NIS 2 a dyrektywa CER: cyberodporność obok odporności fizycznej
Dwie dyrektywy, przyjęte tego samego dnia, z tym samym terminem transpozycji, obejmujące niemal te same sektory krytyczne z dwóch różnych perspektyw.
Dwie dyrektywy, jeden pakiet odporności
14 grudnia 2022 roku UE przyjęła równolegle dwie dyrektywy. Directive (EU) 2022/2555 (NIS 2) jest dyrektywą o cyberbezpieczeństwie. Directive (EU) 2022/2557 (CER) jest dyrektywą w sprawie odporności podmiotów krytycznych. Obie musiały zostać transponowane do 17 października 2024.
NIS 2 chroni sieci i systemy informatyczne. CER chroni fizyczne funkcjonowanie podmiotów krytycznych przed zagrożeniami niecybernetycznymi, takimi jak zagrożenia naturalne, sabotaż, terroryzm, ataki wewnętrzne i pandemie. Objęte sektory mocno się nakładają, ale przedmiot ochrony jest inny.
Dla operatorów w energetyce, transporcie, bankowości, infrastrukturze rynków finansowych, ochronie zdrowia, wodzie pitnej, ściekach, infrastrukturze cyfrowej, administracji publicznej i przestrzeni kosmicznej obie dyrektywy często mają zastosowanie równolegle. Ta strona wiki przedstawia, gdzie te dwie się spotykają, a gdzie się rozchodzą.
NIS 2, Artykuł 2(3) (dosłownie)
This Directive applies to entities identified as critical entities under Directive (EU) 2022/2557.
Artykuł 2(3) NIS 2 ustanawia powiązanie wprost: podmiot, który państwo członkowskie wyznacza jako podmiot krytyczny na podstawie CER, jest objęty zakresem NIS 2 i jest traktowany jako podmiot kluczowy na podstawie Artykułu 3(1)(f) NIS 2.
CER, Artykuł 1 (przedmiot, dosłownie)
This Directive lays down obligations on Member States to take specific measures aimed at ensuring that services which are essential for the maintenance of vital societal functions or economic activities within the scope of Article 5 are provided in an unobstructed manner in the internal market, in particular obligations on Member States to identify critical entities and to support critical entities in meeting the obligations imposed on them.
CER koncentruje się na ciągłości usług kluczowych w obliczu zagrożeń fizycznych, naturalnych, hybrydowych i spowodowanych przez człowieka. Aspekt cybernetyczny pozostawiono NIS 2.
Transpozycja krajowa (Niemcy)
NIS 2 is transposed in Germany through the BSIG (NIS2UmsuCG draft). CER is transposed through a separate KRITIS-Dachgesetz (KRITIS umbrella act) led by the Federal Ministry of the Interior.
Obie dyrektywy są transponowane przez dwa różne akty krajowe, nadzorowane przez dwie różne agencje federalne. Według stanu na czerwiec 2026 niemiecka transpozycja NIS 2 jest wciąż w procedurze ustawodawczej, a ustawa parasolowa KRITIS jest w równoległym stanie projektu.
Listy sektorów nakładają się, ale nie idealnie
Załączniki I i II NIS 2 wymieniają 18 sektorów. Załącznik CER wymienia 11 sektorów. Sektory energetyki, transportu, bankowości, infrastruktury rynków finansowych, ochrony zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej pojawiają się w obu. CER dodatkowo obejmuje produkcję, przetwarzanie i dystrybucję żywności, co znajduje się poza NIS 2.
Sieci i systemy informatyczne a fizyczna ciągłość usług
NIS 2 chroni cyberbezpieczeństwo sieci i systemów informatycznych używanych przez podmiot. CER chroni zdolność podmiotu do dalszego świadczenia usługi kluczowej w obliczu zakłóceń fizycznych, naturalnych i spowodowanych przez człowieka. Ten sam operator, dwa różne pryzmaty ryzyka.
Podmioty krytyczne na podstawie CER są podmiotami kluczowymi na podstawie NIS 2
Artykuł 2(3) NIS 2 kieruje każdy podmiot wyznaczony jako podmiot krytyczny na podstawie CER bezpośrednio do NIS 2 jako podmiot kluczowy. Odwrotność nie zachodzi automatycznie: bycie objętym zakresem NIS 2 nie wyznacza cię jako podmiotu krytycznego na podstawie CER.
Ryzyko cybernetyczne to nie ryzyko fizyczne
Artykuł 21 NIS 2 wymaga środków zarządzania ryzykiem cyberbezpieczeństwa (polityki, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, kontrola dostępu, kryptografia itd.). Artykuły 12 do 13 CER wymagają planu odporności obejmującego środki ochrony fizycznej, redundancję, ciągłość działania i bezpieczeństwo personelu. Dowody miejscami się nakładają (na przykład plany ciągłości działania), ale katalog ryzyka jest inny.
Często ten sam operator, dwa raporty, dwa organy
Przedsiębiorstwo wodociągowe, grupa szpitalna, dystrybutor energii lub organ administracji publicznej mogą jednocześnie posiadać obowiązki na podstawie obu dyrektyw. Zazwyczaj oznacza to dwie równoległe oceny ryzyka i dwie równoległe linie zgłaszania, jedną do właściwego organu NIS 2 i jedną do właściwego organu CER.
