Jak przygotować się do audytu BSI na podstawie §64 i §65 BSIG
Art. 32 NIS 2 daje każdemu organowi nadzoru stały zestaw narzędzi. §64 BSIG kopiuje go do prawa niemieckiego. Ta strona przechodzi czterostopniową drabinę dowodów, której używa BSI, oraz to, na co podmiot kluczowy, podmiot ważny i operator KRITIS muszą być gotowi.
Wersja skrócona
Audyt BSI to nie jedno wydarzenie. Art. 32 NIS 2 wymienia stały zestaw uprawnień nadzorczych wobec podmiotów kluczowych: inspekcje na miejscu, ukierunkowane audyty bezpieczeństwa przez niezależny podmiot, audyty ad hoc, gdy istnieje uzasadniony powód, skany bezpieczeństwa oraz pisemne żądania informacji i dokumentów. BSI eskaluje w górę tej drabiny.
§64 BSIG transponuje te uprawnienia do prawa niemieckiego jako Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung oraz technische Untersuchung. §61 BSIG ustala otaczające uprawnienia nadzorcze. §65 BSIG to miejsce, w którym znajdują się kary. Kary sięgają dziesięciu milionów euro lub dwóch procent obrotu grupy dla podmiotów kluczowych oraz siedmiu milionów lub jednego i czterech dziesiątych procenta dla podmiotów ważnych, odzwierciedlając art. 34 NIS 2.
Większość audytów nigdy nie dochodzi do kroku na miejscu. Czysta dokumentacja, organ zarządzający, który potrafi za nią odpowiedzieć, oraz pisemny plan postępowania z znanymi lukami kończą audyt na kroku pierwszym lub drugim. Ta strona przechodzi drabinę, tekst prawny za nią oraz trzy pułapki, które zamieniają audyt papierowy w wizytę na miejscu.
Art. 32 dyrektywy NIS 2 (2022/2555)
Państwa członkowskie zapewniają, by środki nadzorcze nakładane na podmioty kluczowe na potrzeby niniejszej dyrektywy były skuteczne, proporcjonalne i odstraszające, z uwzględnieniem okoliczności każdego indywidualnego przypadku. Wykonując swoje uprawnienia nadzorcze w odniesieniu do podmiotów kluczowych, właściwe organy mają prawo poddać te podmioty: a) inspekcjom na miejscu i nadzorowi zdalnemu, w tym kontrolom wyrywkowym, prowadzonym przez wyszkolonych specjalistów; b) regularnym i ukierunkowanym audytom bezpieczeństwa prowadzonym przez niezależny podmiot lub właściwy organ; c) audytom ad hoc, w tym uzasadnionym wystąpieniem istotnego incydentu lub naruszeniem niniejszej dyrektywy przez podmiot kluczowy; d) skanom bezpieczeństwa opartym na obiektywnych, niedyskryminujących, sprawiedliwych i przejrzystych kryteriach oceny ryzyka, w razie potrzeby przy współpracy danego podmiotu; e) żądaniom informacji niezbędnych do oceny środków zarządzania ryzykiem w cyberbezpieczeństwie przyjętych przez dany podmiot.
Art. 32 ustala zestaw narzędzi ex ante dla podmiotów kluczowych. Art. 33 odzwierciedla go dla podmiotów ważnych, ale jako nadzór ex post, co oznacza, że BSI może działać tylko wtedy, gdy ma przesłanki niezgodności. Art. 34 ustala pułapy kar, które BSIG kopiuje.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik
Na potrzeby art. 21 ust. 2 dyrektywy (UE) 2022/2555 odpowiednie podmioty ustanawiają, wdrażają i stosują politykę bezpieczeństwa sieci i systemów informatycznych [...] oraz ramy zarządzania ryzykiem [...] dotyczące ryzyk dla bezpieczeństwa sieci i systemów informatycznych.
Załącznik do CIR to to, względem czego audytor faktycznie sprawdza. Określa, co muszą zawierać zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw, obsługa incydentów, ciągłość działania, szkolenia, kryptografia, kontrola dostępu oraz pozostałe środki z art. 21 ust. 2. Dyrektywa daje BSI prawo do patrzenia. Załącznik do CIR ustala poprzeczkę.
§64 BSIG (Niemcy)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
§64 BSIG daje BSI trzy uprawnienia operacyjne: żądać dokumentów, wejść do twoich biur w godzinach pracy, przeprowadzić inspekcję techniczną. §61 BSIG ustala szerszy zakres nadzoru. §65 BSIG ustala kary, z pułapami z art. 34 przeniesionymi bezpośrednio. Operatorzy KRITIS dźwigają dodatkowy trzyletni obowiązek dowodowy na podstawie §29 BSIG.
