Cyberhigiena i szkolenia bezpieczeństwa w NIS 2 zgodnie z artykułem 21 ust. 2 lit. g)
Artykuł 21 ust. 2 lit. g) NIS 2 obejmuje Twoją kadrę. Artykuł 20 ust. 2 obejmuje Twój organ zarządzający. Dwa odrębne obowiązki. §8 CIR (UE) 2024/2690 określa, co obowiązek wobec kadry faktycznie oznacza: program podnoszenia świadomości dla wszystkich plus szkolenia właściwe dla roli dla osób na rolach istotnych dla bezpieczeństwa.
Krótka wersja
Artykuł 21 ust. 2 lit. g) umieszcza cyberhigienę i szkolenia bezpieczeństwa na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Obowiązek obejmuje wszystkich w podmiocie, w tym organ zarządzający i bezpośrednich dostawców.
§8 CIR (UE) 2024/2690 dzieli obowiązek na dwie części. §8.1 to świadomość: program, który dociera do każdego pracownika, powtarzany okresowo, zgodny z Twoją polityką bezpieczeństwa informacji i Twoim rzeczywistym obrazem zagrożeń, obejmujący zagrożenia, punkty kontaktowe i zasoby. §8.2 to szkolenia właściwe dla roli: zidentyfikuj pracowników na rolach istotnych dla bezpieczeństwa, przeszkol ich w zakresie bezpiecznej konfiguracji i obsługi, znanych zagrożeń oraz tego, jak zachować się podczas zdarzenia istotnego dla bezpieczeństwa.
Nie jest to ten sam obowiązek co artykuł 20 ust. 2. Artykuł 20 ust. 2 to szkolenie dla samego organu zarządzającego, w zakresie ryzyk cyberbezpieczeństwa i praktyk zarządczych. Artykuł 21 ust. 2 lit. g) to szkolenie dla reszty organizacji. Potrzebujesz obu. Audytorzy sprawdzają oba.
Artykuł 21 ust. 2 lit. g) dyrektywy NIS 2 (2022/2555)
Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa.
To punkt g) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Jest to obowiązek obejmujący całą kadrę, odrębny od szkolenia organu zarządzającego z artykułu 20 ust. 2.
CIR (UE) 2024/2690, załącznik §8
Na potrzeby artykułu 21 ust. 2 lit. g) dyrektywy (UE) 2022/2555 odpowiednie podmioty zapewniają, aby ich pracownicy, w tym członkowie organu zarządzającego i bezpośredni dostawcy, byli świadomi ryzyk, poinformowani o znaczeniu cyberbezpieczeństwa oraz stosowali praktyki cyberhigieny.
Ponieważ jest to rozporządzenie (a nie dyrektywa), jest bezpośrednio wiążącym prawem UE. §8.1 ustanawia program podnoszenia świadomości. §8.2 ustanawia obowiązek szkoleń właściwych dla roli. Ma zastosowanie do dostawców DNS, rejestrów TLD, dostawców chmury i centrów danych, MSP, dostawców usług zaufania oraz pozostałych sektorów wymienionych w jego załączniku.
§30 ust. 2 pkt 7 BSIG (Niemcy)
Podstawowe procedury w obszarze cyberhigieny oraz szkolenia w obszarze cyberbezpieczeństwa.
Niemcy kopiują tekst UE blisko. Ścieżką wdrożeniową, na którą wskazuje BSI, jest moduł IT-Grundschutz ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit', który obejmuje zarówno stronę świadomości, jak i stronę właściwą dla roli.
Program podnoszenia świadomości dla wszystkich
Program, który dociera do każdego pracownika, w tym organu zarządzającego i bezpośrednich dostawców. Powtarzany okresowo, nie jednorazowo. Nowo zatrudnieni są obejmowani. Treść jest zgodna z Twoją polityką bezpieczeństwa informacji i Twoim rzeczywistym obrazem zagrożeń. Obejmuje cyberzagrożenia, które faktycznie Cię dotyczą, punkty kontaktowe na wypadek, gdy coś wygląda nie tak, oraz zasoby, z których pracownicy mogą korzystać.
Szkolenia właściwe dla roli dla ról istotnych dla bezpieczeństwa
Zidentyfikuj, które role wymagają umiejętności istotnych dla bezpieczeństwa. Następnie przeszkol te osoby w trzech rzeczach: jak konfigurować i obsługiwać systemy, których dotykają (w tym urządzenia mobilne), znane zagrożenia dotyczące ich pracy oraz jak zachować się podczas zdarzenia istotnego dla bezpieczeństwa. Szersze niż IT: helpdesk, programiści, kadry, finanse mogą się kwalifikować.
Nowo zatrudnieni i okresowa aktualizacja
Obie części §8 mówią, że program musi docierać do nowych pracowników na rolach istotnych dla bezpieczeństwa i być regularnie aktualizowany. Oznacza to krok onboardingowy wewnątrz procesów kadrowych plus kadencję przeglądu samego programu nauczania, tak aby treść nadążała za zagrożeniami, którym faktycznie dziś stawiasz czoła, a nie za tymi sprzed dwóch lat.
Świadomość i właściwe dla roli to dwa odrębne programy
§8.1 i §8.2 to nie to samo w innym opakowaniu. Świadomość trafia do wszystkich. Właściwe dla roli trafia do osób, których praca tworzy lub kontroluje narażenie na ryzyko bezpieczeństwa. Treść jest inna, kadencja jest inna, dowód jest inny. Jeżeli Twój plan szkoleń ma tylko jeden program, brakuje Ci jednego z dwóch obowiązków.
