NIS 2 für Geschäftsführung

NIS 2 dla organu zarządzającego w pięć minut

NIS 2 nie jest tematem IT. Artykuł 20 dyrektywy (UE) 2022/2555 kładzie obowiązek cyberbezpieczeństwa na organie zarządzającym każdego podmiotu kluczowego i ważnego, z nazwy. Ta strona to skrócona wersja, której dyrektor zarządzający lub członek zarządu potrzebuje przed poniedziałkowym rankiem.

Simon OrzelSimon Orzel·

Dlaczego to jest na twoim biurku

Jeżeli zasiadasz w organie zarządzającym spółki objętej NIS 2, artykuł 20 wymienia cię. Nie szefa IT, nie CISO, nie zewnętrznego usługodawcę. Dyrektywa prowadzi linię od obowiązków cyberbezpieczeństwa z artykułu 21 wprost do osób, które podpisują się za spółkę.

Wynikają z tego trzy rzeczy. Organ zarządzający musi zatwierdzić środki zarządzania ryzykiem, które spółka wprowadza. Musi nadzorować, czy środki te są faktycznie wdrażane. A jego członkowie sami muszą przejść szkolenie, by potrafili odczytać to, co zatwierdzają. Dyrektywa mówi wszystkie trzy.

Niemcy wprowadzają tę samą regułę do prawa krajowego poprzez §38 BSIG, który wymienia te same trzy obowiązki jeden po drugim i dodaje klauzulę odpowiedzialności osobistej. Zegar dla tego wszystkiego biegnie od daty transpozycji dyrektywy, czyli 17 października 2024.

Źródło prawne
Trzy warstwy ułożone jedna na drugiej. Dyrektywa nakłada obowiązek na organ zarządzający. Rozporządzenie wykonawcze operacjonalizuje środki, które organ zarządzający musi zatwierdzić. Niemiecka transpozycja przekształca ten sam obowiązek w prawo krajowe z dołączoną odpowiedzialnością osobistą.

Artykuł 20 ust. 1 dyrektywy NIS 2 (2022/2555)

Państwa członkowskie zapewniają, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie podejmowane przez te podmioty w celu zapewnienia zgodności z artykułem 21, nadzorowały ich wdrażanie i mogły zostać pociągnięte do odpowiedzialności za naruszenia tego artykułu przez te podmioty.

Artykuł 20 jest artykułem dotyczącym zarządzania w dyrektywie. Ustęp 1 nakłada na organ zarządzający trzy obowiązki: zatwierdzanie, nadzorowanie, możliwość pociągnięcia do odpowiedzialności. Ustęp 2 dodaje obowiązek szkolenia dla samego organu zarządzającego i wymaga od podmiotu oferowania regularnych szkoleń całemu personelowi.

CIR (UE) 2024/2690, załącznik §1.1

Polityka bezpieczeństwa sieci i systemów informatycznych określa podejście odpowiednich podmiotów do zarządzania bezpieczeństwem ich sieci i systemów informatycznych. Ramy zarządzania ryzykiem, o których mowa w pkt 2.1, identyfikują ryzyka dla bezpieczeństwa sieci i systemów informatycznych oraz przewidują zarządzanie nimi.

Rozporządzenie wykonawcze Komisji nie operacjonalizuje samego artykułu 20. Operacjonalizuje środki z artykułu 21, które organ zarządzający musi zatwierdzić na podstawie artykułu 20 ust. 1. §1 jest parasolem polityki, §2 ramami zarządzania ryzykiem. Dla dostawców DNS, operatorów chmury i ośrodków danych, MSP i pozostałych sektorów wymienionych w załączniku CIR jest to to, co zatwierdza organ zarządzający.

§38 BSIG (Niemcy)

Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.

Niemcy wprowadzają artykuł 20 ust. 1 do prawa krajowego poprzez §38 BSIG i wskazują adresata wprost jako Geschäftsleiter, osoby fizyczne, które kierują podmiotem. §38 ust. 2 dodaje, że członkowie organu zarządzającego odpowiadają wobec podmiotu za naruszenia tych obowiązków. §38 ust. 3 przenosi obowiązek szkolenia. Inne państwa członkowskie mają równoległe ustawy transponujące (Cyberbeveiligingswet w NL, NISG w AT, NIS2-Wet w BE).

Trzy rzeczy, które są obowiązkiem organu zarządzającego
Artykuł 20 NIS 2 sprowadza się zgrabnie do trzech rzeczy. Każda jest odrębnym obowiązkiem. Nie możesz wybierać.
Zakres

Potwierdź, czy dyrektywa ma zastosowanie

NIS 2 ma zastosowanie, jeżeli podmiot mieści się w jednym z sektorów wymienionych w załączniku I lub załączniku II i osiąga próg wielkości (średnie zdefiniowane w zaleceniu 2003/361/WE, więc 50 pracowników albo ponad 10 milionów euro obrotu). Garstka typów podmiotów jest objęta niezależnie od wielkości: kwalifikowani dostawcy usług zaufania, rejestry nazw domen najwyższego poziomu, dostawcy usług DNS, administracja publiczna, jedyni dostawcy w państwie członkowskim. Pierwszym zadaniem organu zarządzającego jest wiedzieć, który z tych przypadków ma zastosowanie.

