§44 BSIG

NIS2 i IT-Grundschutz

§44(2) BSIG zapewnia prawny skrót: wdrożenie IT-Grundschutz jest w Niemczech uznawane za dowód zgodności z NIS2.

Cory HiseyCory Hisey·Laufend geprüft

Łańcuch prawny

Niemieckie firmy mają wyjątkową przewagę nad swoimi europejskimi odpowiednikami, jeśli chodzi o zgodność z NIS2. Podczas gdy firmy we Francji, we Włoszech czy w Holandii muszą pracować bezpośrednio na podstawie dyrektywy NIS2 i unijnego rozporządzenia wykonawczego, niemieckie firmy mogą skorzystać z IT-Grundschutz, ugruntowanej, utrzymywanej przez BSI metodyki, która od ponad 25 lat stanowi standard bezpieczeństwa informacji w Niemczech.

§44(2) BSIG zapewnia prawny skrót: firmy, które wdrożą IT-Grundschutz, mogą wykorzystać to jako dowód zgodności z NIS2. Nie jest to nieformalna wskazówka. Jest to skodyfikowane w federalnej ustawie o cyberbezpieczeństwie. Samo BSI opracowuje i utrzymuje zarówno ramy Grundschutz, jak i reżim egzekwowania NIS2, zapewniając spójność już na poziomie projektu.

Ta strona odwzorowuje cały łańcuch prawny od unijnej dyrektywy NIS2, poprzez niemiecką transpozycję, aż po praktyczną metodykę wdrożenia. Zrozumienie tego łańcucha jest niezbędne dla każdej osoby odpowiedzialnej za zgodność: mówi dokładnie, które wymagania skąd pochodzą, dlaczego istnieją i jak je spełnić za pomocą udokumentowanego dowodu.

Od dyrektywy UE do praktyki niemieckiej
Zgodność z NIS2 w Niemczech opiera się na czterowarstwowym łańcuchu prawnym. Każda warstwa dodaje szczegółowości, od celów wysokiego poziomu aż po konkretne wytyczne wdrożeniowe.
1

Dyrektywa NIS2

Dyrektywa UE 2022/2555, ogólnounijne ramy cyberbezpieczeństwa

2

BSIG

Niemiecka federalna ustawa o cyberbezpieczeństwie, transponuje NIS2 do prawa niemieckiego

3

CIR 2024/2690

Unijne rozporządzenie wykonawcze, określa techniczne środki minimalne

4

IT-Grundschutz

Metodyka BSI, ugruntowane niemieckie ramy wdrażania tych środków

§44(2) BSIG: Grundschutz oznacza zgodność
Prawny skrót, o którym większość firm nie wie.

§44(2) BSIG stanowi, że zgodność z wymaganiami §30 BSIG można wykazać poprzez wdrożenie uznanych standardów, i wyraźnie wskazuje IT-Grundschutz jako taki standard. Oznacza to, że jeśli wdrożysz Grundschutz zgodnie z metodyką BSI-200-1 do BSI-200-4, masz prawnie uznaną podstawę do twierdzenia o zgodności z NIS2. Nie jest to karta 'wyjścia z więzienia' (nadal potrzebujesz dowodu), ale daje Ci jasną, zatwierdzoną przez BSI metodykę, którą można się kierować.

W praktyce oznacza to, że nie musisz interpretować dyrektywy NIS2 ani CIR 2024/2690 od zera. Grundschutz Kompendium już odwzorowuje wymagania techniczne na konkretne Bausteine (moduły) i Anforderungen (wymagania). Gdy BSI audytuje Twoją zgodność z NIS2, audytuje względem metodyki, którą samo stworzyło, a nie względem abstrakcyjnej dyrektywy UE. Ta spójność eliminuje lukę interpretacyjną, która dręczy firmy w innych państwach członkowskich UE.

Dla audytorów BSI wdrożenie Grundschutz to znajomy grunt. Audytują Grundschutz od dziesięcioleci. Oznacza to efektywność audytu: audytorzy wiedzą dokładnie, jakiego dowodu oczekiwać, terminologia jest ujednolicona, a metodyka jest udokumentowana po niemiecku. Porównaj to z obroną doraźnego podejścia do zgodności względem anglojęzycznego CIR. Praktyczna przewaga jest znacząca.

CIR 2024/2690: unijny próg techniczny
Rozporządzenie wykonawcze Komisji, które określa techniczne minimum, jakie musi egzekwować każde państwo członkowskie UE.

CIR 2024/2690 (rozporządzenie wykonawcze Komisji) zostało opublikowane 17 października 2024 r. i ustanawia wymagania techniczne oraz metodyczne dla zgodności z NIS2 w całej UE. Stosuje się bezpośrednio (bez potrzeby transpozycji) i określa środki minimalne, które muszą wdrożyć wszystkie podmioty kluczowe i ważne. To jest podłoga, nie sufit.

