Art. 21(2)(e) NIS 2 + CIR §6.7 + §6.8

Bezpieczeństwo sieci NIS 2 na podstawie art. 21 ust. 2 lit. e)

NIS 2 stanowi, że twoje sieci i systemy informatyczne muszą być bezpieczne na etapie nabywania, rozwoju i utrzymania. Artykuł 21 ust. 2 lit. e) jest miejscem, gdzie zlokalizowany jest ten obowiązek, CIR (UE) 2024/2690 § 6.7 i § 6.8 wyszczególniają elementy specyficzne dla sieci, a § 30 ust. 2 pkt 5 BSIG jest niemiecką transpozycją.

Simon OrzelSimon Orzel·

Wersja skrócona

Artykuł 21 ust. 2 lit. e) jest piąty na liście dziesięciu obowiązków w zakresie cyberbezpieczeństwa według NIS 2. Obejmuje pełny cykl życia sieci i systemów informatycznych: jak je kupujesz, jak je budujesz i jak utrzymujesz ich bezpieczne działanie. CIR (UE) 2024/2690 § 6 następnie operacjonalizuje to w kilku podpunktach. Elementy specyficzne dla sieci to § 6.7 (bezpieczeństwo sieci) i § 6.8 (segmentacja sieci).

§ 6.7 jest trudniejszy z tych dwóch do odczytania. Dwanaście konkretnych działań, od udokumentowania architektury sieci po prowadzenie higieny DNS i zabezpieczanie poczty e-mail. § 6.8 jest prostszy: podziel swoją sieć na strefy w oparciu o to, co każda strefa ma robić, i utrzymuj ruch produkcyjny, testowy i administracyjny rozdzielony.

Niemcy ujmują ten sam obowiązek w prawie krajowym poprzez § 30 ust. 2 pkt 5 BSIG. BSI wskazuje IT-Grundschutz NET.1 (Netze und Kommunikation) i NET.3.2 (Firewall) jako praktyczną drogę wdrożenia. Ta strona omawia dyrektywę, CIR oraz warstwę niemiecką w tej kolejności.

Źródło prawne
Trzy warstwy nałożone jedna na drugą. Dyrektywa. Rozporządzenie wykonawcze. Niemiecka transpozycja. Wszystkie trzy mówią to samo różnymi słowami.

Artykuł 21 ust. 2 lit. e) dyrektywy NIS 2 (2022/2555)

Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie.

Punkt (e) na liście z art. 21 ust. 2. Obejmuje pełny cykl życia twojej sieci i systemów IT, nie tylko stan działania. CIR § 6 następnie rozbija to na wiele podpunktów. § 6.7 i § 6.8 to te specyficzne dla sieci.

CIR (UE) 2024/2690, załącznik § 6.7 i § 6.8

§ 6.7 Bezpieczeństwo sieci. Podmioty, których to dotyczy, podejmują odpowiednie środki w celu ochrony swoich sieci i systemów informatycznych przed cyberzagrożeniami. § 6.8 Segmentacja sieci. Podmioty, których to dotyczy, segmentują swoje systemy […] na sieci lub strefy zgodnie z wynikami oceny ryzyka […]; segmentują również swoje własne systemy i sieci od systemów i sieci osób trzecich.

Ponieważ jest to rozporządzenie (a nie dyrektywa), stanowi bezpośrednio wiążące prawo UE. § 6.7 wymienia dwanaście konkretnych działań, od udokumentowanej architektury sieci po higienę DNS i poczty e-mail. § 6.8 wymienia osiem działań segmentacyjnych, w tym DMZ, oddzielenie sieci administracyjnych oraz oddzielenie produkcji od rozwoju i testów.

§ 30 ust. 2 pkt 5 BSIG (Niemcy)

Środki bezpieczeństwa w procesie nabywania, rozwoju i utrzymania systemów informatycznych, komponentów i procesów, w tym zarządzanie podatnościami i ich ujawnianie.

Niemcy kopiują tekst UE niemal słowo w słowo. BSI następnie wskazuje IT-Grundschutz NET.1 (Netze und Kommunikation) i NET.3.2 (Firewall) jako uznaną drogę wdrożenia szczegółów § 6.7 i § 6.8.

Trzy elementy CIR § 6.7 i § 6.8
CIR rozdziela bezpieczeństwo sieci na dwa podpunkty. Grupujemy je na trzy: dokumentacja i kontrole dostępu z § 6.7, higiena protokołów i urządzeń z § 6.7 oraz reguły segmentacji z § 6.8.
§ 6.7.2 lit. a)-f)

Udokumentuj sieć, kontroluj dostęp wewnętrzny

Utrzymuj aktualny i czytelny schemat architektury sieci. Zdefiniuj i stosuj środki kontroli chroniące domeny wewnętrzne przed nieuprawnionym dostępem. Blokuj połączenia i usługi, które nie są potrzebne. Zdefiniuj osobne środki kontroli dla dostępu zdalnego, w tym dostępu zdalnego dostawców. Nie pozwól, aby systemy administracyjne były używane do czegokolwiek innego. Wyłącz lub wyraźnie zabroń połączeń i usług, których nie używasz.

