Przewodnik wdrożeniowy CIR 2024/2690
Rozporządzenie wykonawcze UE, które precyzyjnie określa, jakie środki techniczne i metodyczne muszą wdrożyć podmioty objęte NIS2 - opublikowane w Dzienniku Urzędowym 17 października 2024 r. i bezpośrednio stosowane we wszystkich państwach członkowskich.
Czym jest CIR 2024/2690?
Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej (seria OJ L, 2024/2690). Ustanawia ono zasady stosowania dyrektywy (UE) 2022/2555 (dyrektywy NIS2) w odniesieniu do technicznych i metodycznych wymagań środków zarządzania ryzykiem w cyberbezpieczeństwie. W odróżnieniu od samej dyrektywy NIS2, rozporządzenie to nie wymaga transpozycji krajowej - obowiązuje bezpośrednio we wszystkich 27 państwach członkowskich od dnia wejścia w życie.
CIR jest odpowiedzią na pytanie, które zadaje każdy specjalista ds. zgodności: 'Co dokładnie musimy wdrożyć?' Podczas gdy §30 BSIG (niemiecka transpozycja) wymienia 10 obszarów środków w sposób ogólny, załącznik do CIR rozkłada je na konkretne, audytowalne wymagania techniczne i metodyczne. Jest to najbardziej szczegółowa dostępna oficjalna specyfikacja obowiązków NIS2 - bardziej szczegółowa niż sama dyrektywa, bardziej konkretna niż BSIG i bezpośrednio egzekwowalna.
Rozporządzenie zostało opracowane w konsultacji z ENISA i Grupą Współpracy NIS, w oparciu o istniejące ramy, w tym ISO/IEC 27001, ETSI EN 319 401 oraz normy krajowe. Ma ono zastosowanie w szczególności do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług zarządzania ICT, dostawców zarządzanych usług bezpieczeństwa, dostawców internetowych platform handlowych, dostawców wyszukiwarek internetowych, dostawców platform usług sieci społecznościowych oraz dostawców usług zaufania - choć jego wymagania techniczne stanowią faktyczny punkt odniesienia dla wszystkich podmiotów objętych NIS2.
Dostawcy usług DNS
Rejestry nazw TLD
Dostawcy usług chmurowych
Dostawcy usług zarządzania ICT (usług zarządzanych) oraz dostawcy zarządzanych usług bezpieczeństwa
Dostawcy internetowych platform handlowych
Dostawcy platform usług sieci społecznościowych
Dostawcy usług zaufania
Struktura rozporządzenia
CIR składa się z 7 artykułów definiujących zakres, definicje i wymagania, a także szczegółowego załącznika zawierającego specyfikacje techniczne i metodyczne.
Artykuł 2 - Definicje
Ustanawia definicje 'bezpieczeństwa sieci i systemów informatycznych', 'poważnego incydentu' oraz innych kluczowych pojęć. Ujednolica terminologię z dyrektywą NIS2, dodając jednocześnie precyzję właściwą dla wdrożenia.
Artykuł 3 - Istotność incydentów
Definiuje, kiedy incydent jest 'poważny' - próg uruchamiający obowiązki zgłoszeniowe. Incydent jest poważny, jeżeli powoduje stratę finansową przekraczającą 500 000 EUR lub 5% rocznego obrotu, prowadzi do wycieku tajemnic handlowych, powoduje śmierć lub znaczną szkodę na zdrowiu, lub spełnia kryteria właściwe dla danego podmiotu określone w tym artykule.
Artykuł 4 - Powtarzające się poważne incydenty
Określa, że powtarzające się incydenty, które pojedynczo nie osiągają progu istotności, mogą zostać zagregowane i potraktowane jako jeden poważny incydent, jeżeli łącznie spełniają kryteria w okresie sześciu miesięcy.
