Analiza luk od ISO 27001 do NIS2
Certyfikacja ISO 27001 pokrywa mniej więcej 70% technicznych wymogów NIS2, ale pozostałe 30% obejmuje obszary o najwyższym ryzyku egzekwowania: rejestrację, terminy zgłaszania incydentów oraz osobistą odpowiedzialność kierownictwa.
ISO 27001 to przewaga na starcie, a nie linia mety
Jeśli Twoja firma posiada certyfikat ISO 27001:2022, jesteś o krok przed większością podmiotów objętych NIS2. Ramy systemu zarządzania bezpieczeństwem informacji, metodyka oceny ryzyka oraz zabezpieczenia z Załącznika A dobrze odwzorowują dziesięć obszarów środków cyberbezpieczeństwa określonych w §30(2) BSIG. BSI wyraźnie potwierdził, że certyfikacja ISO 27001 świadczy o dojrzałej postawie w zakresie bezpieczeństwa, ale równie wyraźnie stwierdził, że sama certyfikacja nie jest równoznaczna ze zgodnością z NIS2.
Luka istnieje, ponieważ NIS2 wprowadza obowiązki, których ISO 27001 nigdy nie miał obejmować. ISO 27001 to dobrowolny standard systemu zarządzania, skupiony na bezpieczeństwie informacji wewnątrz organizacji. NIS2 to obowiązek regulacyjny, skupiony na odporności infrastruktury krytycznej, obejmujący raportowanie do organów państwowych, osobistą odpowiedzialność kierownictwa oraz kary ustawowe. To zasadniczo różne paradygmaty zgodności: jeden dotyczy najlepszych praktyk, drugi zgodności z prawem.
Wytyczne mapujące ENISA oraz analizy DataGuard, secuvera i samego BSI konsekwentnie wskazują te same luki. Zrozumienie, gdzie ISO 27001 pokrywa NIS2, a gdzie nie, pozwala certyfikowanym firmom budować na istniejącym systemie zarządzania bezpieczeństwem informacji zamiast zaczynać od zera, jednocześnie zapewniając, że nie przeoczą wymogów specyficznych dla regulacji, które niosą najwyższe ryzyko egzekwowania.
Zarządzanie ryzykiem (§30(2)(1) BSIG)
Punkty 6.1 i 8.2 ISO 27001 wymagają identyfikacji, analizy, oceny i postępowania z ryzykiem, czyli dokładnie tego, czego wymaga §30(2)(1). Istniejąca metodyka oceny ryzyka w systemie zarządzania bezpieczeństwem informacji, jeśli jest właściwie utrzymywana, spełnia ten wymóg. Upewnij się, że Twój rejestr ryzyka obejmuje w szczególności ryzyka technologii operacyjnej oraz łańcucha dostaw, a nie tylko ryzyka bezpieczeństwa informacji.
Kontrola dostępu (§30(2)(5) BSIG)
Zabezpieczenia z Załącznika A.5.15 do A.5.18 oraz A.8.2 do A.8.5 ISO 27001 obejmują politykę kontroli dostępu, nadawanie dostępu użytkownikom, zarządzanie dostępem uprzywilejowanym oraz ograniczanie dostępu do informacji. Odwzorowuje się to bezpośrednio na wymogi §30(2)(5) BSIG dotyczące kontroli dostępu do sieci i systemów informatycznych.
Obsługa incydentów (§30(2)(2) BSIG)
Zabezpieczenia z Załącznika A.5.24 do A.5.28 ISO 27001 obejmują planowanie zarządzania incydentami, ocenę, reagowanie i wyciąganie wniosków. Wymagany przez NIS2 techniczny proces obsługi incydentów jest dobrze pokryty, choć terminy zgłaszania oraz powiadamianie BSI nie są częścią ISO 27001 (zob. luki poniżej).
Ciągłość działania (§30(2)(3) BSIG)
Zabezpieczenia z Załącznika A.5.29 i A.5.30 ISO 27001 dotyczą bezpieczeństwa informacji w czasie zakłóceń oraz gotowości ICT na potrzeby ciągłości działania. W połączeniu z właściwą analizą wpływu na działalność (BIA) oraz przetestowanymi procedurami odtwarzania pokrywa to wymogi NIS2 dotyczące ciągłości w znacznym stopniu.
Kryptografia (§30(2)(8) BSIG)
Zabezpieczenie z Załącznika A.8.24 ISO 27001 obejmuje stosowanie kryptografii. Dojrzały system zarządzania bezpieczeństwem informacji obejmuje polityki kryptograficzne, procedury zarządzania kluczami oraz standardy doboru algorytmów, które są zgodne z wymogami NIS2 dotyczącymi kryptografii.
Relacje z dostawcami (§30(2)(4) BSIG - częściowo)
Zabezpieczenia z Załącznika A.5.19 do A.5.23 ISO 27001 dotyczą bezpieczeństwa informacji w relacjach z dostawcami, w tym oceny dostawców, monitorowania świadczenia usług oraz zarządzania zmianą. Stanowi to fundament, ale NIS2 wymaga bardziej rozbudowanej należytej staranności w zakresie łańcucha dostaw (zob. luki).
Szkolenia i świadomość (§30(2)(9) BSIG)
Zabezpieczenie z Załącznika A.6.3 ISO 27001 obejmuje świadomość, edukację i szkolenia w zakresie bezpieczeństwa informacji. Jest to zgodne z ogólnym wymogiem szkoleniowym NIS2, choć NIS2 dodaje szczególne obowiązki szkolenia kierownictwa na podstawie §38 BSIG, które wykraczają poza zakres ISO 27001.
