Sieć CSIRT i EU-CyCLONe zgodnie z artykułami 15 i 16
NIS 2 buduje dwie transgraniczne sieci współpracy. Sieć CSIRT zajmuje się technicznym reagowaniem na incydenty między krajowymi CSIRT. EU-CyCLONe zajmuje się koordynacją polityczną, gdy kryzys cybernetyczny wykracza poza jeden kraj. Obie mają ENISA jako sekretariat.
Krótka wersja
NIS 2 robi dwie rzeczy naraz. Nakazuje podmiotom objętym zakresem zgłaszanie incydentów do ich krajowego CSIRT lub właściwego organu. Nakazuje także państwom członkowskim rozmawianie ze sobą, gdy incydent przekracza granice lub zagraża więcej niż jednemu krajowi. Część dotycząca rozmawiania ze sobą to właśnie to, co ustanawiają artykuły 15 i 16.
Artykuł 15 tworzy sieć CSIRT. Jest to warstwa techniczna i operacyjna. Krajowe CSIRT (w Niemczech: CERT-Bund przy BSI) plus CERT-EU w niej zasiadają. Wymieniają dane o zagrożeniach, koordynują transgraniczne reagowanie na incydenty i dzielą się narzędziami. ENISA prowadzi sekretariat.
Artykuł 16 tworzy EU-CyCLONe, europejską sieć organizacji łącznikowych do spraw kryzysów cybernetycznych. Jest to warstwa polityczna. Organy państw członkowskich ds. zarządzania kryzysami cybernetycznymi (w Niemczech: Federalne Ministerstwo Spraw Wewnętrznych) w niej zasiadają. Koordynują reakcję polityczną na incydenty na dużą skalę. ENISA prowadzi również sekretariat. Ta sama agencja, dwie warstwy.
Artykuł 15 ust. 1 i artykuł 16 ust. 1 dyrektywy NIS 2 (2022/2555)
Aby przyczynić się do rozwoju zaufania między państwami członkowskimi oraz wspierać szybką i skuteczną współpracę operacyjną, ustanawia się sieć krajowych CSIRT. […] Aby wspierać skoordynowane zarządzanie incydentami i kryzysami cyberbezpieczeństwa na dużą skalę na poziomie operacyjnym oraz zapewnić regularną wymianę istotnych informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii, ustanawia się europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe).
Dwa sąsiadujące artykuły. Dwie sieci. Artykuł 15 znajduje się na poziomie operacyjnym. Artykuł 16 znajduje się na poziomie politycznym. Dyrektywa ustanawia oba organy bezpośrednio. Do ich istnienia nie jest potrzebne żadne dalsze prawo UE.
Nie dotyczy — instytucje na poziomie artykułów
Nie ma rozporządzenia wykonawczego, które dalej precyzowałoby sieć CSIRT ani EU-CyCLONe.
W odróżnieniu od artykułu 21 ust. 2 (który CIR rozwija), artykuły 15 i 16 są samowykonalne. Sieci opublikowały własne regulaminy, ale są to dokumenty robocze, a nie prawodawstwo UE. Dla podmiotów objętych zakresem liczy się to, kim są ich krajowi odpowiednicy, a nie wewnętrzne procedury operacyjne sieci.
Wyznaczenie krajowego CSIRT zgodnie z art. 10 NIS 2 + krajowy organ ds. kryzysów cybernetycznych
Niemcy: CERT-Bund (przy BSI) jest wyznaczonym krajowym CSIRT w sieci z artykułu 15. Federalne Ministerstwo Spraw Wewnętrznych (BMI) reprezentuje Niemcy w EU-CyCLONe.
Każde państwo członkowskie wyznacza krajowy CSIRT zgodnie z artykułem 10 NIS 2 oraz wyznacza organ odpowiedzialny za zarządzanie kryzysami cybernetycznymi. W przypadku Niemiec BSIG potwierdza BSI jako organ krajowy, a CERT-Bund jako krajowy CSIRT. Przedstawicielem na poziomie politycznym w EU-CyCLONe jest BMI.
Sieć CSIRT: współpraca operacyjna
Sieć wymienia informacje o zdolnościach CSIRT, dzieli się narzędziami i procedurami, wymienia dane o incydentach i zagrożeniach, koordynuje reagowanie na incydenty transgraniczne, wspiera państwa członkowskie przy incydentach, które ich dotyczą, i zasila skoordynowane ujawnianie podatności zgodnie z artykułem 12. Praca techniczna między zespołami technicznymi.
EU-CyCLONe: koordynacja polityczna
EU-CyCLONe buduje gotowość do zarządzania incydentami i kryzysami cyberbezpieczeństwa na dużą skalę, opracowuje wspólny obraz sytuacyjny, ocenia konsekwencje i proponuje sposoby ich usunięcia, koordynuje reakcję polityczną oraz (na wniosek państwa członkowskiego) omawia krajowe plany reagowania na incydenty na dużą skalę. Praca polityczna między przedstawicielami politycznymi.
Kiedy warstwa operacyjna eskaluje do warstwy politycznej
Małe lub rutynowe incydenty transgraniczne pozostają w sieci CSIRT. Incydenty na dużą skalę, które wymagają decyzji na poziomie ministerialnym (wpływ międzysektorowy, komunikaty publiczne, oświadczenia na poziomie UE), eskalują do EU-CyCLONe. Obie sieci są zaprojektowane tak, aby przekazywać sobie pracę, z ENISA jako łączącym sekretariatem.
Techniczne i polityczne to różne zadania
Analityk CSIRT dzielący się sygnaturami złośliwego oprogramowania ponad granicami ma inne zadanie niż doradca ministerialny informujący gabinet o tym, czy przypisać atak aktorowi państwowemu. NIS 2 celowo trzyma ich w odrębnych sieciach. Mieszanie dwóch warstw to sposób na spowolnienie reakcji technicznej i wyparcie procesu decyzji politycznych.