Obowiązki

Zatwierdzaj, nadzoruj, szkól

Artykuł 20 ust. 1 nakłada na organ zarządzający dwa obowiązki operacyjne: zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie, które podmiot wprowadza na podstawie artykułu 21, oraz nadzorować ich wdrażanie. Artykuł 20 ust. 2 dodaje trzeci: sam przejdź szkolenie i spraw, by podmiot oferował regularne szkolenia personelowi. Wszystkie trzy obowiązki są nałożone na organ zarządzający. Żaden z nich nie spoczywa na szefie IT.

Oś czasu

Zegar biegnie od 17 października 2024

Artykuł 41 NIS 2 ustanowił 17 października 2024 jako datę, do której państwa członkowskie miały transponować dyrektywę. Od tej daty obowiązki z artykułów 20, 21 i 23 mają zastosowanie do podmiotów w zakresie. Egzekwowanie krajowe biegnie według krajowych zegarów (niemiecka ustawa NIS2UmsuCG jest opóźniona, lecz obowiązek na szczeblu unijnym nie czeka na prawo krajowe). Praktycy traktują październik 2024 jako operacyjną linię startu.

Dwie zasady, które kształtują każdą rozmowę
Pod artykułem 20 sytuują się dwie reguły wykładni. Wyjaśniają, jak dyrektywa oczekuje, że organ zarządzający się zachowa, gdy podręcznik nie odpowiada rzeczywistości.

Odpowiedzialność spoczywa na osobie fizycznej

Artykuł 20 ust. 1 stanowi, że organ zarządzający 'może zostać pociągnięty do odpowiedzialności' za naruszenia artykułu 21 przez podmiot. §38 ust. 2 BSIG przekształca to w wewnętrzne roszczenie odpowiedzialnościowe: członkowie organu zarządzającego odpowiadają wobec samego podmiotu za naruszenia obowiązków z §38 ust. 1. Możesz delegować wykonanie środków cyberbezpieczeństwa. Nie możesz delegować zatwierdzania ani nadzoru. Dyrektywa prowadzi linię przy osobach, które podpisują.

Proporcjonalność pozwala podmiotowi skalować się do swojego ryzyka

Artykuł 21 ust. 1 akapit drugi stanowi, że środki muszą być 'odpowiednie i proporcjonalne' do ryzyka, na które narażony jest podmiot. Do tej oceny wchodzi sześć czynników: narażenie podmiotu, jego wielkość, prawdopodobieństwo wystąpienia incydentu, dotkliwość skutku (w tym skutki społeczne i gospodarcze), stan wiedzy oraz koszt wdrożenia. Organ zarządzający jest organem, który ocenia tę proporcjonalność i podpisuje się za nią. Od 60-osobowego Stadtwerk nie oczekuje się wydatków jak od banku.

Komu odpowiadasz i kto cię doradza
Artykuł 20 ustanawia jeden obowiązek obowiązujący w całej UE. Krajowa mechanika wokół niego różni się nieco. Dla niemieckiego organu zarządzającego liczy się trzech aktorów. Materiał referencyjny obowiązujący w całej UE sytuuje się przy ENISA. Nadzór wewnętrzny biegnie przez radę nadzorczą lub Aufsichtsrat na podstawie istniejącego prawa spółek.
Niemcy

BSI jako organ właściwy

Bundesamt für Sicherheit in der Informationstechnik (BSI) jest niemieckim organem właściwym na podstawie §29 BSIG. Nadzoruje środki zarządzania ryzykiem z §30 BSIG, prowadzi kanał zgłaszania incydentów z §32 BSIG i obsługuje portal rejestracyjny z §33 BSIG. Dla organu zarządzającego BSI jest adresem dla pytań, rejestracji, zgłoszeń incydentów i audytów.

Cała UE

ENISA jako odniesienie

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) jest unijną agencją ds. cyberbezpieczeństwa. Artykuł 18 NIS 2 nadaje jej rolę sprawozdawczą dotyczącą stanu cyberbezpieczeństwa. Publikuje również wytyczne techniczne dotyczące wdrażania (TIG) dla rozporządzenia wykonawczego Komisji, w tym tabele mapowania na ISO/IEC 27001:2022 i NIST CSF 2.0. ENISA nie sprawuje nadzoru, lecz audytorzy i krajowe organy regulacyjne traktują jej wytyczne jako rozsądny odczyt.

Wewnętrznie

Aufsichtsrat jako równoległy nadzór

Jeżeli podmiot ma radę nadzorczą (Aufsichtsrat w niemieckiej AG, Beirat w większej GmbH), obowiązki organu zarządzającego z NIS 2 biegną równolegle z istniejącymi obowiązkami rady nadzorczej z §111 AktG dotyczącymi nadzoru nad zarządem. Rada nadzorcza nie może zdjąć artykułu 20 ust. 1 z barków organu zarządzającego, lecz może zażądać tych samych dowodów zatwierdzania i nadzoru, których oczekuje NIS 2, i większość to robi.