Artykuł 5 - Poważne incydenty dla rejestrów DNS i TLD
Dodaje szczególne kryteria istotności dla dostawców usług DNS i rejestrów TLD, w tym dostępność usługi poniżej 99,9% przez jakikolwiek okres, nieprawidłowy odsetek odpowiedzi DNS oraz naruszenie integralności lub poufności przechowywanych danych rejestracyjnych domen.
Artykuł 6 - Wymagania techniczne i metodyczne
Artykuł podstawowy - wymaga od objętych podmiotów wdrożenia wymagań technicznych i metodycznych określonych w załączniku. Środki muszą być 'odpowiednie i proporcjonalne' do ryzyk, z uwzględnieniem wielkości podmiotu, jego narażenia, prawdopodobieństwa wystąpienia incydentów oraz wpływu społecznego.
Artykuł 7 - Wejście w życie
Rozporządzenie weszło w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym (opublikowane 17 października 2024 r.). Obowiązuje bezpośrednio we wszystkich państwach członkowskich, bez konieczności transpozycji krajowej.
Polityka bezpieczeństwa sieci i systemów informatycznych
Wymaga udokumentowanej polityki bezpieczeństwa zatwierdzonej przez kierownictwo, przeglądanej co najmniej raz w roku oraz aktualizowanej po poważnych incydentach lub zmianach. Musi określać role, obowiązki oraz ramy dla wszystkich kolejnych środków. Musi obejmować politykę akceptacji ryzyka oraz dowody zaangażowania kierownictwa.
Zarządzanie ryzykiem
Wymaga udokumentowanej metodyki oceny ryzyka, identyfikacji ryzyka obejmującej wszystkie krytyczne zasoby i procesy, analizy ryzyka z oceną prawdopodobieństwa i skutków, postępowania z ryzykiem z udokumentowanymi decyzjami (akceptacja, ograniczenie, przeniesienie, unikanie) oraz akceptacji ryzyka szczątkowego przez kierownictwo. Musi być przeglądane w zaplanowanych odstępach oraz po poważnych zmianach.
Obsługa incydentów
Wymaga procedur wykrywania, klasyfikacji, reagowania i odtwarzania po incydentach. Musi określać role i obowiązki w zakresie obsługi incydentów, ustanawiać kanały komunikacji, obejmować analizę poincydentalną (wnioski) oraz prowadzić rejestry incydentów. Wykrywanie musi obejmować monitorowanie anomalii oraz znanych wskaźników kompromitacji.
Ciągłość działania i zarządzanie kryzysowe
Wymaga analizy wpływu na działalność, planów ciągłości dla usług krytycznych, procedur tworzenia kopii zapasowych i odtwarzania z przetestowaną zdolnością przywracania oraz procedur zarządzania kryzysowego. Integralność kopii zapasowych musi być regularnie weryfikowana. Docelowe czasy odtwarzania muszą być zdefiniowane i przetestowane. Plany muszą być przeglądane po incydentach lub poważnych zmianach.
Bezpieczeństwo łańcucha dostaw
Wymaga polityki bezpieczeństwa łańcucha dostaw, oceny praktyk cyberbezpieczeństwa bezpośrednich dostawców, umownych wymagań bezpieczeństwa dla produktów i usług ICT oraz monitorowania poziomu bezpieczeństwa dostawcy przez cały okres obowiązywania umowy. Musi uwzględniać ryzyka specyficzne dla łańcucha dostaw, w tym wynikające z własnego łańcucha dostaw dostawcy.
Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu
Wymaga bezpiecznego cyklu życia oprogramowania dla rozwoju wewnętrznego, wymagań bezpieczeństwa dla nabywanych produktów i usług ICT, zarządzania konfiguracją, procedur zarządzania zmianą oraz testowania bezpieczeństwa (w tym skanowania podatności i testów penetracyjnych tam, gdzie to właściwe). Musi obejmować pełny cykl życia od nabycia po wycofanie z eksploatacji.
