Ocena skuteczności w NIS 2 na podstawie artykułu 21(2)(f)
Nie wystarczy spisać swoich środków cyberbezpieczeństwa. Artykuł 21(2)(f) mówi, że musisz sprawdzać, czy faktycznie działają, w sposób ciągły. CIR §7 przekłada to na nazwane KPI, właścicieli i rytm przeglądów.
Krótka wersja
Ocena skuteczności to pętla dowodowa. Spędziłeś rok, ustawiając zarządzanie ryzykiem, kontrolę dostępu, kryptografię, przeglądy dostawców i resztę. Artykuł 21(2)(f) zadaje kolejne pytanie: czy środki, które spisałeś, faktycznie działają? Udokumentowane zabezpieczenie, którego nikt nie testuje, nie jest tym samym co zabezpieczenie działające.
CIR (UE) 2024/2690 §7 przekłada abstrakcyjny obowiązek na proces PDCA. Wybierasz, co mierzyć. Wybierasz, jak i jak często. Wyznaczasz właściciela pomiaru i właściciela analizy. Przeglądasz wyniki. Aktualizujesz ramy po każdym poważnym incydencie.
Niemcy wprowadzają tę samą zasadę do prawa krajowego poprzez §30(2)(6) BSIG. Brzmienie ściśle podąża za dyrektywą. Ta strona przechodzi przez dyrektywę, unijne rozporządzenie wykonawcze oraz niemiecką transpozycję w tej kolejności.
Artykuł 21(2)(f) dyrektywy NIS 2 (2022/2555)
Policies and procedures to assess the effectiveness of cybersecurity risk-management measures.
Punkt (f) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wprowadzić. Dyrektywa nie mówi, jak często ani z jakimi KPI. To pozostawiono CIR §7.
CIR (UE) 2024/2690, załącznik §7
For the purposes of Article 21(2)(f) of Directive (EU) 2022/2555, the relevant entities shall establish, implement and apply a policy and procedures to assess whether the cybersecurity risk-management measures are effectively implemented and maintained.
Bezpośrednio wiążące prawo UE dla sektorów wymienionych w załączniku CIR. §7 nazywa sześć rzeczy, które twoja polityka musi obejmować (co, jak, kiedy, kto mierzy, kiedy wyniki są analizowane, kto analizuje). Wymaga także przeglądu w zaplanowanych odstępach lub po każdym poważnym incydencie.
§30(2)(6) BSIG (Niemcy)
Policies and procedures to assess the effectiveness of cybersecurity risk-management measures.
Niemcy kopiują tekst UE niemal słowo w słowo. BSI oczekuje, że podczas audytu wskażesz udokumentowaną koncepcję oceny, a nie arkusz kalkulacyjny zrobiony ad hoc.
CO mierzysz
Nazwij środki zarządzania ryzykiem cyberbezpieczeństwa, które monitorujesz. Liczą się zarówno procedury, jak i zabezpieczenia. Nie musisz mierzyć wszystkiego. Musisz wybrać zestaw, spisać go i powiązać z wynikami swojej oceny ryzyka oraz z wcześniejszymi poważnymi incydentami.
JAK i KIEDY mierzysz
Dla każdego środka nazwij metodę monitorowania i pomiaru, podejście analityczne oraz rytm. Kwartalne wskaźniki z dorocznym pogłębionym przeglądem to częsty kształt. Metoda musi dawać wiarygodne wyniki, więc „mamy co do tego przeczucie” nie przejdzie.
KTO jest odpowiedzialny
Dwie nazwane role. Jedna osoba jest właścicielem pomiaru (pobiera liczby, przeprowadza test, eksportuje dziennik). Druga osoba jest właścicielem analizy (czyta dane, ocenia, czy zabezpieczenie działa, eskaluje). Ta sama osoba może robić jedno i drugie przy małym rozmiarze Mittelstand, ale dokument musi je nazwać.
Połącz skuteczność z rejestrem ryzyka
CIR §7.2 mówi, że polityka musi uwzględniać wyniki oceny ryzyka oraz wcześniejsze poważne incydenty. Swobodnie unoszące się KPI się nie liczą. Jeśli mierzysz zgodność z poprawkami, a twoje trzy główne ryzyka to naruszenia u dostawców, phishing i ekspozycja OT, twoje KPI mijają się z sednem. Wybierz KPI, które testują zabezpieczenia pokrywające twoje najwyższe ryzyka.
Raportuj w górę do organu zarządzającego
Artykuł 20(1) NIS 2 nakazuje organowi zarządzającemu zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa i nadzorować ich wdrożenie. Nie mogą nadzorować tego, czego nie widzą. Dane o skuteczności muszą okresowo trafiać przed ich oczy. Kwartalnie to częsty rytm. Format nie ma znaczenia, o ile jest udokumentowany.
