Art. 21 NIS 2 + §30 BSIG + BSI 200-1

Czym jest ISMS i czy potrzebuję go do NIS 2?

ISMS nie jest oprogramowaniem. To sposób, w jaki twoja organizacja podejmuje decyzje, prowadzi i doskonali swoje środki kontrolne bezpieczeństwa. NIS 2 nigdy nie używa tego słowa, lecz art. 21(2) wymaga dokładnie tego, co ISMS robi.

Simon OrzelSimon Orzel·

Dlaczego ludzie się tu mylą

ISMS to jedno z najczęściej nadużywanych słów w rozmowach o NIS 2. Najczęstszym nieporozumieniem jest traktowanie go jako narzędzia do kupienia. Nim nie jest. ISMS to sposób, w jaki organizacja zarządza bezpieczeństwem informacji: jak podejmowane są decyzje o politykach, jak ocenia się ryzyka, jak dobiera się środki kontrolne, jak obsługuje się incydenty, jak to wszystko jest przeglądane.

Sam NIS 2 nigdy nie używa 'ISMS' jako terminu. Dyrektywa mówi o 'politykach', 'środkach', 'zarządzaniu ryzykiem' i 'ładzie'. Art. 21(2) wymienia dziesięć wymagań, które razem opisują dokładnie to, co ISMS robi. ISO 27001 nazywa tę samą rzecz 'systemem zarządzania bezpieczeństwem informacji'. IT-Grundschutz nazywa to 'Informationssicherheitsmanagementsystem'. Substancja jest identyczna.

Praktyczne pytanie nie brzmi, czy masz ISMS, lecz jak duży ma on ciężar. 60-osobowy Mittelstand działający na jednostronicowej polityce plus małym rejestrze ryzyka plus dorocznym spotkaniu przeglądowym może spełnić NIS 2. Bank zatrudniający 6000 osób nie może. Oba prowadzą ISMS; jeden jest po prostu cięższy od drugiego.

Gdzie NIS 2 tego wymaga, nie nazywając go
Trzy zaczepienia tekstowe. Dwa w dyrektywie, jedno w IT-Grundschutz, które operacjonalizuje oba.

Art. 21(1) i 21(2) NIS 2

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks. The measures shall include at least the following: policies on risk analysis and information system security; incident handling; business continuity; supply chain security; security in network and information systems acquisition; policies and procedures to assess the effectiveness of cybersecurity risk-management measures; basic cyber hygiene practices and training; cryptography; human resources security, access control policies and asset management; use of multi-factor authentication.

Czytane łącznie, dziesięć punktów opisuje system zarządzania. 'Policies', 'procedures', 'assess effectiveness' — to czasowniki ISMS. NIS 2 nie wymaga certyfikacji ISO 27001, lecz wymaga substancji, którą obejmuje ISO 27001.

§30 BSIG (niemiecka transpozycja art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Niemiecka transpozycja używa 'geeignete, verhältnismäßige und wirksame' — odpowiednie, proporcjonalne i skuteczne. Skuteczne to słowo, które czyni system zarządzania niezbędnym: skuteczność możesz wykazać tylko wtedy, gdy mierzysz i przeglądasz.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

Najkrótsza prawna definicja ISMS w języku niemieckim. To zbiór reguł, które rządzą sposobem, w jaki bezpieczeństwo informacji jest sterowane i nadzorowane. Nie narzędzie, nie projekt, nie jednorazowy audyt. Sposób pracy.

Cztery elementy, które czynią ISMS ISMS-em
Niezależnie od tego, czy nazwiesz to ISMS, ISO 27001, IT-Grundschutz czy 'naszym programem bezpieczeństwa', cztery elementy muszą być na miejscu.

Zdefiniowany zakres

Które części organizacji ISMS obejmuje, jakie są granice, co jest wyraźnie poza. Bez zakresu każda rozmowa dryfuje.

Udokumentowana polityka

Pisemna polityka bezpieczeństwa informacji podpisana przez organ zarządzający. Jedna strona wystarczy małemu podmiotowi. Zobowiązuje organizację do określonych zasad i przypisuje odpowiedzialność.