Żądanie dokumentacji i przegląd
Krok pierwszy to pisemna Auskunfts- und Unterlagenanforderung na podstawie §64 BSIG. BSI prosi o twoje ramy zarządzania ryzykiem, twoją listę aktywów, twoją politykę obsługi incydentów, twoje zapisy szkoleń, twoje środki dotyczące łańcucha dostaw oraz dowody szkolenia kierownictwa na podstawie §38 BSIG. Krok drugi to rozmowa-przegląd: BSI prosi odpowiedzialne role o wyjaśnienie, co jest na papierze. Na tej rozmowie zwykle oczekuje się obecności członka organu zarządzającego. Większość audytów kończy się tutaj.
Inspekcja na miejscu
Jeżeli brakuje dokumentacji lub przegląd ujawnia luki, których BSI nie może pogodzić, §64 BSIG pozwala im wejść do twoich pomieszczeń w godzinach pracy i przeprowadzić inspekcję. Poproszą, by zobaczyć, jak polityki przekładają się na praktykę: kopie zapasowe faktycznie działające, kontrola dostępu faktycznie egzekwowana, plany działania na wypadek incydentu faktycznie znane. Art. 32 ust. 2 lit. c) pozwala im eskalować ad hoc po istotnym incydencie, bez ostrzeżenia. Rozwiązaniem nie jest dobre wypadnięcie tego dnia. Jest nim nieposiadanie niczego, czego przegląd nie mógłby już pokazać.
Ukierunkowany audyt bezpieczeństwa i inspekcja techniczna
Art. 32 ust. 2 lit. b) pozwala BSI zarządzić regularny lub ukierunkowany audyt bezpieczeństwa przez niezależny podmiot, na twój koszt. §64 BSIG dodaje technische Untersuchung: skany, przeglądy konfiguracji, analizę logów. Art. 32 ust. 2 lit. d) pozwala im przeprowadzić skany bezpieczeństwa na twoim obwodzie według obiektywnych i niedyskryminujących kryteriów. Ten krok jest rzadki dla podmiotów ważnych, strukturalnie dostępny dla podmiotów kluczowych i standardową ścieżką dla operatorów KRITIS na podstawie §29 BSIG (trzyletni cykl Nachweis).
Datowane i podpisane bije kompleksowe
Audytor nie chce idealnej polityki. Chce polityki, która jest datowana, podpisana przez wskazanego właściciela, ostatnio przeglądana w ciągu ostatnich dwunastu miesięcy i śledzalna do wersji. Sześciostronicowa polityka z zatwierdzeniem dyrektora zarządzającego sprzed dwóch miesięcy jest warta więcej niż czterdziestostronicowa polityka, której nikt nie jest właścicielem. Znane luki z pisemnym planem postępowania i datą docelową są w porządku. Nieznane luki i nieudokumentowane decyzje nie są.
Organ zarządzający musi być w pokoju
Art. 20 NIS 2 czyni organ zarządzający odpowiedzialnym za zatwierdzanie środków zarządzania ryzykiem w cyberbezpieczeństwie i nadzór nad ich wdrażaniem. §38 BSIG transponuje to z odpowiedzialnością osobistą. Przegląd BSI, podczas którego dyrektor zarządzający nie potrafi odpowiedzieć za obraz ryzyka, sam w sobie jest ustaleniem. Rozwiązaniem nie jest scenariusz. Jest nim kwartalny przegląd, w którym dyrektor zarządzający faktycznie uczestniczy.
Standardowy audyt BSI + §29 Nachweis KRITIS
Dla podmiotów kluczowych i ważnych BSI obsługuje drabinę §64 BSIG od żądania dokumentacji w górę. Dla operatorów KRITIS (infrastruktura krytyczna na podstawie §28 BSIG) §29 BSIG dodaje trzyletni obowiązek Nachweis: co trzy lata operator składa dowody (zwykle zewnętrzne sprawozdanie z audytu), które wykazują, że środki z §30 BSIG są wdrożone. Nachweis z §29 jest sterowany kalendarzem i nie zależy od rozpoczęcia audytu przez BSI.
ENISA + Grupa Współpracy NIS
ENISA, Agencja UE ds. Cyberbezpieczeństwa, publikuje wytyczne techniczne dotyczące wdrożenia (TIG), które odwzorowują art. 21 NIS 2 na ustalone standardy, takie jak ISO/IEC 27001:2022 i NIST CSF 2.0. Grupa Współpracy NIS na podstawie art. 14 NIS 2 koordynuje praktykę audytową między państwami członkowskimi. Jeżeli działasz w kilku krajach, treść, którą sprawdzają audytorzy, jest taka sama. Mechanika (formularze, kanały, terminy) się różni.
Sektorowe właściwe organy
Dla niektórych sektorów (energetyka, finanse, telekomunikacja) nadzór należy częściowo do regulatora sektorowego (BNetzA, BaFin) zamiast lub obok BSI. Dyrektywa na to zezwala, a §61 BSIG nazywa podziały kompetencji. Same uprawnienia z art. 32 się nie zmieniają. Zmienia się to, który organ pojawia się u drzwi.