§ 6.7.2 lit. g)-l)

Higiena na poziomie urządzeń, protokołów, DNS i poczty e-mail

W stosownych przypadkach ogranicz dostęp wyłącznie do zatwierdzonych urządzeń. Wpuszczaj połączenia dostawców dopiero po wniosku o zatwierdzenie i tylko na określone okno czasowe (na przykład konserwacja). Prowadź komunikację między systemami przez zaufane kanały, rozdzieloną logicznie, kryptograficznie lub fizycznie, z bezpieczną identyfikacją punktów końcowych. Zaplanuj i przyspiesz przejście na nowoczesne protokoły warstwy sieciowej. Przyjmij nowoczesne, interoperacyjne standardy poczty e-mail, aby zamknąć podatności związane z pocztą. Stosuj sprawdzone praktyki zabezpieczania DNS i higieny routingu dla ruchu przychodzącego i wychodzącego.

§ 6.8

Segmentuj według ryzyka, oddziel produkcję od testów i administracji

Segmentuj swoje systemy na sieci lub strefy, używając wyniku oceny ryzyka z § 2.1, a nie tylko dla wygody. Uwzględnij powiązania funkcjonalne, logiczne, fizyczne i lokalizacyjne między zaufanymi systemami. Przyznawaj dostęp do strefy w oparciu o wymagania bezpieczeństwa tej strefy. Umieść systemy niezbędne dla działalności lub bezpieczeństwa wewnątrz zabezpieczonych stref. Prowadź DMZ w sieciach komunikacyjnych. Ogranicz dostęp do stref i w ich obrębie do tego, czego wymaga działalność. Prowadź dedykowaną sieć administracyjną dla systemów, oddzieloną od sieci operacyjnej. Utrzymuj kanały administrowania siecią oddzielone od innego ruchu. Utrzymuj systemy produkcyjne dla usług produkcyjnych oddzielone od rozwoju i testów, w tym ich kopie zapasowe.

Dwie reguły, które kształtują całą resztę
Dwie reguły podstawowe leżą u podstaw zarówno § 6.7, jak i § 6.8. Decydują o tym, czy twoja konfiguracja sieci faktycznie spełnia standard, czy tylko na to wygląda.

Segmentuj według ryzyka, a nie dla wygody

CIR § 6.8.2 wiąże segmentację z powrotem z § 2.1: to ocena ryzyka mówi ci, których stref potrzebujesz i jak surowe muszą być granice między nimi. Płaska sieć z jednym firewallem nie jest segmentacją. Strefy oparte na tym, co każda część działalności faktycznie robi, oraz na ryzyku, jakie ze sobą niesie, są nią. Jeśli nie potrafisz wskazać linii oceny ryzyka uzasadniającej strefę, nie masz segmentacji w rozumieniu definicji standardu.

Udokumentuj architekturę, utrzymuj ją aktualną

§ 6.7.2 lit. a) jest pierwszym działaniem na liście nie bez powodu. Wszystko inne w § 6.7 i § 6.8 opiera się na udokumentowanym i aktualnym schemacie sieci. Audytorzy patrzą najpierw na schemat. Jeśli on nie istnieje lub jest sprzed dwóch lat, każdy inny środek kontroli staje się trudniejszy do zweryfikowania. Traktuj schemat jako dokument żywy, a nie jako jednorazowy plik Visio.

Jak krajowe organy regulacyjne faktycznie to prowadzą
UE ustala regułę. Każdy kraj ją transponuje. Treść jest taka sama. Lokalna mechanika nieco się różni.
Niemcy

BSI / § 30 ust. 2 pkt 5 BSIG / IT-Grundschutz

BSI wskazuje IT-Grundschutz NET.1 (Netze und Kommunikation) dla ogólnego projektu sieci oraz NET.3.2 (Firewall) dla kontroli na styku sieci i segmentacji. Oba Bausteine odwzorowują działania § 6.7 i § 6.8 niemal jeden do jednego. Jeśli prowadzisz już sieć zgodną z Grundschutz, możesz wykorzystać istniejącą dokumentację jako bazę dowodową.

Cała UE

ENISA Technical Implementation Guidance

TIG ENISA obejmuje art. 21 ust. 2 lit. e) oraz podpunkty CIR § 6, w tym bezpieczeństwo sieci i segmentację. Odwzorowuje wymagania na środki kontroli ISO/IEC 27001:2022 (A.8.20 Bezpieczeństwo sieci, A.8.21 Bezpieczeństwo usług sieciowych, A.8.22 Segregacja sieci) oraz na NIST CSF 2.0 PR.IR (Technology Infrastructure Resilience). Jeśli prowadzisz już jeden z nich, możesz ponownie wykorzystać te środki kontroli.

