§30 BSIG: dziesięć środków cyberbezpieczeństwa
Krótka odpowiedź: §30 niemieckiej BSIG to krajowa transpozycja artykułu 21 NIS 2. Podmioty kluczowe i ważne muszą wdrożyć dziesięć środków zarządzania ryzykiem, od analizy ryzyka, przez bezpieczeństwo łańcucha dostaw, po uwierzytelnianie wieloskładnikowe. Wdrożenie musi być proporcjonalne do wielkości, narażenia na ryzyko i stanu wiedzy technicznej.
Czego wymaga §30 BSIG
§30 BSIG znajduje się w centrum niemieckiego wdrożenia NIS 2. Zobowiązuje podmioty kluczowe i ważne do podejmowania odpowiednich, proporcjonalnych i skutecznych technicznych oraz organizacyjnych środków zarządzania ryzykami dla bezpieczeństwa ich systemów informacyjnych, komponentów i procesów.
Przepis ten transponuje artykuł 21 ust. 2 dyrektywy NIS 2 (dyrektywa (UE) 2022/2555) do prawa niemieckiego. Treść jest ogólnounijna i identyczna w każdym państwie członkowskim. Brzmienie dostosowano do niemieckiego stylu legislacyjnego, ale dziesięć środków z §30 ust. 2 pkt 1 do 10 BSIG odpowiada jeden do jednego artykułowi 21 ust. 2 lit. a) do j) NIS 2.
Obowiązki mają zastosowanie od dnia wejścia w życie NIS2UmsuCG. Ustawa nie przewiduje okresu przejściowego. Kto wchodzi w zakres, jest winien te środki od dnia, w którym wchodzi w zakres.
Nr 1: Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych
Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych. Odpowiada artykułowi 21 ust. 2 lit. a) NIS 2. Doprecyzowane przez CIR (UE) 2024/2690 sekcja 2 dla sektorów cyfrowych w jego załączniku.
Nr 2: Obsługa incydentów
Wykrywanie, reagowanie, ograniczanie, przywracanie i przegląd poincydentalny. Odpowiada artykułowi 21 ust. 2 lit. b) NIS 2. Sprzężone z obowiązkiem zgłaszania na podstawie §32 BSIG.
Nr 3: Ciągłość działania
Zarządzanie kopiami zapasowymi, przywracanie po awarii i zarządzanie kryzysowe. Odpowiada artykułowi 21 ust. 2 lit. c) NIS 2. Awaria chmury u Twojego dostawcy jest tu objęta.
Nr 4: Bezpieczeństwo łańcucha dostaw
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji z bezpośrednimi dostawcami i usługodawcami. Odpowiada artykułowi 21 ust. 2 lit. d) NIS 2. Obowiązek ten przechodzi umownie na każdego bezpośredniego dostawcę.
Nr 5: Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu
Środki bezpieczeństwa w nabywaniu, rozwoju i utrzymaniu systemów informacyjnych, komponentów i procesów, w tym obsługa i ujawnianie podatności. Odpowiada artykułowi 21 ust. 2 lit. e) NIS 2. Pokrywa się z obowiązkami Cyber Resilience Act dla produktów z elementami cyfrowymi.
Nr 6: Ocena skuteczności
Polityki i procedury oceny skuteczności środków zarządzania ryzykiem. Odpowiada artykułowi 21 ust. 2 lit. f) NIS 2. To pętla sprzężenia zwrotnego: nie tylko wprowadzić środki, ale sprawdzić, czy działają.
Nr 7: Cyberhigiena i szkolenia
Podstawowe praktyki cyberhigieny i szkolenia z cyberbezpieczeństwa. Odpowiada artykułowi 21 ust. 2 lit. g) NIS 2. Dotyczy całego personelu, ze szkoleniami specyficznymi dla ról IT. Szkolenie organu zarządzającego jest regulowane odrębnie na podstawie §38 ust. 3 BSIG.
Nr 8: Kryptografia i szyfrowanie
Polityki i procedury stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania. Odpowiada artykułowi 21 ust. 2 lit. h) NIS 2. 'W stosownych przypadkach' dopuszcza zróżnicowanie oparte na ryzyku, lecz wyklucza całkowite zwolnienie.
Nr 9: Bezpieczeństwo zasobów ludzkich, kontrola dostępu, zarządzanie aktywami
Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami. Odpowiada artykułowi 21 ust. 2 lit. i) NIS 2. Obejmuje wdrażanie i odejście pracowników, przyznawanie dostępu według zasady wiedzy koniecznej oraz inwentaryzację aktywów.
Nr 10: Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja
Rozwiązania uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczona komunikacja głosowa, wideo i tekstowa oraz, w stosownych przypadkach, zabezpieczone systemy łączności alarmowej w obrębie podmiotu. Odpowiada artykułowi 21 ust. 2 lit. j) NIS 2.
§30 ust. 1 zdanie 2 BSIG wymaga, aby środki dobierano z uwzględnieniem stanu wiedzy technicznej, odpowiednich norm europejskich i międzynarodowych oraz kosztu wdrożenia. Uwzględnia się wielkość, narażenie na ryzyko i prawdopodobieństwo incydentów.
