Jak przeprowadzić ocenę ryzyka NIS 2
Trzy kroki, których UE wymaga: zidentyfikuj, przeanalizuj, oceń i postąp z ryzykiem. Pisemna metoda. Zatwierdzenie kierownictwa. Przeglądana w zaplanowanych odstępach i przy istotnych zmianach. Ta strona pokazuje, jak każdy element wygląda w praktyce.
Wersja skrócona
Artykuł 21(2)(a) NIS 2 mówi, że każdy podmiot kluczowy i ważny musi prowadzić politykę opartą na analizie ryzyka. CIR (UE) 2024/2690 Załącznik §2 czyni to konkretnym. Ustanawiasz ramy zarządzania ryzykiem w bezpieczeństwie informacji. Używasz ich do identyfikacji, analizy, oceny i postępowania z ryzykiem dla twoich sieci i systemów informatycznych. Spisujesz kryteria, których używasz, a organ zarządzający je zatwierdza.
Metody nie wymyślasz sam. Możesz użyć BSI Standard 200-3 (Niemcy), ISO/IEC 27005:2022 (międzynarodowy odpowiednik) lub dowolnej innej uznanej metody. Liczy się to, że jest udokumentowana, że obejmuje zasoby, które faktycznie prowadzisz, i że przeglądasz ją w zaplanowanych odstępach, co najmniej raz w roku oraz zawsze, gdy zachodzi coś istotnego.
Pułapka, w którą wpada większość operatorów: wybierają jeden scenariusz zagrożenia, oceniają go i kończą. Ocena ryzyka jest metodą zastosowaną do twojej inwentaryzacji zasobów, a nie pojedynczymi warsztatami. Poniżej przechodzimy przez identyfikację, analizę i ocenę, a następnie pokazujemy zasady, które spinają całość.
Artykuł 21(2)(a) dyrektywy NIS 2 (2022/2555)
Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych.
Punkt (a) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Dyrektywa nie przepisuje metody. Przepisuje obowiązek.
CIR (UE) 2024/2690, Załącznik §2
Do celów artykułu 21(2)(a) dyrektywy (UE) 2022/2555 podmioty objęte zakresem ustanawiają odpowiednie ramy zarządzania ryzykiem w bezpieczeństwie informacji w celu identyfikacji, analizy, oceny i postępowania z ryzykiem w bezpieczeństwie informacji. Podmioty objęte zakresem przeglądają i, w stosownych przypadkach, aktualizują te ramy w zaplanowanych odstępach i co najmniej raz w roku, a także gdy zachodzą istotne zmiany.
Ponieważ jest to rozporządzenie (a nie dyrektywa), jest bezpośrednio wiążącym prawem UE. CIR Załącznik §2 wiąże także te ramy z inwentaryzacją zasobów na podstawie §12 CIR. Cztery czasowniki: zidentyfikuj, przeanalizuj, oceń, postąp pochodzą wprost z tekstu UE.
§30(2)(1) BSIG (Niemcy)
Polityki analizy ryzyka i bezpieczeństwa technologii informacyjnej.
Niemcy kopiują tekst UE niemal słowo w słowo. Standardy BSI 200-2 (ISMS) i 200-3 (analiza ryzyka) mówią szczegółowo, jak spełnić obowiązek na podstawie §30 BSIG. Ten sam obowiązek z artykułu 21(2)(a) obowiązuje w każdym innym państwie członkowskim przez jego krajową ustawę transponującą.
Zidentyfikuj
Weź swoją inwentaryzację zasobów z §12 CIR. Dla każdego zasobu (lub zgrupowanej klasy identycznych zasobów) wymień zagrożenia i podatności, które go dotyczą. Użyj katalogu referencyjnego, aby nie zaczynać od pustej kartki. Katalog BSI Elementare Gefährdungen ma 47 pozycji obejmujących pożar, kradzież, inżynierię społeczną, złośliwe oprogramowanie, łańcuch dostaw, utratę osoby kluczowej i resztę. ISO/IEC 27005:2022 Załącznik A wymienia porównywalne typy zagrożeń i podatności. Produktem jest trójka: zasób, zagrożenie i podatność dla każdego ryzyka.