Obowiązek rejestracji w BSI (§33 BSIG)
ISO 27001 nie zna pojęcia rejestracji w organie państwowym. §33 BSIG wymaga, aby każdy podmiot objęty NIS2 zarejestrował się w BSI, podając informacje o podmiocie, klasyfikację sektorową, dane kontaktowe oraz zakresy adresów IP. Jest to samodzielny obowiązek regulacyjny z własnymi przepisami karnymi, a Twoja certyfikacja ISO go nie uruchamia ani nie zastępuje.
Terminy zgłaszania incydentów (§32 BSIG)
ISO 27001 wymaga reagowania na incydenty, ale nie ustala terminów zgłaszania zewnętrznego. §32 BSIG nakazuje: wczesne ostrzeżenie do BSI w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu jednego miesiąca. Są to ustawowe terminy z odrębnymi karami za niezgodność. Twój proces obsługi incydentów w systemie zarządzania bezpieczeństwem informacji musi zostać rozszerzony o procedury zgłaszania właściwe dla BSI.
Osobista odpowiedzialność kierownictwa (§38 BSIG)
ISO 27001 wymaga zaangażowania i przywództwa kierownictwa (punkt 5), ale nie tworzy osobistej odpowiedzialności prawnej. §38 BSIG czyni Geschäftsleiter osobiście odpowiedzialnymi za zaniechania w ładzie cyberbezpieczeństwa, w tym za niezbywalny obowiązek zatwierdzania środków, nadzorowania wdrożenia oraz ukończenia osobistego szkolenia w zakresie cyberbezpieczeństwa. Żadne zabezpieczenie ISO tego nie obejmuje.
Ustawowe ramy kar (§65 BSIG)
Niezgodność z ISO 27001 skutkuje utratą certyfikacji, czyli konsekwencją reputacyjną. Niezgodność z NIS2 na podstawie §65 BSIG niesie kary do 10 milionów EUR lub 2% globalnego obrotu dla podmiotów kluczowych. Mechanizm egzekwowania jest zasadniczo odmienny: kary państwowe versus dobrowolny status certyfikacji.
Wzmocniona należyta staranność w łańcuchu dostaw (§30(2)(4) BSIG)
Choć Załącznik A.5.19-A.5.23 ISO 27001 obejmuje bezpieczeństwo dostawców, NIS2 wymaga bardziej szczegółowej oceny ryzyka łańcucha dostaw, w tym oceny własnej dojrzałości cyberbezpieczeństwa dostawców, uwzględnienia podatności specyficznych dla łańcucha dostaw oraz oceny krytycznych zależności. Załącznik CIR 2024/2690 określa umowne wymogi bezpieczeństwa oraz bieżące monitorowanie dostawców, które wykraczają poza zabezpieczenia ISO 27001 dotyczące zarządzania dostawcami.
Wymogi ładu specyficzne dla NIS2
NIS2 wymaga określonych struktur ładu, w tym wyznaczonych punktów kontaktowych dla BSI (§33 BSIG), uczestnictwa w sektorowych zespołach CSIRT oraz zgodności z nakazami egzekucyjnymi BSI. Są to regulacyjne wymogi ładu, które leżą poza zakresem systemu zarządzania bezpieczeństwem informacji, ponieważ dotyczą relacji między podmiotem a organami państwowymi, a nie wewnętrznego zarządzania bezpieczeństwem.
| Środek NIS2 / §30(2) BSIG | Zabezpieczenia ISO 27001:2022 | Pokrycie |
|---|---|---|
| Analiza ryzyka i polityki bezpieczeństwa | Punkt 6.1, 8.2; A.5.1 | Pełne |
| Obsługa incydentów | A.5.24-A.5.28 | Częściowe - brak terminów zgłaszania do BSI |
| Ciągłość działania i zarządzanie kryzysowe | A.5.29, A.5.30 | Pełne |
| Bezpieczeństwo łańcucha dostaw | A.5.19-A.5.23 | Częściowe - brak wzmocnionej należytej staranności |
| Bezpieczeństwo w nabywaniu, rozwoju, utrzymaniu | A.8.25-A.8.31 | Pełne |
| Ocena skuteczności | Punkt 9.1, 9.2, 9.3; A.8.8 | Pełne |
| Szkolenia z cyberbezpieczeństwa | A.6.3 | Częściowe - nieobjęte szkolenie kierownictwa z §38 |
| Kryptografia | A.8.24 | Pełne |
| Kontrola dostępu i zarządzanie aktywami | A.5.9-A.5.18; A.8.2-A.8.5 | Pełne |
| Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja | A.8.5 | Częściowe - wymóg MFA bardziej szczegółowy w NIS2 |
- ISO/IEC 27001:2022 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji
- BSIG - §30(2) (Risikomanagementmaßnahmen), §32 (Meldepflichten), §33 (Registrierung), §38 (Geschäftsleitung), §65 (Bußgeldvorschriften)
- BSI - Wytyczne dotyczące relacji między certyfikacją ISO 27001 a zgodnością z NIS2
- ENISA - Wytyczne mapowania NIS2 na ISO 27001 (2024)
- DataGuard - Analiza luk i mapowanie od ISO 27001 do NIS2 (2024)
- CIR (EU) 2024/2690 - Załącznik z wymogami technicznymi i odniesieniami do ISO 27001