Kryptografia
Wymaga polityki stosowania kryptografii, w tym doboru algorytmów kryptograficznych i długości kluczy odpowiednich do klasyfikacji danych, procedur zarządzania kluczami (generowanie, dystrybucja, przechowywanie, rotacja, unieważnianie, niszczenie) oraz okresowego przeglądu implementacji kryptograficznych pod kątem aktualnych najlepszych praktyk i znanych podatności.
Kontrola dostępu i zarządzanie zasobami
Wymaga polityki kontroli dostępu opartej na wymaganiach biznesowych i bezpieczeństwa, zarządzania tożsamością z unikalną identyfikacją użytkowników, procedur nadawania i odbierania dostępu, zarządzania dostępem uprzywilejowanym oraz inwentaryzacji zasobów obejmującej wszystkie komponenty sieci i systemów informatycznych. Uprawnienia dostępu muszą być przeglądane w zaplanowanych odstępach.
Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja
Wymaga uwierzytelniania wieloskładnikowego lub uwierzytelniania ciągłego dla dostępu do systemów krytycznych i dostępu zdalnego. Należy ustanowić bezpieczne kanały komunikacji dla scenariuszy awaryjnych i zapasowych. Komunikacja głosowa, wideo i tekstowa wykorzystywana w reagowaniu na incydenty musi być zabezpieczona przed przechwyceniem.
Świadomość i szkolenia w zakresie cyberbezpieczeństwa
Wymaga regularnych programów podnoszenia świadomości w zakresie cyberbezpieczeństwa dla całego personelu, szkoleń właściwych dla roli dla pracowników z obowiązkami w zakresie bezpieczeństwa oraz szkolenia kierownictwa w zakresie zarządzania cyberbezpieczeństwem. Szkolenia muszą obejmować polityki bezpieczeństwa podmiotu, typowe zagrożenia, procedury zgłaszania incydentów oraz konkretne obowiązki personelu.
Dyrektywa NIS2 (UE) 2022/2555 jest aktem nadrzędnym - ustanawia ramy, obowiązki i system egzekwowania na poziomie UE. Państwa członkowskie były zobowiązane do transponowania jej do prawa krajowego do 17 października 2024 r. Niemiecką transpozycją jest NIS2UmsuCG, które nowelizuje BSIG. BSIG zawiera obecnie wszystkie obowiązki NIS2 w prawie niemieckim, w tym §30 (środki cyberbezpieczeństwa) i §32 (zgłaszanie incydentów).
CIR 2024/2690 jest bezpośrednio stosowanym rozporządzeniem UE - nie wymaga transpozycji i ma pierwszeństwo przed sprzecznymi przepisami krajowymi. Tam, gdzie CIR określa wymaganie techniczne, wymaganie to obowiązuje bezpośrednio, niezależnie od tego, czy BSIG się do niego odnosi. Dla rodzajów podmiotów wymienionych w artykule 1 CIR jest podstawowym standardem zgodności.
Dla podmiotów NIE wymienionych bezpośrednio w artykule 1 CIR, lecz nadal podlegających NIS2 (np. dostawców energii, ochrony zdrowia, transportu), CIR stanowi najbardziej autorytatywne odniesienie do tego, jak wyglądają środki 'odpowiednie i proporcjonalne'. Oczekuje się, że sądy niemieckie i BSI będą odwoływać się do specyfikacji technicznych CIR przy ocenie, czy środki przedsiębiorstwa spełniają standard §30 BSIG - nawet jeśli CIR formalnie nie wiąże tych podmiotów.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. - Dziennik Urzędowy Unii Europejskiej, OJ L 2024/2690
- EUR-Lex - pełny tekst CIR 2024/2690 (CELEX: 32024R2690)
- Dyrektywa (UE) 2022/2555 (dyrektywa NIS2) - Dziennik Urzędowy Unii Europejskiej
- ENISA - wytyczne techniczne dotyczące środków wdrożeniowych NIS2 (2024)
- secuvera GmbH - analiza wymagań CIR 2024/2690 i mapowanie na ISO 27001 (2024)
- BSIG - §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), w brzmieniu nadanym przez NIS2UmsuCG