Trzy mity organu zarządzającego do wycofania
Trzy zdania, które słyszymy w niemal każdej pierwszej rozmowie z Geschäftsführer lub członkiem zarządu. Wszystkie trzy tworzą lukę, którą audyt oznaczy i którą §38 ust. 2 BSIG przekształca w kwestię odpowiedzialności osobistej.

  • Delegowałem to do IT.

    Możesz delegować wykonanie. Nie możesz delegować zatwierdzania ani nadzoru. Artykuł 20 ust. 1 wymienia organ zarządzający jako organ, który zatwierdza środki i nadzoruje ich wdrażanie. §38 BSIG wymienia Geschäftsleiter jako adresata. Szef IT, CISO, zewnętrzny usługodawca mogą prowadzić program. Nie mogą podpisać się za niego w twoim imieniu. Dyrektywa prowadzi linię przy osobach, które prawnie reprezentują podmiot.

  • Poczekajmy, aż prawo krajowe będzie ostateczne.

    Artykuł 20 obowiązuje od daty transpozycji, czyli 17 października 2024. Niemiecka ustawa NIS2UmsuCG jest opóźniona, lecz obowiązek dyrektywy nie czeka na prawo krajowe. Rozporządzenie wykonawcze Komisji 2024/2690 jest bezpośrednio wiążące w swoim zakresie sektorowym od października 2024 bez żadnej potrzeby transpozycji. Praktycy traktują październik 2024 jako operacyjną linię startu i dokumentują swoje rozłożenie w czasie na podstawie proporcjonalności z artykułu 21 ust. 1.

  • Cyberbezpieczeństwo to problem IT.

    Artykuł 20 celowo czyni z tego problem zarządzania. Dyrektywa nakłada obowiązek na organ zarządzający, a nie na funkcję IT, ponieważ koszty, decyzje o akceptacji ryzyka i kompromisy nabierają sensu wyłącznie na tym poziomie. Zespół IT wdraża środki. Organ zarządzający posiada obraz ryzyka, podpisuje się za ryzyko rezydualne i jest organem, z którym audytor i BSI o tym rozmawiają.

Jak to wygląda w praktyce w Mittelstand

Co widzimy w niemieckim Mittelstand: organ zarządzający prowadzi sesję roboczą co kwartał, przechodzi przez rejestr ryzyka, zatwierdza środki z artykułu 21 w zakresie dla danego okresu i dokumentuje ocenę proporcjonalności w dwóch lub trzech wierszach. To operacyjny kształt artykułu 20 ust. 1 dla podmiotu, który nie ma dedykowanego zespołu GRC.

Obowiązek szkolenia z artykułu 20 ust. 2 wymaga mniej, niż ludzie myślą. Nie istnieje akredytowany na szczeblu UE certyfikator szkoleń organu zarządzającego dla NIS 2. Zapisanie się i rejestr ukończenia to prawne minimum. Dwugodzinny kurs, który obejmuje strukturę dyrektywy, własny obraz ryzyka podmiotu i rolę organu zarządzającego, spełnia brzmienie. Chodzi o to, by osoby, które podpisują, potrafiły odczytać to, co podpisują.

Jak obsługujemy to na platformie

Platforma rejestruje trzy obowiązki organu zarządzającego jako odrębne artefakty. Zatwierdzenia biegną jako podpisane akceptacje względem środków z artykułu 21, z nazwiskiem osoby fizycznej w rekordzie. Nadzór biegnie przez widok pulpitu, który pokazuje status wdrożenia, otwarte ryzyka i dowody skuteczności w jednym miejscu. Rejestry szkoleń sytuują się w profilu użytkownika wraz z datami zapisania się i ukończenia.

Wszystkie trzy zasilają tę samą ścieżkę audytową, dzięki czemu dowody, których oczekuje artykuł 20 (kto co zatwierdził, kiedy, na jakiej podstawie), powstają jako efekt uboczny korzystania z platformy. Kurs dla CEO jest zawarty w platformie. Platforma jest bezpłatna i open source, bez lock-in.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuły 20, 21 i 41 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik §1 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ustawa o BSI (BSIG), §29, §30, §32, §33 i §38 — gesetze-im-internet.de/bsig_2009
  • Aktiengesetz (AktG), §111 — gesetze-im-internet.de/aktg
  • Wytyczne techniczne dotyczące wdrażania ENISA dla CIR (UE) 2024/2690 — enisa.europa.eu
Pięć minut to był brief. Następnym krokiem jest test stosowalności.
Przeprowadź test stosowalności, aby potwierdzić, czy NIS 2 obejmuje twój podmiot i które obowiązki mają zastosowanie. Bezpłatnie, open source, bez lock-in.
Otwórz test stosowalności