Jedna platforma. Każde wymaganie UE. Bez luk.
UE stworzyła NIS2, aby zharmonizować cyberbezpieczeństwo w całej Europie. Następnie 27 krajów wdrożyło ją w różny sposób. My to naprawiliśmy.
Standaryzacja, której nigdy nie było
NIS2 miała być wielkim unifikatorem - jedną dyrektywą, która ujednolici wymagania w zakresie cyberbezpieczeństwa we wszystkich 27 państwach członkowskich UE. W praktyce osiągnęła skutek odwrotny. Dyrektywa ustala wymagania minimalne, a każdy kraj może wprowadzić surowsze. Większość to zrobiła. Rezultatem jest mozaika przepisów krajowych, z których każdy ma własną interpretację, własne progi i własne oczekiwania w zakresie egzekwowania.
Następnie Komisja Europejska dodała CIR 2024/2690, rozporządzenie wykonawcze, które precyzuje wymagania techniczne dla najbardziej krytycznych podmiotów transgranicznych. Nie zastępuje ono prawa krajowego - nakłada się na nie. Tak więc firmy stają teraz wobec trzech warstw wymagań, które nakładają się, są ze sobą sprzeczne i wprowadzają zamieszanie mniej więcej w równym stopniu.
Jeśli działasz w wielu krajach UE lub po prostu chcesz wiedzieć, co w konkretach faktycznie oznacza "zgodność z NIS2", zostajesz sam. Nie istnieje jedno źródło prawdy. Do teraz.
Dyrektywa NIS2 (UE 2022/2555)
Dyrektywa na poziomie UE, która ustanawia minimalne wymagania w zakresie cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Celowo nieprecyzyjna co do szczegółów wdrożenia - mówi, co osiągnąć, a nie jak to osiągnąć. Każde państwo członkowskie musi transponować ją do prawa krajowego i ma wyraźnie dozwolone iść dalej.
BSIG - niemiecka transpozycja krajowa
Niemcy transponowały NIS2 do BSIG (BSI-Gesetz). Wykracza ono znacząco poza minima dyrektywy: surowsze terminy zgłaszania incydentów, szerszy zakres podmiotów objętych oraz wyraźna odpowiedzialność kierownictwa na podstawie § 38. Jeśli działasz w Niemczech, sama dyrektywa nie wystarczy - to BSIG egzekwują audytorzy.
CIR 2024/2690 - rozporządzenie wykonawcze UE
Rozporządzenie wykonawcze Komisji precyzuje szczegółowe wymagania techniczne i metodyczne dla podmiotów świadczących usługi transgraniczne (DNS, chmura, CDN, centra danych i inne). W przeciwieństwie do dyrektywy ma ono bezpośrednie zastosowanie - nie jest potrzebna transpozycja krajowa. Dodaje szczegółowe wymagania dotyczące zarządzania ryzykiem, obsługi incydentów i bezpieczeństwa łańcucha dostaw, które znacznie wykraczają poza tekst dyrektywy.
IT-Grundschutz - metodyka wdrożeniowa BSI
Standardy IT-Grundschutz BSI (BSI-200-1, 200-2, 200-3) definiują dokładnie, jak wdrożyć wymagania w praktyce. Na podstawie § 44 ust. 2 BSIG wdrożenie Grundschutz jest wyraźnie uznawane za spełnienie obowiązków NIS2 w Niemczech. Jest to najbardziej szczegółowa i najbardziej nakazowa warstwa - i ta, która zamienia ogólnikowe sformułowania polityki w konkretne, audytowalne środki kontroli.
Najsurowszy wspólny mianownik
Nasza platforma nie wybiera jednej ramy i nie liczy na najlepsze. Dla każdego zagadnienia zgodności - zarządzania ryzykiem, zgłaszania incydentów, kontroli dostępu, szyfrowania, szkoleń, łańcucha dostaw - identyfikujemy najsurowsze wymaganie spośród wszystkich trzech źródeł normatywnych: dyrektywy NIS2, CIR 2024/2690 oraz BSIG wraz z metodyką IT-Grundschutz.
Następnie wbudowujemy tę najsurowszą wersję w platformę jako wartość domyślną. Każdy formularz, każdy przepływ pracy, każde wymaganie dowodowe jest zaprojektowane tak, aby spełniać najwyższą poprzeczkę. Gdy zrealizujesz wymaganie na naszej platformie, nie spełniasz wyłącznie standardu niemieckiego ani minimum UE - spełniasz je wszystkie jednocześnie.