Decyzje oparte na ryzyku

Środki kontrolne są dobierane, ponieważ adresują zidentyfikowane ryzyka, a nie dlatego, że pojawiają się na liście kontrolnej. Rejestr ryzyka jest łącznikiem od inwentaryzacji do środka kontrolnego.

Okresowy przegląd

Co najmniej raz w roku. Organ zarządzający przygląda się, co zadziałało, co nie, co się zmieniło w krajobrazie zagrożeń. Statyczny ISMS nie jest ISMS-em, jest migawką.

Trzy rzeczy, którymi ISMS nie jest
Większość nieporozumień napędzanych przez zakupy bierze się z jednego z tych.

Nie narzędzie programowe

Narzędzia wspierają ISMS, nie zastępują go. Możesz prowadzić odpowiedni ISMS w segregatorze; nie możesz zastąpić decyzji z zakresu ładu subskrypcją SaaS.

Nie projekt jednorazowy

Ustanowienie ISMS to projekt. Prowadzenie go to praca bieżąca. Coroczny przegląd to moment, który zamienia produkt projektu w system.

Nie to samo, co audyt

Audyty testują, czy ISMS działa. Nie stanowią ISMS-u. Audyt bez leżącego u podstaw systemu zarządzania nie ma czego testować.

Czy potrzebujesz ISMS do NIS 2?

Jeżeli twój podmiot jest w zakresie NIS 2, substancja ISMS jest wymagana niezależnie od tego, jak to nazwiesz. Bez udokumentowanej polityki, decyzji opartych na ryzyku i cyklu przeglądu nie możesz wykazać, że środki z art. 21(2) są 'odpowiednie, proporcjonalne i skuteczne', jak wymaga §30 BSIG.

Tym, co nie jest wymagane, jest certyfikacja ISO 27001. Wielu audytorów jej oczekuje, ponieważ jest najpowszechniej uznawanym dowodem, lecz samodzielnie zbudowany ISMS dostosowany do IT-Grundschutz lub standardu sektorowego jest równie ważny. Wybierz standard, który możesz utrzymać, a nie ten, który wygląda najciężej na slajdzie.

Zbuduj minimalny ISMS w czterech artefaktach
Cztery dokumenty są absolutnym minimum dla 60-osobowego Mittelstandu. Każdy mieści się na jednej stronie.

1. Deklaracja zakresu

Które podmioty prawne, które lokalizacje, które usługi są objęte. Jeden akapit podpisany przez organ zarządzający.

2. Polityka bezpieczeństwa informacji

Od pięciu do siedmiu zasad. Przykłady: klasyfikuj dane według wrażliwości, ogranicz dostęp administracyjny do wskazanych osób, szkol cały personel co roku, zgłaszaj incydenty w uzgodnionych terminach, przeglądaj ryzyka co roku.

3. Rejestr ryzyka

Jeden wiersz na zidentyfikowane ryzyko. Opis, prawdopodobieństwo, skutek, decyzja o postępowaniu, właściciel, data przeglądu. Od dziesięciu do dwudziestu wierszy dla małego podmiotu.

4. Harmonogram przeglądu

Dokument mówiący, że organ zarządzający przegląda ISMS raz w roku, kto uczestniczy, jakie dowody są prezentowane. Bez niego ISMS jest dekoracją.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 21(1) i 21(2), www.eur-lex.europa.eu
  • Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), §30, www.gesetze-im-internet.de
  • BSI IT-Grundschutz Standard BSI 200-1, §3 (definicja ISMS), www.bsi.bund.de
  • ISO/IEC 27001:2022 (międzynarodowy standard ISMS, dobrowolny w ramach NIS 2)

Ta strona udostępnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (Dyrektywa NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Nie stanowi ona porady prawnej w rozumieniu §2 RDG. W konkretnych przypadkach skonsultuj się z dopuszczonym do wykonywania zawodu prawnikiem. Stan na 2026-06-04.

Zacznij od czterech minimalnych artefaktów
Platforma wytwarza edytowalne szablony zakresu, polityki, rejestru ryzyka i harmonogramu przeglądu dostrojone do wymagań NIS 2.
Zaloguj się do platformy