CIR wiąże bezpośrednio jedynie 11 określonych rodzajów podmiotów cyfrowych: dostawców usług DNS, rejestry nazw TLD, usługi chmury obliczeniowej, dostawców centrów danych, sieci dostarczania treści, usługi zarządzane, usługi zarządzane w zakresie bezpieczeństwa, internetowe platformy handlowe, wyszukiwarki internetowe, platformy sieci społecznościowych oraz dostawców usług zaufania. §30 BSIG nakłada jednak niezależnie te same 10 środków (art. 21 ust. 2 NIS-2) na wszystkie sektory objęte NIS2 w Niemczech, więc szczegółowość techniczna CIR staje się de facto punktem odniesienia także poza jego bezpośrednim zakresem.

Grundschutz Kompendium obejmuje każdy obszar środków zawarty w CIR i idzie dalej dzięki swoim Bausteine. Tam, gdzie CIR mówi krótko 'wdróż kontrolę dostępu', Grundschutz określa dokładnie jak, na przykład poprzez moduły takie jak ORP.4 (zarządzanie tożsamością i dostępem) ze wskazówkami wdrożeniowymi krok po kroku. Dlatego właśnie §44(2) BSIG uznaje Grundschutz: jest on nadzbiorem obszarów środków CIR, a nie tylko ich odpowiednikiem.

IT-Grundschutz a ISO 27001 dla NIS2
Oba są uznanymi ramami bezpieczeństwa informacji, ale dla zgodności z NIS2 w Niemczech nie są równoważne.

Uznanie przez BSI

IT-Grundschutz jest wyraźnie wskazany w §44(2) BSIG jako uznany standard wykazywania zgodności z NIS2. Certyfikacja ISO 27001 może wesprzeć Twoją sprawę, ale nie jest konkretnie wymieniona w ustawie. Gdy BSI jest jednocześnie autorem ram i organem egzekwującym, spójność ma znaczenie.

Pokrycie wymagań

Grundschutz obejmuje każdy obszar środków CIR 2024/2690 poprzez swoje Bausteine z Kompendium i idzie nakazowo dalej. ISO 27001 obejmuje zarządzanie bezpieczeństwem informacji szeroko, lecz nie odnosi się konkretnie do wszystkich środków §30 BSIG, w szczególności do specyficznych dla NIS2 terminów zgłaszania incydentów (§32 BSIG), wymagań łańcucha dostaw (§30 ust. 2 pkt 4 BSIG) oraz obowiązków organu zarządzającego (§38 BSIG). Potrzebowałbyś ISO 27001 plus dodatkowego uzupełnienia luk.

Język i metodyka

Grundschutz jest opracowany po niemiecku, przez BSI, dla niemieckich organizacji. Terminologia odpowiada dokładnie BSIG. ISO 27001 to standard międzynarodowy publikowany po angielsku, z odmienną terminologią i mniej nakazową metodyką. Dla 100-osobowej niemieckiej firmy Mittelstand konkretne, niemieckojęzyczne wskazówki wdrożeniowe Grundschutz są znacznie bardziej praktyczne niż abstrakcyjne cele zabezpieczeń ISO 27001.

Dlaczego ma to znaczenie dla Twojej firmy
Dla niemieckich firm średniej wielkości ścieżka Grundschutz oferuje trzy konkretne przewagi nad alternatywnymi podejściami do zgodności.

Przewaga audytowa

Gdy BSI audytuje Twoją zgodność z NIS2, przedstawienie dowodu o strukturze Grundschutz oznacza, że audytor mówi Twoim językiem. Metodyka, struktura dokumentacji i oczekiwania co do dowodu są ujednolicone. Przekłada się to na szybsze audyty, mniej nieporozumień i jaśniejsze wyniki.

Spójność z BSI

BSI publikuje Grundschutz Kompendium, egzekwuje zgodność z NIS2 i może skontrolować Twoje wdrożenie w ramach swoich uprawnień nadzorczych (§61 BSIG); formalną certyfikację przeprowadzają audytorzy akredytowani przez BSI. Korzystanie z własnej metodyki BSI zapewnia, że Twoja interpretacja wymagań odpowiada interpretacji regulatora. Nie ma luki interpretacyjnej: ta sama organizacja, która definiuje zasady, dostarcza również podręcznik postępowania.

Pewność prawna

§44(2) BSIG nadaje wdrożeniu Grundschutz wyraźny status prawny jako dowodu zgodności. To najsilniejsza dostępna pozycja prawna: kierujesz się metodyką uznaną przez samo prawo. W razie zakwestionowania możesz wskazać konkretny przepis ustawowy, który potwierdza Twoje podejście, a nie jedynie najlepsze praktyki branżowe czy opinię konsultanta.

Zbudowane na ramach Grundschutz
Platforma porządkuje wymagania NIS2 (dwanaście kategorii, 49 konkretnych środków kontroli) zgodnie z metodyką IT-Grundschutz, ze wzorami dowodów i dokumentacją gotową do audytu, która podąża za własną strukturą BSI.
Rozpocznij proces zgodności z NIS2