Przeanalizuj
Dla każdej trójki oceń, jak poważny byłby skutek i jak prawdopodobne jest jego wystąpienie. Macierz 3x3 (niskie / średnie / wysokie) wystarcza większości podmiotów Mittelstand. Macierz 5x5 daje większą rozdzielczość, jeśli musisz porównać podobne ryzyka. Skutek obejmuje poufność, integralność i dostępność oraz każdy następujący efekt biznesowy lub bezpieczeństwa. Prawdopodobieństwo jest oceną opartą na osądzie, opartą na tym, co już widziałeś, danych sektorowych i stanie twoich środków kontroli. Spisz ocenę z jednolinijkowym uzasadnieniem.
Oceń i postąp
Porównaj każde ocenione ryzyko z twoimi kryteriami akceptacji, które ustaliłeś, zanim zacząłeś ocenianie. Powyżej progu postępujesz: redukuj (zastosuj środki kontroli), unikaj (zaprzestań działalności), dziel (ubezpieczenie lub umowa, z ograniczeniami, zob. poniżej) lub akceptuj (z udokumentowanym powodem). Poniżej progu odnotowujesz, że je akceptujesz. Każda decyzja o postępowaniu ma wskazanego właściciela i datę. Organ zarządzający zatwierdza ryzyka rezydualne, z którymi gotów jest żyć.
Pisemna metoda z zatwierdzeniem kierownictwa
CIR §2 mówi o ramach, a nie o warsztatach. Metoda (jak oceniasz, jak wygląda macierz, kto decyduje, jakie są twoje progi akceptacji) musi być na papierze. Organ zarządzający ją zatwierdza. Nie potrzebujesz wymyślnej metody. Potrzebujesz udokumentowanej. Artykuł 21(1) pozwala zachować głębokość proporcjonalną do twojego ryzyka i twojej wielkości, lecz sama metoda nie jest opcjonalna.
Przegląd w zaplanowanych odstępach i przy istotnych zmianach
CIR §2(2) jest wyraźny: przeglądasz ramy i ocenę w zaplanowanych odstępach, co najmniej raz w roku oraz gdy zachodzą istotne zmiany. Nowa linia biznesowa, nowy kluczowy dostawca, poważny incydent, zmiana regulacyjna - wszystkie liczą się jako istotne. Coroczny przegląd jest podłogą, a nie sufitem. Traktuj ocenę jako żywy artefakt powiązany z twoją inwentaryzacją zasobów, a nie segregator napisany raz.
Standardy BSI 200-2 i 200-3
BSI publikuje dwa standardy, które obejmują obowiązek analizy ryzyka z §30 BSIG od początku do końca. BSI 200-2 określa cykl życia ISMS. BSI 200-3 to sama analiza ryzyka, z Elementare Gefährdungen jako katalogiem zagrożeń. BSI jest wyraźne w swoich Infopakete: pauszalny transfer ryzyka lub ogólna akceptacja ryzyka są wykluczone. Ubezpieczenie jest czymś, co dodajesz na wierzchu, nigdy zamiennikiem postępowania z ryzykiem.
ENISA Technical Implementation Guidance
ENISA, agencja UE ds. cyberbezpieczeństwa, publikuje Technical Implementation Guidance (TIG) dla CIR (UE) 2024/2690. Nie jest to prawo. Jest to praktyczna referencja, która mapuje tekst CIR na uznane standardy, w tym ISO/IEC 27005:2022 dla zarządzania ryzykiem. Krajowe organy i audytorzy powołują się na nią jako rozsądną interpretację CIR.
ISO/IEC 27005:2022
ISO/IEC 27005:2022 jest międzynarodowym standardem zarządzania ryzykiem w bezpieczeństwie informacji. Jest wymieniony w ENISA TIG jako uznana metoda spełnienia CIR §2. Jeśli już prowadzisz ISMS na gruncie ISO 27001, ISO 27005 jest metodą analizy ryzyka, która w nim tkwi. Użyj dowolnej uznanej metody, która pasuje do twojego kontekstu. CIR nie wybiera jednej.