Proporcjonalność nie jest przyzwoleniem na pominięcie środka. BSI jasno stwierdziło w swoich wytycznych do §38 ust. 3 BSIG, że całkowite przeniesienie ryzyka na ubezpieczenie cybernetyczne lub usługodawców jest wykluczone. Proporcjonalny oznacza: nie każdy środek na maksymalnej głębokości, lecz dostosowany do konkretnej sytuacji i udokumentowany na piśmie.
Artykuł 21 ust. 2 NIS 2 jest podstawą na poziomie UE. Dziesięć liter a) do j) jest wiążących. Brzmienie pozostawiono otwarte, aby państwa członkowskie mogły je dopasować do krajowych struktur nadzorczych. §30 BSIG przejmuje dziesięć środków jako pkt 1 do 10 bez odstępstwa merytorycznego.
Dla dostawców DNS, rejestrów TLD, dostawców chmury, centrów danych, sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, internetowych platform handlowych, wyszukiwarek internetowych, platform sieci społecznościowych i dostawców usług zaufania rozporządzenie wykonawcze Komisji UE 2024/2690 doprecyzowuje dziesięć środków w swoim załączniku. Rozporządzenie stosuje się bezpośrednio, bez transpozycji krajowej. Dla tych sektorów na półce stoją zarówno §30 BSIG, jak i CIR.
§30 BSIG ma zastosowanie do podmiotów kluczowych na podstawie §28 ust. 6 BSIG oraz podmiotów ważnych na podstawie §28 ust. 7 BSIG. Sektory są wymienione w załączniku 1 i załączniku 2 dyrektywy NIS 2. Próg wielkości to co najmniej 50 pracowników lub 10 milionów euro rocznego obrotu, ze szczególnymi zasadami dla KRITIS i dla sektorów objętych niezależnie od wielkości.
Jeśli nie masz pewności, zacznij od testu stosowalności na podstawie artykułu 2 NIS 2. Dostawcy podmiotów regulowanych również stykają się z §30 poprzez pkt 4 (łańcuch dostaw): obowiązki przechodzą umownie na bezpośrednich dostawców.
Naruszenia obowiązku stosowania środków na podstawie §30 BSIG są zagrożone administracyjnymi karami pieniężnymi na podstawie §65 BSIG. Dla podmiotów kluczowych maksimum to 10 milionów euro lub 2 procent globalnego obrotu z poprzedniego roku, w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych maksimum to 7 milionów euro lub 1,4 procent.
§38 BSIG dodaje osobistą odpowiedzialność organu zarządzającego za naruszenie obowiązku zatwierdzenia środków z §30 i nadzorowania ich wdrożenia. Odpowiedzialność nie zależy od tego, czy rzeczywiście doszło do szkody.
Najczęściej zadawane pytania dotyczące §30 BSIG
Czy §30 BSIG to to samo co artykuł 21 NIS 2?
Co do treści tak. §30 BSIG to niemiecka transpozycja artykułu 21 NIS 2. Dziesięć środków z §30 ust. 2 pkt 1 do 10 BSIG odpowiada jeden do jednego artykułowi 21 ust. 2 lit. a) do j) NIS 2. W pracy ogólnounijnej cytuj artykuł 21 NIS 2 jako źródło podstawowe i powołuj się na §30 BSIG jako transpozycję niemiecką.
Czy muszę wdrożyć wszystkie dziesięć środków?
Tak. Dziesięć środków nie jest opcjonalnych. Wybór następuje w obrębie każdego środka poprzez proporcjonalność. Pominięcie całego środka jest niedozwolone. Głębokość wdrożenia może być dostosowana do wielkości, narażenia na ryzyko i stanu wiedzy technicznej, ale pominięcie całego punktu jest niedozwolone.
Co proporcjonalność oznacza w praktyce?
Proporcjonalność na podstawie §30 ust. 1 zdanie 2 BSIG oznacza: środki są dostosowane do wielkości, narażenia na ryzyko, prawdopodobieństwa i dotkliwości incydentów oraz kosztu wdrożenia. Decyzja musi być udokumentowana na piśmie. Całkowite przeniesienie ryzyka na ubezpieczenie cybernetyczne lub usługodawcę nie jest akceptowane przez BSI jako proporcjonalne wdrożenie.
Jak udowodnić wdrożenie wobec BSI?
Poprzez dokumentację. Dla każdego z dziesięciu środków zapisz na piśmie wybrane wdrożenie, uzasadnienie głębokości oraz ocenę skuteczności. Audyt BSI na podstawie §61 lub §62 BSIG bada te zapisy, a nie ustne wyjaśnienia. Ustrukturyzowana samoocena obejmująca wszystkie dziesięć środków jest najszybszym punktem wyjścia.
Jaka jest różnica między §30 BSIG a IT-Grundschutz?
§30 BSIG to obowiązek. IT-Grundschutz to jedna konkretna metodyka, która spełnia ten obowiązek. §44 ust. 2 BSIG wskazuje IT-Grundschutz jako wystarczające wdrożenie. Inne standardy, takie jak ISO 27001, są równie możliwe, ale dowód pozostaje związany z dziesięcioma środkami z §30 BSIG, a nie ze strukturą wybranego standardu.