Jeżeli nasze polityki są spisane, jesteśmy gotowi.
Spisane polityki to krok pierwszy. Przegląd na kroku drugim to miejsce, w którym audyt faktycznie się rozstrzyga. Audytor prosi odpowiedzialną rolę o wyjaśnienie, jak polityka działa w praktyce. Jeżeli rola nie potrafi tego wyjaśnić, polityka jest papierem, a audyt przechodzi na miejsce na podstawie §64 BSIG. Leczeniem nie są lepsze polityki. Jest nim faktyczne używanie ich przez osobę odpowiedzialną i faktyczny przegląd przez organ zarządzający.
Uporządkujemy dokumentację, gdy nadejdzie pismo o audycie.
BSI zwykle daje termin od dwóch do czterech tygodni na żądanie dokumentacji z §64. Zbudowanie rejestru ryzyka, inwentarza aktywów i polityki obsługi incydentów od zera w tym oknie nie jest realne. Tworzy to także najgorszy możliwy artefakt dla audytora: świeży dokument bez historii wersji, bez wcześniejszych zatwierdzeń i bez śledzalnego użycia. Dokumenty trzeba prowadzić, a nie produkować na pismo.
Odpowiadamy tylko za to, co sami prowadzimy, a nie za naszych dostawców.
Art. 21 ust. 2 lit. d) NIS 2 oraz §30 ust. 2 pkt 4 BSIG nakładają bezpieczeństwo łańcucha dostaw na podmiot, a nie na dostawcę. Odpowiedź typu czarna skrzynka, jak „nasz dostawca usług zarządzanych się tym zajmuje”, jest ustaleniem. Audytor poprosi o klauzule umowne, ocenę ryzyka dostawcy oraz dowody na to, że sprawdzasz dostawcę. Operatorzy KRITIS mierzą się z tym ostrzej: Nachweis z §29 obejmuje także usługi zarządzane. Możesz powierzyć operację, ale nie odpowiedzialność.
Regionalny dostawca energii, z którym współpracujemy, jest w zakresie jako operator KRITIS na podstawie §28 BSIG. Ich ostatni Nachweis z §29 był osiemnaście miesięcy temu, kolejny jest należny za osiemnaście. Prowadzą przygotowanie w trybie ciągłym: co kwartał CISO przechodzi jeden środek z §30 BSIG z dyrektorem zarządzającym, zbiera dowody (wersja polityki, zatwierdzenie, ostatni przegląd, otwarte pozycje postępowania) i zamyka każdą lukę przed kolejnym kwartałem. Zanim audytor zapuka, nic nie jest produkowane na wizytę. Wszystko jest datowane.
Sam Nachweis z §29 przebiega przez zewnętrznego audytora zleconego przez operatora. BSI nie prowadzi audytu bezpośrednio: przyjmuje zewnętrzne sprawozdanie. Sprawozdanie z audytu oznacza luki jako „erhebliche Mängel” (istotne wady), „sonstige Mängel” (inne wady) lub żadne. Istotne wady uruchamiają obowiązki następcze. Inne wady wiążą się z planem postępowania i datą docelową. Dostawca energii zamyka około osiemdziesięciu procent ustaleń audytu przed przekazaniem sprawozdania do BSI, traktując listę luk jako stały punkt agendy na kolejne dwa kwartały.
Każdy wymóg NIS 2 na platformie domyślnie produkuje trzy rzeczy: politykę z wersją i zatwierdzeniem, powtarzalny przegląd z terminem oraz ślad audytowy, który rejestruje, kto co zrobił i kiedy. Auskunfts- und Unterlagenanforderung z §64 BSIG staje się eksportem, a nie projektem pisarskim. Przekazujesz spakowany pakiet dowodów (polityki, zatwierdzenia, lista aktywów, rejestr ryzyka, dziennik incydentów, zapisy szkoleń, lista dostawców) zamiast przeszukiwać pliki.
Dla operatorów KRITIS Nachweis z §29 działa na tych samych danych. Zewnętrzny audytor otrzymuje widok tylko do odczytu tych samych artefaktów, które firma już prowadzi. Nie ma drugiego narzędzia, nie ma równoległego stosu arkuszy i nie ma gorączki w tygodniu audytu. Sens jest strukturalny: gdy nadchodzi dzień pisma o audycie, nie przygotowujesz się. Eksportujesz.
- Dyrektywa (UE) 2022/2555 (NIS 2), art. 32, 33, 34 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa o BSI (BSIG), §29 (Nachweis KRITIS), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- Pakiety informacyjne BSI „NIS 2 Pflichten” — bsi.bund.de/dok/nis-2-infopakete
- Wytyczne techniczne ENISA dotyczące wdrożenia dla CIR (UE) 2024/2690 (stan na maj 2026 r.)
- Dokumenty referencyjne Grupy Współpracy NIS dotyczące praktyki nadzorczej — digital-strategy.ec.europa.eu