Rezultat: spełnij wymagania raz, bądź zgodny wszędzie. Niezależnie od tego, czy działasz tylko w Niemczech, w całej UE, czy podlegasz transgranicznemu zakresowi CIR, twoja postawa w zakresie zgodności się utrzymuje. Bez powielania pracy, bez luk, bez niespodzianek podczas audytu w innej jurysdykcji.
| Obszar zgodności | Dyrektywa NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Zarządzanie ryzykiem | "Odpowiednie i proporcjonalne" środki, bez narzuconej metodyki | Wyraźna metodyka oceny ryzyka z określonymi kryteriami, udokumentowana akceptacja ryzyka | Pełna analiza ryzyka oparta na aktywach zgodnie z BSI-200-3, modelowanie zagrożeń zgodnie z kompendium IT-Grundschutz, obowiązkowy przegląd roczny |
| Zgłaszanie incydentów | Wczesne ostrzeżenie w ciągu 24 godz., pełne zgłoszenie w ciągu 72 godz. | Te same terminy, dodatkowo powtarzające się incydenty muszą być agregowane i zgłaszane jako wzorzec | 24 godz./72 godz. plus obowiązkowe zgłoszenie do BSI, kierownictwo musi zostać niezwłocznie powiadomione, wymagana analiza przyczyny źródłowej |
| Bezpieczeństwo łańcucha dostaw | Uwzględnienie ryzyk łańcucha dostaw, uwzględnienie podatności dostawców | Udokumentowana ocena dostawców, umowne wymagania bezpieczeństwa, okresowa ponowna ocena | Rejestr ryzyka dostawców powiązany z inwentaryzacją aktywów, śledzony status rejestracji NIS2, audytowanie dostawców na poziomie Grundschutz |
| Szyfrowanie i kryptografia | "W stosownych przypadkach" - stosowanie kryptografii i szyfrowania | Wymagana polityka kryptografii, udokumentowane zarządzanie kluczami, oceniona przydatność algorytmów | Wytyczne techniczne BSI (TR-02102) definiują zatwierdzone algorytmy, długości kluczy i protokoły - bez miejsca na interpretację |
| Kontrola dostępu | Polityki kontroli dostępu do sieci i systemów informatycznych | Dostęp oparty na rolach, zarządzanie dostępem uprzywilejowanym, regularne przeglądy dostępu | Zasada wiedzy koniecznej, rozdzielenie obowiązków, obowiązkowe MFA dla dostępu administracyjnego, udokumentowane RBAC z roczną recertyfikacją |
| Szkolenia z cyberbezpieczeństwa | Regularne szkolenia dla kierownictwa i wszystkich pracowników | Szkolenia dostosowane do roli, kierownictwo musi wykazać kompetencje w nadzorze nad ryzykiem | Roczne szkolenia uświadamiające dla wszystkich pracowników, szkolenia dostosowane do roli dla personelu IT, obowiązkowe szkolenie kierownictwa z odpowiedzialności na podstawie § 38 BSIG |
Transgraniczność domyślnie
Działasz w Niemczech, rozwijasz się we Francji, obsługujesz klientów w Holandii - twoja zgodność utrzymuje się wszędzie. Bez przeróbek specyficznych dla jurysdykcji, bez drugiego audytu. Jeden proces obejmuje wszystkie 27 państw członkowskich, ponieważ spełniasz już najsurowszą interpretację.
Zero niejednoznaczności
Dyrektywa NIS2 jest celowo nieprecyzyjna. "Odpowiednie środki" oznaczają różne rzeczy dla różnych audytorów. Nasza platforma eliminuje tę niejednoznaczność, przyjmując domyślnie najbardziej konkretne, najbardziej nakazowe dostępne wymaganie. Nigdy nie musisz zgadywać, czy twoja interpretacja jest "wystarczająca".
Zgodność odporna na przyszłość
Przepisy tylko się zaostrzają. Kraje, które transponowały NIS2 dzisiaj na poziomie minimalnym, jutro pójdą dalej. Spełniając już najwyższy obecny standard, wyprzedzasz każde przyszłe zaostrzenie - zamiast nadrabiać w pośpiechu.
Gotowość do audytu od pierwszego dnia
Audytorzy BSI oczekują dowodów na poziomie Grundschutz. Oceny ENISA sprawdzają zgodność z CIR. Nasza platforma automatycznie generuje dowody, które spełniają oba. Przypisania, zatwierdzenia, terminy i ścieżki audytu są wbudowane w przepływ pracy - są one procesem zgodności, a nie dodatkiem na później.