BSI / IT-Grundschutz DER.1
BSI wymienia ocenę skuteczności jako punkt szósty z dziesięciu środków z artykułu 21(2). Warstwa IT-Grundschutz DER.1 „Detekcja” obejmuje operacyjną stronę monitorowania (analiza dzienników, SIEM, wykrywanie anomalii). Sama DER.1 nie spełnia §7, ale jest jednym z wejść, do których odwoła się twoja koncepcja oceny.
Wytyczne ENISA dotyczące technicznego wdrożenia
TIG ENISA dla CIR (UE) 2024/2690 nazywają dowody, których oczekują audytorzy na podstawie §7: udokumentowana polityka, lista KPI z wartościami docelowymi i rzeczywistymi, nazwani właściciele, protokoły przeglądów, punkty działania wynikające z analizy. ENISA odwzorowuje także §7 na zabezpieczenia ISO/IEC 27001:2022 9.1 (monitorowanie) i 5.36 (przegląd zgodności).
Krajowe ustawy transponujące
Każde państwo członkowskie ma własną ustawę transponującą (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązek jest taki sam, ponieważ dyrektywa ustala jeden ogólnounijny standard. Co się różni: komu raportujesz, jak wygląda cykl audytowy, który regulator sektorowy ma głos w twoim kraju.
Przeprowadzamy doroczny audyt, to jest nasza ocena skuteczności.
Audyt to kontrola w punkcie czasu. CIR §7 wymaga bieżącego monitorowania i pomiaru oraz okresowej analizy. Audyt to jedno wejście, a nie cała odpowiedź. Jeśli twoim jedynym dowodem skuteczności jest raport z audytu raz w roku, nie masz koncepcji z §7.
Mamy SIEM, więc monitorowanie mamy załatwione.
SIEM to jedno z narzędzi pośród wejść, do których odwołuje się twoja koncepcja oceny. §7 nie pyta „czy masz SIEM”. Pyta „które zabezpieczenie testujesz, które KPI względem niego mierzysz, jaka wartość docelowa definiuje skuteczność”. Same pulpity SIEM na to nie odpowiadają.
Nasz CISO wie, czy środki działają.
CIR §7.2(d) i §7.2(f) wymagają nazwanych właścicieli i udokumentowanej analizy. Wiedza plemienna w głowie jednej osoby zawodzi z dwóch powodów: brak śladu audytowego, brak ciągłości, gdy ta osoba odejdzie. Koncepcja musi być spisana, analiza musi być zapisana, a organ zarządzający musi zobaczyć wyniki.
Większość firm z Mittelstandu mierzy już dwie rzeczy: dostępność systemów i zgodność z poprawkami. Oba to dobre KPI, ale pokrywają tylko dwa z dziesięciu środków z artykułu 21(2). Artykuł 21(2)(f) wymaga od ciebie więcej: liczba incydentów względem celów, średni czas wykrycia, średni czas reakcji, wskaźniki ukończenia szkoleń, wyniki testów phishingowych, wskaźniki ukończenia przeglądów dostawców.
Co widzimy w praktyce: wybierz sześć do ośmiu KPI, które odwzorowują się na twoje najwyższe ryzyka. Kwartalny odczyt dla organu zarządzającego. Doroczny pogłębiony przegląd, który weryfikuje dobór KPI względem zaktualizowanego rejestru ryzyka. Po każdym poważnym incydencie uruchamia się wyzwalacz z §7.3 i przeglądasz odpowiednie środki niezależnie od kalendarza. To broni się względem proporcjonalności z artykułu 21(1) dla operatora liczącego od 60 do 250 osób.
Wbudowaliśmy koncepcję oceny z §7 w platformę jako moduł. Definiujesz KPI, łączysz każdy z mierzonym przez niego środkiem zarządzania ryzykiem, ustawiasz rytm pomiaru i wartość docelową oraz nazywasz właściciela pomiaru i właściciela analizy. Platforma przypomina właścicielowi, gdy zbliża się następny odczyt.
Pulpit organu zarządzającego zbiera każde KPI w jeden widok kwartalny, gotowy na spotkanie nadzorcze z artykułu 20(1). Po poważnym incydencie wyzwalacz przeglądu z §7.3 uruchamia się automatycznie: odpowiednie KPI wypływają na wierzch, dotknięci właściciele otrzymują zadanie, analiza zostaje zatwierdzona podpisem. Ślad audytowy jest domyślnie kompletny.
- Directive (EU) 2022/2555 (NIS 2), Article 21(2)(f) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Commission Implementing Regulation (EU) 2024/2690 (CIR), Annex §7 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI Act (BSIG), §30(2)(6) as amended by the NIS2 Implementation and Cybersecurity Strengthening Act
- BSI IT-Grundschutz, layer DER.1 'Detection of security-relevant events' — bsi.bund.de/grundschutz
- ENISA Technical Implementation Guidance for CIR (EU) 2024/2690 (as of May 2026)