Art. 21(2)(i) NIS 2 + CIR §10

Bezpieczeństwo personelu w NIS 2 na podstawie Artykułu 21(2)(i)

Ludzie są częścią granicy bezpieczeństwa. Artykuł 21(2)(i) NIS 2 wymienia bezpieczeństwo personelu, kontrolę dostępu i zarządzanie aktywami jednym tchem. CIR (UE) 2024/2690 §10 rozpisuje cztery elementy personelowe. W Niemczech §30(2)(9) BSIG niesie ten sam obowiązek.

Simon OrzelSimon Orzel·

Krótka wersja

Większość naruszeń zaczyna się od człowieka. Artykuł 21(2)(i) umieszcza bezpieczeństwo personelu na liście dziesięciu obowiązków cyberbezpieczeństwa. Tekst łączy trzy rzeczy razem: bezpieczeństwo personelu, kontrolę dostępu i zarządzanie aktywami. Są powiązane, ponieważ rola decyduje, jakiego dostępu osoba potrzebuje i których aktywów może dotykać.

CIR (UE) 2024/2690 §10 bierze połowę personelową i dzieli ją na cztery elementy. Upewnij się, że ludzie rozumieją swoją rolę (§10.1). Sprawdzaj wiarygodność tam, gdzie ma to sens (§10.2). Obsługuj odejścia i zmiany ról czysto (§10.3). Miej procedurę dyscyplinarną na wypadek naruszeń (§10.4). Nie miękkie HR. Bezpieczeństwo operacyjne.

Niemcy transponują całość Artykułu 21(2)(i) poprzez §30(2)(9) BSIG, który wymienia bezpieczeństwo personelu, kontrolę dostępu i zarządzanie aktywami razem. To samo brzmienie. Ten sam obowiązek. Ta strona przeprowadza przez dyrektywę, unijne rozporządzenie wykonawcze oraz niemiecką transpozycję w tej kolejności.

Źródło prawne
Trzy warstwy. Dyrektywa (wiążąca każdy kraj UE). Rozporządzenie wykonawcze (bezpośrednio stosowalne prawo UE dla sektorów wymienionych w załączniku). Transpozycja krajowa (w Niemczech: BSIG).

Artykuł 21(2)(i) dyrektywy NIS 2 (2022/2555)

Human resources security, access control policies and asset management.

Punkt (i) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Trzy obowiązki upakowane w jednym ustępie, ponieważ działają tylko razem.

CIR (UE) 2024/2690, załącznik §10

Human resources security (Article 21(2)(i) of Directive (EU) 2022/2555).

CIR §10 dzieli połowę personelową na cztery podsekcje. §10.1 role i rekrutacja, §10.2 sprawdzanie wiarygodności, §10.3 zakończenie zatrudnienia i zmiany ról, §10.4 procedura dyscyplinarna. Bezpośrednio wiążące prawo UE dla dostawców DNS, dostawców chmury i centrów danych, MSP, dostawców usług zaufania oraz innych sektorów wymienionych w załączniku.

§30(2)(9) BSIG (Niemcy)

Human resources security, concepts for access control and asset management.

Niemcy kopiują tekst UE. Obowiązek jest taki sam. BSI wskazuje IT-Grundschutz, w szczególności moduł ORP.2 „Personnel”, jako praktyczną drogę do wdrożenia.

Cztery rzeczy, których naprawdę wymaga CIR §10
CIR 2024/2690 §10 ma cztery podsekcje. Grupujemy je w trzy bloki: role i rekrutacja, sprawdzanie wiarygodności oraz pętla przyjmowanie-przemieszczanie-odchodzenie plus dyscyplina. Potrzebujesz wszystkich czterech.
§10.1

Role, świadomość i rekrutacja

Upewnij się, że ludzie wiedzą, jakie są ich obowiązki w zakresie cyberbezpieczeństwa. Personel w ogólności, użytkownicy z dostępem administracyjnym lub uprzywilejowanym oraz w szczególności organ zarządzający. Rekrutuj świadomie na role istotne dla cyberbezpieczeństwa: sprawdzanie referencji, walidacja kwalifikacji, testy pisemne tam, gdzie to stosowne.