Inne państwa członkowskie

Krajowe ustawy transponujące

Inne państwa członkowskie transponują art. 21 ust. 2 lit. e) do własnych przepisów (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Treść jest identyczna, ponieważ szczegóły CIR § 6 wiążą wymienione sektory bezpośrednio. Różni się to, z którą agencją rozmawiasz i które krajowe wytyczne wdrożeniowe czytasz obok CIR.

Trzy pułapki, które widzimy bez przerwy
Trzy zdania, które słyszymy niemal na każdej rozmowie przygotowawczej do audytu. Wszystkie trzy pozostawiają lukę w § 6.7 lub § 6.8, którą audytor znajdzie.

  • Mamy firewall, więc jesteśmy zabezpieczeni.

    Firewall to dobra rzecz. To nie jest cały § 6.7. § 6.7.2 lit. a) wymaga udokumentowanej i aktualnej architektury sieci. § 6.7.2 lit. c) wymaga, aby nieużywane połączenia i usługi były domyślnie blokowane. § 6.7.2 lit. f) wymaga, aby nieużywane usługi były wyraźnie zabronione lub dezaktywowane. § 6.8 wymaga segmentacji według ryzyka. Firewall bez tych czterech elementów spełnia jedną linijkę § 6.7, a nie cały punkt.

  • Produkcja i testy znajdują się w tej samej sieci, bo tak jest łatwiej.

    § 6.8.2 lit. h) jest jednoznaczny: systemy produkcyjne dla usług produkcyjnych muszą być oddzielone od rozwoju i testów, w tym ich kopie zapasowe. To jedna z najtrudniejszych luk do nadrobienia po fakcie i jedna z najłatwiejszych do wychwycenia przez audytora. Wspólna podsieć dla produkcji i testów nie przetrwa przeglądu § 6.8.

  • Nasi administratorzy logują się do firewalla ze swoich zwykłych stacji roboczych.

    § 6.8.2 lit. f) wymaga osobnej sieci administracyjnej dla systemów. § 6.8.2 lit. g) wymaga oddzielenia kanałów administrowania od innego ruchu sieciowego. Logowanie się do firewalla ze stacji roboczej, na której działa również poczta e-mail i przeglądarka, narusza oba. Użyj dedykowanego hosta pośredniczącego lub stacji roboczej dostępu uprzywilejowanego, w osobnym zarządczym VLAN-ie.

Jak rzeczywiści operatorzy Mittelstand faktycznie to robią

Typowa sieć Mittelstand zatrudniająca od 60 do 250 osób ma już firewall, a często też DMZ. Luki w § 6.7 i § 6.8, które widzimy, to zwykle te same trzy: brak udokumentowanego schematu sieci, brak dedykowanej sieci administracyjnej oraz produkcja i testy znajdujące się w tej samej podsieci. Każdą z nich jest tanio zapisać raz, a boleśnie nadrabiać później.

Pragmatyczna kolejność: narysuj obecną sieć na jednej stronie, segmentuj według tego, co każda strefa faktycznie robi (biuro, serwery, DMZ, OT lub produkcja, administracja), zapisz, które połączenia są dozwolone między strefami i dlaczego, oraz przenieś dostęp administracyjny do osobnego zarządczego VLAN-u z hostem pośredniczącym. To pokrywa § 6.7.2 lit. a), rdzeń segmentacji § 6.8 oraz oddzielenie sieci administracyjnej w § 6.8.2 lit. f) i g). Reszta to higiena, która z tego wynika.

Jak obsługujemy to na platformie

Moduł PRO na platformie przechowuje inwentaryzację architektury sieci, reguły segmentacji oraz rejestr sieci administracyjnej. Rejestrujesz każdą strefę, co robi, z czym się łączy i która linia oceny ryzyka ją uzasadnia. Schemat i logika segmentacji znajdują się w jednym miejscu, a nie podzielone między plik Visio a stronę Confluence.

Zmiany w sieci są rejestrowane w miarę ich wprowadzania, dzięki czemu § 6.7.2 lit. a) pozostaje dokumentem żywym, a nie migawką. Ścieżka audytu rejestruje, kto co zmienił i kiedy, co jest dowodem, który audytor chce zobaczyć, gdy pyta, czy dokumentacja odzwierciedla rzeczywistość.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21 ust. 2 lit. e) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik § 6.7 i § 6.8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ustawa BSI (BSIG), § 30 ust. 2 pkt 5 w brzmieniu nadanym przez NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  • BSI IT-Grundschutz, Bausteine NET.1 (Netze und Kommunikation) i NET.3.2 (Firewall) — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690 (stan na maj 2026)
Prowadź dowody bezpieczeństwa sieci bez stosu arkuszy kalkulacyjnych
Architektura sieci, reguły segmentacji i rejestr sieci administracyjnej na jednej platformie, powiązane z twoją oceną ryzyka. Bezpłatnie, otwarte oprogramowanie, bez lock-in.
Otwórz bezpłatną platformę