ENISA jako tkanka łączna
ENISA prowadzi sekretariat obu sieci. Ta sama agencja, ten sam budynek, ta sama świadomość sytuacyjna. To celowy wybór projektowy UE: utrzymać dwie warstwy współpracy strukturalnie odrębne, ale zapewnić, że dzielą wspólny obraz operacyjny. Bez tego warstwa polityczna reagowałaby na nieaktualnych informacjach.
CERT-Bund (BSI) + BMI
CERT-Bund przy BSI jest niemieckim krajowym CSIRT w sieci z artykułu 15. Federalne Ministerstwo Spraw Wewnętrznych (BMI) reprezentuje Niemcy w EU-CyCLONe. Dla podmiotu objętego zakresem praktycznym kontaktem jest BSI. Warstwa polityczna działa ponad Twoją głową, ale jej decyzje mogą kształtować to, co BSI każe Ci robić.
ENISA jako sekretariat obu sieci
ENISA, agencja UE ds. cyberbezpieczeństwa, zapewnia sekretariat dla sieci CSIRT i dla EU-CyCLONe. Wytwarza dokumenty z wytycznymi powstające w obu sieciach (playbooki reagowania na incydenty, raporty o zagrożeniach, raporty z ćwiczeń). Te publikacje zasilają z powrotem wytyczne krajowe, takie jak Infopakete BSI.
Krajowe CSIRT + krajowe organy ds. kryzysów cybernetycznych
Każde państwo członkowskie wyznacza po jednym. Holandia: NCSC-NL w sieci CSIRT, Ministerstwo Sprawiedliwości i Bezpieczeństwa w EU-CyCLONe. Austria: GovCERT Austria w sieci, Kancelaria Federalna na poziomie politycznym. Struktura jest identyczna w całej UE; agencje różnią się w zależności od kraju.
Sieć CSIRT zajmuje się wszystkim, co cybernetyczne, na poziomie UE.
Nie zajmuje się. Sieć CSIRT jest warstwą operacyjną i techniczną. Incydenty na dużą skalę, które wymagają koordynacji politycznej (komunikaty międzysektorowe, decyzje o przypisaniu, briefingi ministerialne), eskalują do EU-CyCLONe. Dwie sieci, dwie warstwy, z założenia.
EU-CyCLONe to organ regulacyjny, do którego się zgłaszamy.
Nie jest. EU-CyCLONe to organ koordynacyjny między organami państw członkowskich. Nie reguluje podmiotów objętych zakresem. Nie otrzymuje zgłoszeń incydentów. Zgłaszanie zgodnie z artykułem 23 NIS 2 trafia do Twojego krajowego CSIRT lub właściwego organu. EU-CyCLONe działa o jedną warstwę wyżej, między rządami.
Składamy zgłoszenia incydentów w sieci CSIRT.
Nie składasz. Artykuł 23 NIS 2 mówi, że zgłaszasz do swojego krajowego CSIRT lub właściwego organu. W Niemczech jest to BSI. Krajowy CSIRT następnie dzieli się istotnymi informacjami z siecią CSIRT tam, gdzie potrzebna jest koordynacja transgraniczna. Sieć jest odpowiednikiem Twojego CSIRT, a nie Twoim.
Dla Stadtwerk lub operatora IT z Mittelstandu praktycznym punktem styku jest Twój krajowy CSIRT. W Niemczech jest to CERT-Bund przy BSI. Zgłaszasz im incydenty zgodnie z artykułem 23 NIS 2, czytasz ich ostrzeżenia, dzwonisz do nich, gdy coś się pali. Sieć CSIRT i EU-CyCLONe działają za tym interfejsem.
Dlaczego te sieci nadal mają dla Ciebie znaczenie: gdy uderzy incydent transgraniczny (pomyśl o ataku na łańcuch dostaw dotykającym piętnastu krajów naraz), koordynacja zachodząca na poziomie sieci CSIRT sprawia, że reakcja Twojego krajowego CSIRT jest spójna z resztą UE. A koordynacja polityczna na poziomie EU-CyCLONe decyduje o tym, czy reakcja zatrzyma się na technicznym powstrzymaniu, czy stanie się oświadczeniem publicznym. Oba kształtują to, jaką radę ostatecznie otrzymasz.
Moduł incydentów kieruje powiadomienia do Twojego krajowego CSIRT zgodnie z artykułem 23 (w Niemczech: BSI). Nie wchodzisz w interakcję z siecią CSIRT ani EU-CyCLONe bezpośrednio; krajowy CSIRT jest Twoim jedynym odpowiednikiem w zgłaszaniu incydentów. Platforma dba o terminy (24h wczesne ostrzeżenie, 72h zgłoszenie, miesięczny raport końcowy).
Nasza warstwa referencyjna eksponuje publikacje i dokumenty z wytycznymi ENISA, które wychodzą z prac sieci CSIRT. Ostrzeżenia o zagrożeniach, wspólne raporty, ustalenia z ćwiczeń: zasilają one sposób, w jaki interpretujemy 'odpowiednie i proporcjonalne' zgodnie z artykułem 21 ust. 1. Nie musisz śledzić ich samodzielnie.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuły 15 i 16 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 10 (wyznaczenie CSIRT) i artykuł 23 (zgłaszanie incydentów)
- Strona internetowa ENISA dotycząca sieci CSIRT i EU-CyCLONe — enisa.europa.eu
- Ustawa o BSI (BSIG), CERT-Bund jako krajowy CSIRT zgodnie z §5 BSIG
- Standardowe procedury operacyjne EU-CyCLONe (publicznie streszczone przez ENISA)