§10.2

Sprawdzanie wiarygodności tam, gdzie stosowne

Sprawdzanie przeszłości personelu i bezpośrednich dostawców tam, gdzie jest to „wykonalne i stosowne” oraz gdzie wymaga tego rola. Spisz, które role mogą być obsadzane wyłącznie przez osoby, których wiarygodność została zweryfikowana. Zależy to od roli, nie jest uniwersalne. Role administracyjne i z dostępem uprzywilejowanym to typowi kandydaci.

§10.3 + §10.4

Zakończenie zatrudnienia, zmiana roli i dyscyplina

Gdy ktoś odchodzi lub zmienia rolę, obowiązki bezpieczeństwa, które przeżywają zatrudnienie, muszą zostać utrwalone na piśmie w umowie i faktycznie egzekwowane. Klauzule poufności obowiązują poza końcem zatrudnienia. I musi istnieć procedura dyscyplinarna na wypadek naruszeń polityk bezpieczeństwa.

Dwie zasady, które kształtują wszystko inne
Dwie zasady przecinają cztery podsekcje. Czytaj §10 z nimi na uwadze, albo przebudujesz w jednym kierunku, a niedobudujesz w innym.

Sprawdzanie wiarygodności zależy od roli, nie jest uniwersalne

§10.2 mówi o sprawdzaniu przeszłości „tam, gdzie jest to wykonalne i stosowne” i tylko na rolach, które tego wymagają. Nie prześwietlasz każdego kasjera. Prześwietlasz osobę, która ma uprawnienia administratora domeny. Kryteria, które role wymagają sprawdzenia wiarygodności, należą do dokumentacji, przed zatrudnieniem, a nie po nim.

Poufność przeżywa stosunek zatrudnienia

§10.3 wymaga, aby obowiązki bezpieczeństwa, które muszą obowiązywać po odejściu kogoś, były utrwalone umownie. Poufność jest oczywista. Nieujawnianie szczegółów incydentów, danych klientów, architektury systemu. Klauzula trafia do umowy pierwszego dnia, a nie ostatniego dnia odchodzącego.

Jak krajowi regulatorzy faktycznie to prowadzą
UE ustanawia regułę. Każdy kraj ją transponuje. Istota jest taka sama. Lokalne mechanizmy nieco się różnią.
Niemcy

BSI / IT-Grundschutz ORP.2

Podstawa IT-Grundschutz BSI obejmuje bezpieczeństwo personelu w module ORP.2 „Personnel”. ORP.2 przeprowadza przez rekrutację, świadomość, szkolenia, procedury odejścia oraz personel dostawców. W Niemczech musisz także koordynować z prawem pracy: ograniczenia AGG dotyczące kryteriów prześwietlania, współdecydowanie rady zakładowej na podstawie BetrVG przy sprawdzaniu przeszłości. Twórz politykę z radą zakładową w pokoju, a nie przeciwko niej.

Cała UE

ENISA Technical Implementation Guidance

TIG ENISA dla CIR (UE) 2024/2690 mapuje §10 na kontrole z załącznika A ISO/IEC 27001:2022 A.6.1 do A.6.6 (prześwietlanie, warunki zatrudnienia, świadomość, proces dyscyplinarny, zakończenie zatrudnienia, poufność). Jeśli już prowadzisz ISO 27001, większość §10 jest na miejscu. TIG nazywa dowody, których oczekują audytorzy.

Inne państwa członkowskie

Krajowe ustawy transponujące

Każde państwo członkowskie ma własną transpozycję (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązek na podstawie Artykułu 21(2)(i) jest taki sam. Co się różni lokalnie: ograniczenia prawa pracy dotyczące sprawdzania przeszłości, które odzwierciedlają niemieckie AGG i BetrVG w formie, jeśli nie w szczegółach.

Trzy pułapki, które widzimy cały czas
Trzy założenia, które pojawiają się w niemal każdej rozmowie przygotowującej do audytu. Wszystkie trzy zostawiają luki, które audytor znajdzie.

  • Nie robimy sprawdzania przeszłości. Ochrona danych tego zabrania.

