§ 30 BSIG / Art. 21

Wymogi NIS2

Co podmioty objęte muszą wdrożyć: 10 obowiązkowych środków cyberbezpieczeństwa, rygorystyczna kaskada zgłaszania incydentów oraz zgodność oparta na dowodach.

Cory HiseyCory Hisey·Laufend geprüft

10 obowiązkowych środków zarządzania ryzykiem (Section 30 BSIG / Article 21(2) NIS-2)

Wszystkie podmioty kluczowe i ważne muszą wdrożyć te środki. Nie ma okresu przejściowego. Obowiązki te obowiązują w Niemczech od 6 grudnia 2025 r.

1

Analiza ryzyka i polityki bezpieczeństwa informacji

Ustanowienie i utrzymywanie polityk analizy ryzyka oraz bezpieczeństwa systemów informacyjnych. Przeprowadzanie regularnych ocen ryzyka obejmujących wszystkie krytyczne systemy i procesy.

2

Obsługa incydentów

Wdrożenie procedur zapobiegania, wykrywania, identyfikowania, ograniczania, łagodzenia skutków i reagowania na incydenty bezpieczeństwa.

3

Ciągłość działania i zarządzanie kryzysowe

Zarządzanie kopiami zapasowymi, planowanie odtwarzania po awarii oraz procedury zarządzania kryzysowego w celu zapewnienia odporności operacyjnej.

4

Bezpieczeństwo łańcucha dostaw

Środki bezpieczeństwa w relacjach z bezpośrednimi dostawcami i usługodawcami. Obejmuje ocenę praktyk cyberbezpieczeństwa wszystkich dostawców oraz umowne wymogi bezpieczeństwa.

5

Bezpieczeństwo w nabywaniu, rozwijaniu i utrzymywaniu

Bezpieczeństwo w nabywaniu, rozwijaniu i utrzymywaniu sieci oraz systemów informacyjnych. Obejmuje procedury obsługi i ujawniania podatności.

6

Ocena skuteczności

Polityki i procedury oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie. Regularne testowanie i ewaluacja zabezpieczeń.

7

Szkolenia z cyberbezpieczeństwa i cyberhigiena

Podstawowe praktyki szkoleniowe z cyberbezpieczeństwa dla wszystkich pracowników. Programy podnoszenia świadomości obejmujące phishing, inżynierię społeczną, zarządzanie hasłami i bezpieczne praktyki pracy z komputerem.

8

Kryptografia i szyfrowanie

Polityki i procedury dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania. Obejmuje dane w spoczynku, dane w tranzycie oraz zarządzanie kluczami.

9

Bezpieczeństwo personelu, kontrola dostępu i zarządzanie aktywami

Polityki bezpieczeństwa zasobów ludzkich, mechanizmy kontroli dostępu oraz procedury zarządzania aktywami. Obejmuje wprowadzanie i odprowadzanie pracowników, dostęp według zasady najmniejszych uprawnień oraz inwentaryzacje aktywów.

10

Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja

Stosowanie MFA lub rozwiązań uwierzytelniania ciągłego. Zabezpieczona komunikacja głosowa, wideo i tekstowa. Zabezpieczone systemy łączności awaryjnej w obrębie podmiotu.

Kaskada zgłaszania incydentów
Wszystkie podmioty kluczowe i ważne muszą zgłaszać poważne incydenty bezpieczeństwa do BSI z wykorzystaniem trzyetapowej kaskady.
24 godziny

Wczesne ostrzeżenie (Frühwarnung)

Zgłoszenie, czy istnieje podejrzenie, że incydent został spowodowany działaniami bezprawnymi lub złośliwymi, oraz czy może mieć skutki transgraniczne.

72 godziny

Zaktualizowane zgłoszenie (Aktualisierte Meldung)

Ocena dotkliwości, ocena skutków, wskaźniki naruszenia bezpieczeństwa oraz wstępna analiza przyczyny źródłowej, jeśli jest dostępna.

1 miesiąc

Sprawozdanie końcowe (Abschlussmeldung)

Szczegółowy opis incydentu, potwierdzona przyczyna źródłowa, podjęte środki łagodzące, wdrożone kroki zapobiegawcze oraz ocena skutków transgranicznych.

Co liczy się jako incydent „poważny”?

Incydent bezpieczeństwa kwalifikuje się jako poważny, gdy spowodował lub jest w stanie spowodować poważne zakłócenie operacyjne lub straty finansowe dla podmiotu.

Kwalifikuje się również, gdy dotknął lub jest w stanie dotknąć inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niematerialne. Dla 11 typów podmiotów cyfrowych w ramach CIR 2024/2690 (DNS, chmura, MSP, MSSP, platformy handlowe, wyszukiwarki, sieci społecznościowe, usługi zaufania itd.) obowiązują dodatkowe progi ilościowe z CIR Art. 3 (strata finansowa powyżej 500 000 EUR lub 5% rocznego obrotu, eksfiltracja tajemnic przedsiębiorstwa, śmierć lub poważny uszczerbek na zdrowiu, skuteczny złośliwy nieuprawniony dostęp) oraz kryteria sektorowe w Art. 5 do 14 (na przykład przerwa w działaniu DNS dłuższa niż 30 minut lub przerwa w działaniu chmury dotykająca ponad 5% użytkowników).

Wymogi audytu i dowodów

Operatorzy KRITIS

Muszą wykazać zgodność poprzez audyty, inspekcje lub certyfikacje co 3 lata. Muszą uwzględnić systemy wykrywania ataków w swoich środkach. Pierwszy termin przedstawienia dowodów wyznaczany przez BSI przy rejestracji (~2028).

Podmioty kluczowe (poza KRITIS)

Brak regularnego obowiązkowego cyklu audytowego, ale muszą utrzymywać kompleksową dokumentację. BSI może przeprowadzać proaktywne kontrole wyrywkowe i w dowolnym momencie nakazać przedstawienie dowodów, stosując dobór oparty na ryzyku.

Podmioty ważne

Muszą dokumentować wdrożenie wszystkich wymaganych środków. Inspekcje BSI mają charakter wyłącznie reaktywny, wywoływane przez incydenty lub uzasadnione podejrzenie niezgodności.

Akceptowalne dowody
  • Wewnętrzne lub zewnętrzne raporty z audytów
  • Certyfikacje (ISO 27001, BSI IT-Grundschutz itd.)
  • Kompleksowa dokumentacja ocen ryzyka, wdrożonych środków i przeglądów skuteczności

Certyfikacja ISO 27001 lub IT-Grundschutz wspiera zgodność z NIS2, ale jej nie gwarantuje: wymogi BSIG mogą wykraczać poza standardowy zakres certyfikacji.

Bezpieczeństwo łańcucha dostaw
NIS2 wprowadza obowiązkowe wymogi bezpieczeństwa łańcucha dostaw. Podmioty muszą:
  • Oceniać praktyki cyberbezpieczeństwa wszystkich bezpośrednich dostawców i usługodawców
  • Uwzględniać wymogi cyberbezpieczeństwa w umowach z dostawcami
  • Monitorować i przeglądać poziom bezpieczeństwa dostawców na bieżąco
  • Koordynować ujawnianie podatności z dostawcami
  • Uwzględniać ogólną jakość produktów i praktyk dostawców, w tym ich procedury bezpiecznego rozwoju