Zrobiliśmy ocenę ryzyka w zeszłym roku, więc gotowe.
CIR §2(2) wymaga przeglądu w zaplanowanych odstępach, co najmniej raz w roku oraz przy istotnych zmianach. Jednorazowa ocena z zeszłego roku nie spełnia obowiązku, jeśli w międzyczasie zmienił się kluczowy dostawca, uruchomiono nowy system lub doszło do poważnego incydentu. Traktuj ocenę jako żywy artefakt powiązany z twoją inwentaryzacją zasobów.
Potrzebujemy osobnej pozycji ryzyka dla każdego CVE i każdego zagrożenia.
Nie potrzebujesz. Ocena ryzyka jest zasób po zasobie (lub według zgrupowanej klasy identycznych zasobów), a nie podatność po podatności. BSI pozwala połączyć 45 laptopów biurowych w jedną pozycję. Oceniasz zagrożenia i podatności na poziomie zasobu. Zarządzanie poprawkami jest odrębnym, ciągłym obowiązkiem na podstawie artykułu 21(2)(e), a nie częścią corocznej oceny.
Mamy ubezpieczenie cybernetyczne, więc resztę możemy zaakceptować.
BSI mówi wprost: pauszalny transfer ryzyka lub ogólna akceptacja ryzyka są wykluczone. Ubezpieczenie leży na wierzchu postępowania z ryzykiem, nigdy go nie zastępuje. To samo dotyczy akceptacji: nie możesz zaakceptować każdego ryzyka, którym nie chcesz się zajmować. Akceptacja musi być uzasadniona, imienna, podpisana i w granicach kryteriów, które ustaliłeś z wyprzedzeniem.
Co widzimy w podmiotach Mittelstand zatrudniających od 60 do 250 osób: dziesięć do piętnastu zgrupowanych zasobów, podzbiór Elementare Gefährdungen liczący około dwudziestu zagrożeń, macierz 3x3 i gdzieś między czterdzieści a osiemdziesiąt pozycji ryzyka łącznie. Pierwsze przejście zajmuje kilka dni roboczych z właściwymi ludźmi w sali. Zrobione raz, coroczny przegląd to godziny, a nie dni.
Dwa elementy, które za pierwszym razem zajmują najwięcej czasu, to inwentaryzacja zasobów i kryteria akceptacji. Oba się zwracają: każde późniejsze wymaganie (dostawcy, incydenty, ciągłość działania, szkolenia) ponownie wykorzystuje tę samą listę zasobów, a kryteria powstrzymują cię od ponownego dyskutowania każdej indywidualnej decyzji o postępowaniu. Praktycy z trzydziestoma klientami Mittelstand mówią to samo: zrób metodę porządnie raz, a coroczny przegląd to najtańsza godzina, jaką spędzasz na NIS 2.
Metodyka ryzyka, inwentaryzacja zasobów, zagrożenia i podatności, ocenione ryzyka, plany postępowania i kryteria akceptacji żyją w jednym module na platformie. Rejestrujesz metodę raz, organ zarządzający ją zatwierdza, a każda późniejsza ocena używa tego samego oceniania. Ślad audytowy jest dowodem.
Coroczny przegląd i przegląd przy istotnych zmianach wynikają z korzystania z platformy: terminy, zatwierdzenia, status. Nic do utrzymywania na boku. Gdy ocena wiąże się bezpośrednio z twoją inwentaryzacją zasobów (jak prosi CIR §2(3)), każda zmiana zasobu pojawia się w następnym przeglądzie. Bezpłatne i open source. Bez lock-in.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), Załącznik §2 i §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §30 w brzmieniu nadanym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI Standard 200-2: metodyka IT-Grundschutz — bsi.bund.de
- BSI Standard 200-3: analiza ryzyka oparta na IT-Grundschutz — bsi.bund.de
- BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ISO/IEC 27005:2022 — Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności: Wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji
- ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690 (stan na maj 2026)