BSI
W Niemczech Bundesamt fuer Sicherheit in der Informationstechnik (BSI) jest wiodącym organem dla wdrożenia NIS 2. BSI przyjmuje rejestracje, zgłoszenia incydentów i nadzoruje środki zarządzania ryzykiem cyberbezpieczeństwa NIS 2.
BBK
Niemieckim organem wiodącym dla CER jest Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe (BBK), a nie BSI. BBK nadzoruje wyznaczanie podmiotów krytycznych i odporność fizyczną na podstawie planowanego KRITIS-Dachgesetz.
ENISA i Grupa ds. Odporności Podmiotów Krytycznych
Po stronie cybernetycznej ENISA wspiera państwa członkowskie i operatorów na podstawie NIS 2. Po stronie CER Grupa ds. Odporności Podmiotów Krytycznych utworzona na podstawie Artykułu 19 CER koordynuje współpracę między państwami członkowskimi. Komisja wspiera obie warstwy, ale tory cybernetyczny i fizyczny pozostają instytucjonalnie odrębne na poziomie UE.
CER też obejmuje cyberbezpieczeństwo, więc potrzebujemy tylko jednego projektu
CER nie reguluje cyberbezpieczeństwa. Motyw 4 i przepisy o zakresie CER wprost pozostawiają ryzyko cybernetyczne NIS 2. CER koncentruje się na zagrożeniach fizycznych, naturalnych i spowodowanych przez człowieka dla usługi. Sam ISMS dotyczący wyłącznie cyber nie spełnia CER. Sam plan odporności fizycznej nie spełnia NIS 2.
Obie dyrektywy mają zastosowanie do dokładnie tych samych operatorów
Nakładanie się sektorów jest wysokie, ale nie 100-procentowe. CER obejmuje produkcję, przetwarzanie i dystrybucję żywności. NIS 2 obejmuje zarządzanie usługami ICT oraz kilka kategorii usług cyfrowych, których CER nie obejmuje. A nawet tam, gdzie mają zastosowanie obie, CER wymaga wyraźnego wyznaczenia przez państwo członkowskie, podczas gdy NIS 2 działa głównie poprzez samoidentyfikację względem kryteriów wielkości i sektora.
KRITIS to niemiecka transpozycja CER
KRITIS to wieloletnia niemiecka koncepcja, która poprzedza obie dyrektywy i obecnie jest rozproszona pomiędzy BSIG, BSI-KritisV i przepisy sektorowe. Planowany KRITIS-Dachgesetz ma transponować CER, ale nie jest tym samym co istniejący obwód KRITIS i nie jest transpozycją NIS 2. Trzy odrębne strumienie pracy, a nie jeden.
Regionalny dystrybutor energii zatrudniający około 400 osób prowadzi jeden ISMS dla NIS 2 (środki zarządzania ryzykiem z Artykułu 21, zgłoszenie incydentu do BSI w ciągu 24 godzin, bezpieczeństwo łańcucha dostaw, szkolenia). Równolegle ten sam dystrybutor prowadzi plan odporności podmiotu krytycznego na podstawie CER, obejmujący fizyczną ochronę obiektów, redundancję stacji transformatorowych, kontrole rzetelności personelu oraz ciągłość działania dla zakłóceń fizycznych. Oba plany dzielą dane wejściowe ciągłości działania, ale funkcjonują pod dwiema odrębnymi liniami ładu.
W codziennej praktyce najczystszym układem jest jeden rejestr ryzyka, który oznacza każde ryzyko jako cybernetyczne, fizyczne lub oba, i zasila dwa wyjścia: środki zarządzania ryzykiem cyberbezpieczeństwa NIS 2 po jednej stronie, plan odporności CER po drugiej. To pozwala uniknąć powielania inwentaryzacji aktywów i prac nad ciągłością działania, jednocześnie utrzymując regulacyjne produkty wyraźnie rozdzielone.
Ta platforma wdraża obowiązki z Artykułu 21 NIS 2 jako rejestr obowiązków: inwentaryzacja aktywów, inwentaryzacja dostawców, rejestr ryzyka, obsługa incydentów, ciągłość działania, szkolenia oraz dowody nadzoru. CER nie jest w zakresie platformy.
Operatorzy posiadający obowiązki na podstawie obu dyrektyw mogą ponownie wykorzystać inwentaryzację aktywów i dostawców NIS 2 jako dane wejściowe do swojego planu odporności CER, ale sam plan odporności CER funkcjonuje w odrębnym strumieniu pracy nadzorowanym przez właściwy organ CER.
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 (NIS 2). EUR-Lex: 32022L2555.
- Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, Article 2(3) on the link to CER. NIS 2, Annexes I and II on sectors.
- CER, Article 1 (subject matter), Article 5 (sectors), Article 6 (criteria for identification of critical entities), Articles 12 and 13 on resilience plans.
- Federal Office for Information Security (BSI), national NIS 2 implementation page.
- Federal Office of Civil Protection and Disaster Assistance (BBK), national CER implementation page.