle. Dane rejestracji §33 muszą być utrzymywane na bieżąco w ciągu dwóch tygodni od każdej zmiany (artykuł 27(2) NIS 2). Ryzyko dostawców zgodnie z §30(2) punkt 4 działa jako ciągły obowiązek. Audyt §29 to migawka. Reszta BSIG to system operacyjny.
Weźmy komunalny zakład użyteczności publicznej (Stadtwerk) w mieście liczącym 200 000 mieszkańców. Dystrybucja energii elektrycznej, woda pitna, ciepło sieciowe, transport publiczny oraz spółka zależna światłowodowa. Postawcie BSI-KritisV obok schematu firmy. Dystrybucja energii elektrycznej powyżej 500 GWh rocznie przekracza próg. Woda pitna powyżej 22 milionów metrów sześciennych rocznie go przekracza. Ciepło sieciowe poniżej progu go nie przekracza. Transport publiczny mieści się w Załączniku II dyrektywy, ale nie ma klasyfikacji Anlage w Niemczech.
Wynikiem jest jedna firma pod trzema poziomami odczytu naraz. Dwie linie biznesowe (Strom, Wasser) to Anlagen KRITIS z pełnym cyklem Nachweis §29 na wierzchu. Jedna linia biznesowa (Fernwärme) jest sektorem 1 załącznika I, ale poniżej progu KRITIS, więc NIS 2 kluczowy bez §29. Jedna linia biznesowa (ÖPNV) to transport z Załącznika II. Spółka zależna światłowodowa to sektor 8 załącznika I, jeśli sama przekracza próg wielkości. Jedna rejestracja §33 pokrywa podmiot prawny. Audyt §29 pokrywa wyłącznie Anlagen KRITIS. Środki §30 pokrywają wszystko.
Kontrola zakresu przechodzi przez progi BSI-KritisV wiersz po wierszu: która Anlage, który sektor, która metryka ilościowa, który próg. Jeśli przekroczycie jeden, strona oznacza cykl Nachweis §29 i przełącza profil firmy na operatora KRITIS. Moduł rejestracji wyświetla następnie dodatkowe pola §33 (usługa krytyczna, metryki zaopatrzenia, lokalizacja, kontakt 24/7). Kalkulator kar przełącza się na wyższy pułap §65.
Baza dowodowa jest współdzielona. Te same kontrole, które spełniają §30 BSIG, wytwarzają ślad audytowy, który przekazujecie BSI zgodnie z §29. Rejestr dostawców zgodnie z artykułem 21(2)(d) to ten sam rejestr, który jest przeglądany podczas inspekcji §29. Formularz zgłaszania incydentów pokrywa kaskadę §32 (24 godziny / 72 godziny / jeden miesiąc) dla obu reżimów. Jedna baza dowodowa, dwa miejsca docelowe zgłaszania, gdy jest to potrzebne (BSI plus, dla energetyki i telekomunikacji, BNetzA).
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21(1) (proporcjonalność), artykuł 21(2) (dziesięć środków), artykuł 27 (aktualizacja rejestracji) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (zakres), §29 (trzyletni Nachweis dla operatorów KRITIS), §30 (środki), §32 (zgłaszanie incydentów), §33 (rejestracja), §65 (kary) — gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), progi sektorowe dla energii elektrycznej, wody, żywności, ochrony zdrowia, transportu, finansów, IT i telekomunikacji, odpadów, przestrzeni kosmicznej — gesetze-im-internet.de/bsi-kritisv
- BSI, pakiet informacyjny 'Kritische Infrastrukturen' oraz NIS 2 FAQ — bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog gemäß §11 EnWG (nakładka sektora energetycznego) — bundesnetzagentur.de
- Dyrektywa (UE) 2022/2557 (CER) w sprawie odporności podmiotów krytycznych (odporność fizyczna, odrębna od NIS 2) — eur-lex.europa.eu/eli/dir/2022/2557/oj