    Zbyt szerokie. §10.2 ogranicza sprawdzanie wiarygodności do ról, gdzie jest ono „wykonalne i stosowne”. Dla użytkowników administracyjnych lub z dostępem uprzywilejowanym udokumentowane sprawdzenie wiarygodności jest zwykle dopuszczalne na gruncie GDPR, jeśli masz jasną podstawę prawną, określony zakres oraz radę zakładową na pokładzie. Zadaniem nie jest „nie prześwietlać nikogo”. Zadaniem jest „spisać, które role tego wymagają, i przeprowadzić to dla tych ról”.

  • Gdy ktoś odchodzi, odbieramy mu identyfikator i dezaktywujemy konto. Gotowe.

    Dobre dla elementu dostępu fizycznego i IT. Niewystarczające dla §10.3. Dyrektywa wymaga, aby obowiązki, które przeżywają zatrudnienie, były utrwalone na piśmie w umowie. Poufność, nieujawnianie, zwrot aktywów, bieżące obowiązki zgłaszania incydentów, o których osoba wie. Lista kontrolna odchodzącego bez umownego zakotwiczenia to połowa zadania.

  • Nie mamy procedury dyscyplinarnej na wypadek naruszeń bezpieczeństwa IT.

    Tak, macie, tylko nie spisaliście jej konkretnie dla IT. §10.4 wymaga procedury dyscyplinarnej na wypadek naruszeń polityk bezpieczeństwa. Nie musi to być osobny proces. Wepnij go do ogólnej procedury dyscyplinarnej HR: nazwij wyzwalacz („naruszenie polityki bezpieczeństwa informacji”), odwołaj się do polityki, udokumentuj ścieżkę eskalacji.

Jak prawdziwi operatorzy z Mittelstandu faktycznie to robią

Większość firm z Mittelstandu już robi połowę §10, nie nazywając tego NIS 2. HR przeprowadza sprawdzanie referencji przy zatrudnianiu. Istnieje lista kontrolna odchodzącego. Klauzule poufności są w standardowej umowie o pracę. Szkolenie z świadomości odbywa się raz w roku. To pokrywa większość §10.1 i wycinek §10.3.

Luki §10, które widzimy, są węższe, niż ludzie sądzą. Po pierwsze: umowne klauzule poufności, które wyraźnie obejmują obowiązki związane z IT i przeżywają koniec zatrudnienia, a nie tylko ogólny język NDA. Po drugie: pisemna lista ról, gdzie sprawdzenie wiarygodności jest obowiązkowe przed zatrudnieniem, z wyraźnie określonymi kryteriami. Po trzecie: wyraźna procedura dyscyplinarna na wypadek naruszeń bezpieczeństwa IT, nawet jeśli to jeden akapit z odnośnikiem do ogólnej procedury HR. Zamknij te trzy, a §10 jest gotowy.

Jak obsługujemy to na platformie

Platforma rejestruje dowody §10 w modułach HR i ACC. Przypisania ról żyją w jednym miejscu z osobą, rolą, statusem sprawdzenia wiarygodności oraz datą ostatniego szkolenia z świadomości. Lista kontrolna odchodzącego to przepływ z zatwierdzeniem, a nie dokument Word.

Dziennik dyscyplinarny znajduje się w ścieżce audytu. Gdy rejestrowane jest naruszenie polityki, uruchomiona procedura jest udokumentowana, podjęte kroki są zatwierdzone podpisem, a zamknięcie jest widoczne. Bez arkusza kalkulacyjnego. Bez drugiego narzędzia. Ta sama baza dowodowa, na którą spojrzy Twój audytor.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Artykuł 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Commission Implementing Regulation (EU) 2024/2690 (CIR), załącznik §10 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ustawa o BSI (BSIG), §30(2)(9) w brzmieniu znowelizowanym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
  • BSI IT-Grundschutz, moduł ORP.2 „Personnel” — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690 (według stanu na maj 2026)
Prowadź bezpieczeństwo personelu bez równoległego narzędzia HR
Przypisania ról, status sprawdzenia wiarygodności, listy kontrolne odchodzącego, dziennik dyscyplinarny i zatwierdzenie na jednej platformie. Darmowe, open source, bez lock-inu.
Otwórz darmową platformę