To najczęstszy zarzut - i jest błędny. Różnica między spełnieniem minimalnych wymagań dyrektywy NIS2 a spełnieniem standardu BSIG/Grundschutz to nie więcej wprowadzania danych, więcej dokumentów ani więcej pracy na próżno. To więcej struktury. Te same informacje, które firma podaje na potrzeby ćwiczenia odhaczania minimalnych wymagań NIS2, to te same informacje, które są potrzebne do wdrożenia na poziomie Grundschutz.
Dodatkowa "praca" to zrozumienie: wiedza, które aktywa udokumentować, jak ustrukturyzować ocenę ryzyka, co stanowi odpowiedni dowód. To właśnie tym zajmuje się za ciebie nasza platforma. Formularze prowadzą cię przez właściwe pytania. Przepływy pracy wymuszają właściwy proces. Dowody są generowane w trakcie pracy.
W praktyce firma korzystająca z naszej platformy nie spędza więcej czasu niż firma korzystająca z narzędzia opartego na liście kontrolnej minimalnej zgodności. Różnica polega na tym, że nasz wynik faktycznie utrzymuje się podczas audytu - w każdym kraju UE, na podstawie każdego mającego zastosowanie przepisu. Wysiłek jest identyczny. Rezultat jest nieporównanie lepszy.
Najczęściej zadawane pytania
Czy to nie przesada dla firmy, która działa tylko w jednym kraju?
Nie. Nawet w obrębie jednego kraju stajesz wobec wielu nakładających się wymagań: transpozycji krajowej, potencjalnie CIR, jeśli świadczysz usługi transgraniczne, oraz praktycznych oczekiwań twojego krajowego audytora. Spełnianie najsurowszego wspólnego mianownika oznacza, że nigdy nie musisz martwić się, który konkretny przepis ma zastosowanie do której części twojej działalności. To nie przesada - to jedyne podejście, które całkowicie usuwa niejednoznaczność.
Co, jeśli mój kraj ma inne wymagania niż niemieckie BSIG?
Każdy kraj UE transponował NIS2 na poziomie minimum dyrektywy lub powyżej. Niemieckie BSIG należy do najsurowszych transpozycji. Jeśli spełniasz wymagania na poziomie BSIG, automatycznie przekraczasz to, czego wymaga twój kraj. Pomyśl o tym jak o nadzbiorze: najsurowsze prawo krajowe plus CIR plus dyrektywa obejmują każdą możliwą interpretację, jaką mogłoby egzekwować jakiekolwiek państwo członkowskie.
Czy surowsze podejście kosztuje więcej lub trwa dłużej?
Nie. Platforma prowadzi cię przez tę samą liczbę kroków niezależnie od wszystkiego. Różnica polega na tym, jak te kroki są ustrukturyzowane - nasze formularze i przepływy pracy są zaprojektowane tak, aby zbierać informacje na poziomie szczegółowości, który spełnia metodykę Grundschutz. Nie wykonujesz więcej pracy; wykonujesz tę samą pracę dokładniej. Nakład czasu jest porównywalny z dowolnym narzędziem zgodności, ale wynik jest możliwy do obrony we wszystkich jurysdykcjach UE.
A co z ISO 27001? Czy nadal go potrzebuję?
ISO 27001 to standard systemu zarządzania, a nie wymóg prawny. NIS2, BSIG i CIR to obowiązki prawne. Istnieje znaczne pokrycie - jeśli spełnisz wymagania naszej platformy, pokryłeś mniej więcej 70-80% środków kontroli z załącznika A ISO 27001. Ale służą one różnym celom: zgodność z NIS2 jest obowiązkowa i egzekwowana prawnie, certyfikacja ISO 27001 jest dobrowolna i napędzana rynkiem. Nasza platforma w pierwszej kolejności koncentruje się na obowiązkach prawnych. Dostosowanie do ISO 27001 pojawi się jako przyszła funkcja.
Jak CIR 2024/2690 odnosi się do prawa krajowego, takiego jak BSIG?
CIR to rozporządzenie wykonawcze UE - ma bezpośrednie zastosowanie we wszystkich państwach członkowskich bez transpozycji krajowej. Nie zastępuje prawa krajowego; dodaje się do niego. W przypadku podmiotów objętych zakresem CIR (przede wszystkim transgranicznych dostawców infrastruktury cyfrowej) musisz przestrzegać zarówno swojej transpozycji krajowej (np. BSIG w Niemczech), jak i CIR. Tam, gdzie się nakładają, ma zastosowanie surowsze wymaganie. Tam, gdzie się nie nakładają, oba mają zastosowanie niezależnie. Nasza platforma obsługuje to nawarstwianie, abyś ty nie musiał.