Treść szkolenia odzwierciedla Twój rzeczywisty obraz ryzyka
§8.1 mówi, że program podnoszenia świadomości musi być 'zgodny z polityką bezpieczeństwa informacji i krajobrazem ryzyka' podmiotu. Ogólna treść o phishingu przeznaczona dla banku nie pasuje do Stadtwerk ani do firmy gospodarki odpadami. Program musi nadążać za zagrożeniami, którym faktycznie stawiasz czoła, systemami, które faktycznie prowadzisz, oraz punktami kontaktowymi, do których pracownicy faktycznie muszą zadzwonić.
BSI / IT-Grundschutz Baustein ORP.3
Ścieżką wdrożeniową BSI dla §30 ust. 2 pkt 7 BSIG jest moduł IT-Grundschutz ORP.3 'Sensibilisierung und Schulung'. ORP.3 obejmuje zarówno stronę świadomości (coroczne sesje dla całego personelu), jak i stronę właściwą dla roli (głębsze moduły dla administratorów, programistów, helpdesku i menedżerów). Określa także konkretne oczekiwania co do częstotliwości i wymaga udokumentowania programu nauczania, frekwencji oraz kadencji przeglądu.
Wytyczne techniczne wdrożeniowe ENISA
TIG ENISA dla CIR (UE) 2024/2690 mapuje §8 na ISO/IEC 27001:2022 (A.6.3, A.7.2.2 w starej numeracji), NIST CSF 2.0 (PR.AT) oraz ETSI EN 319 401. Jeżeli prowadzisz już podnoszenie świadomości bezpieczeństwa w ramach ISO 27001, TIG mówi, które istniejące mechanizmy kontrolne pokrywają §8 i gdzie leży luka.
Krajowe ustawy transponujące
Każde państwo członkowskie transponuje ten obowiązek (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Istota jest taka sama, ponieważ dyrektywa ustanawia jeden standard ogólnounijny. Różni się: język dokumentacji, kanały zgłoszeń oraz to, który organ krajowy audytuje zapisy szkoleniowe.
Zrobiliśmy kurs dla organu zarządzającego, skończyliśmy ze szkoleniami NIS 2.
Artykuł 20 ust. 2 i artykuł 21 ust. 2 lit. g) to dwa odrębne obowiązki. Kurs dla organu zarządzającego pokrywa artykuł 20 ust. 2. Twój program obejmujący całą kadrę pokrywa artykuł 21 ust. 2 lit. g). Jeden nie zastępuje drugiego. Audytor poprosi o dowód obu.
Prowadzimy coroczną symulację phishingu, więc świadomość jest pokryta.
Symulacja phishingu to jedna taktyka, a nie program. §8.1 CIR wymaga programu, który obejmuje zagrożenia dotyczące Ciebie, punkty kontaktowe do zgłaszania obaw oraz zasoby, z których pracownicy mogą korzystać. Musi także docierać do nowo zatrudnionych i być prowadzony okresowo. Pojedyncza coroczna symulacja sama w sobie nie spełnia tego testu.
Szkolimy zespół IT, to pokrywa obowiązek właściwy dla roli.
§8.2 mówi 'pracownicy, których role wymagają umiejętności istotnych dla bezpieczeństwa'. To szersze niż IT. Pracownicy helpdesku, którzy resetują hasła, programiści, którzy piszą kod, pracownicy kadr, którzy obsługują przyjęcia i odejścia, pracownicy finansów, którzy obsługują autoryzację płatności. Wszyscy mogą mieścić się w §8.2. Lista ról musi pochodzić z Twojego rzeczywistego obrazu ryzyka, a nie ze schematu organizacyjnego.
Co widzimy w niemieckim Mittelstandzie: coroczna symulacja phishingu plus akapit o bezpieczeństwie w prezentacji onboardingowej. To nie jest §8. §8 wymaga spisanego programu, z grupą docelową na moduł, częstotliwością na moduł oraz zapisem na każdego uczącego się, co i kiedy ukończył.
Forma, która wytrzymuje audyt: jedna ścieżka świadomości dla wszystkich (moduł onboardingowy plus coroczne odświeżenie, zagrożenia i punkty kontaktowe) oraz ścieżka właściwa dla roli dla zidentyfikowanych ról istotnych dla bezpieczeństwa (administratorzy, programiści, helpdesk plus te role biznesowe, które oznaczyła Twoja analiza ryzyka). Udokumentuj program nauczania, grupę docelową, częstotliwość, zapisy ukończenia oraz datę przeglądu samego programu nauczania.
Moduł szkoleń (TRN) ujmuje program: każdy kurs, jego grupę docelową, jego częstotliwość oraz zapis ukończenia na każdego uczącego się. Możesz przypisać program świadomości do 'wszystkich pracowników', a moduły właściwe dla roli do zdefiniowanych przez Ciebie ról. Ślad audytowy jest dowodem.
Strona świadomości §8.1 jest spełniana przez kurs dla CEO na platformie (artykuł 20 ust. 2) plus ścieżkę świadomości dla wszystkich pracowników. Strona właściwa dla roli §8.2 jest spełniana przez dodanie modułów właściwych dla roli i przypisanie ich pracownikom, których oznacza Twoja analiza ryzyka. Ukończenie jest rejestrowane automatycznie. Cykle ponownego szkolenia są planowane przez moduł.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21 ust. 2 lit. g) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik §8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa o BSI (BSIG), §30 ust. 2 pkt 7 w brzmieniu nadanym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- Moduł IT-Grundschutz BSI ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit'
- Wytyczne techniczne wdrożeniowe ENISA dla CIR (UE) 2024/2690 (stan na maj 2026)