Zarządzanie ryzykiem w NIS 2 na mocy artykułu 21(2)(a)
NIS 2 stanowi, że musisz zarządzać ryzykiem cyberbezpieczeństwa w ustrukturyzowany sposób. Artykuł 21(2)(a) to miejsce, w którym mieści się ten obowiązek, CIR (UE) 2024/2690 §2 precyzuje szczegóły, a Twój krajowy organ regulacyjny (w Niemczech: BSI) to ten, przed kim odpowiadasz.
W skrócie
Zarządzanie ryzykiem znajduje się na szczycie listy dziesięciu obowiązków w zakresie cyberbezpieczeństwa zawartej w artykule 21(2). Jeśli NIS 2 ma do Ciebie zastosowanie, musisz rozpoznać ryzyka dla swoich systemów, ocenić, jak poważne mogą być, i coś z nimi zrobić. Ta sama zasada obowiązuje w całej UE.
CIR (UE) 2024/2690 uzupełnia szczegóły. Załącznik §2 stanowi, że Twoje ramy zarządzania ryzykiem potrzebują trzech elementów. Ustanów jedne. Sprawdź, czy ludzie faktycznie z nich korzystają. Zleć ich niezależny przegląd. To jest minimum. Jeśli prowadzisz DNS, chmurę, centrum danych, MSP, usługi zaufania lub jakikolwiek inny sektor wymieniony w załączniku do CIR, wiąże Cię to bezpośrednio.
Niemcy wprowadzają tę samą zasadę do prawa krajowego poprzez §30(2)(1) BSIG. Brzmienie jest niemal słowo w słowo zgodne z tekstem UE. Ta strona przeprowadza przez dyrektywę, unijne rozporządzenie wykonawcze oraz niemiecką transpozycję w tej kolejności.
Artykuł 21(2)(a) dyrektywy NIS 2 (2022/2555)
Polityki w zakresie analizy ryzyka i bezpieczeństwa systemów informatycznych.
To jest punkt (a) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć.
CIR (UE) 2024/2690, załącznik §2
Na potrzeby art. 21 ust. 2 lit. a) dyrektywy (UE) 2022/2555 dane podmioty ustanawiają odpowiednie ramy zarządzania ryzykiem w celu identyfikacji ryzyk dla bezpieczeństwa sieci i systemów informatycznych oraz przeciwdziałania im.
Ponieważ jest to rozporządzenie (a nie dyrektywa), stanowi bezpośrednio wiążące prawo UE. Nie jest potrzebna transpozycja krajowa. Ma zastosowanie do dostawców DNS, rejestrów TLD, dostawców usług chmurowych, centrów danych, dostawców usług zarządzanych oraz pozostałych sektorów wymienionych w jego załączniku.
§30(2)(1) BSIG (Niemcy)
Polityki w zakresie analizy ryzyka i bezpieczeństwa technologii informacyjnej.
Niemcy kopiują tekst UE niemal słowo w słowo. Niewielka zmiana ('bezpieczeństwo technologii informacyjnej' zamiast 'bezpieczeństwo systemów informatycznych') dotyczy brzmienia, nie znaczenia.
Ustanów ramy zarządzania ryzykiem
Zapisz, jak rozpoznajesz ryzyka, jak je oceniasz, co z nimi robisz i z jakimi ryzykami jesteś gotów żyć. Obejmij każdy system istotny dla Twojej działalności. Ten, kto decyduje, jakie ryzyka akceptujesz, musi to podpisać, imiennie.
Sprawdzaj, czy ludzie faktycznie się tego trzymają
Przeglądaj w regularnym rytmie, czy Twój zespół robi to, co mówią ramy. Jeśli nie, zapisz lukę i ją usuń. Ramy, których nikt nie przestrzega, nie są ramami.
Spójrz na to niezależną parą oczu
Co jakiś czas ktoś, kto nie prowadzi tych ram, powinien się im przyjrzeć. Niezależny oznacza strukturalnie odrębny, niekoniecznie zewnętrzny. Może to zrobić Twój wewnętrzny zespół audytu. Może to zrobić wynajęty konsultant. Chodzi o świeże spojrzenie.
Podejście uwzględniające wszystkie zagrożenia (artykuł 21(2))
Cyberataki nie są jedyną rzeczą na liście. Pożar, powódź, utrata zasilania, odejście kluczowej osoby, upadek dostawcy, wszystko to się liczy. Jeśli w Twoim rejestrze ryzyk jest tylko złośliwe oprogramowanie i phishing, nie spełniłeś standardu.
Proporcjonalność (artykuł 21(1), akapit drugi)
Dopasowujesz to, co robisz, do ryzyka, na które faktycznie jesteś narażony. Tekst stanowi, że musi to być 'odpowiednie do występującego ryzyka'. W ocenę wchodzi sześć rzeczy: jak bardzo jesteś narażony, jak duży jesteś, jak prawdopodobny jest incydent, jak poważny by był (w tym szerszy wpływ gospodarczy i społeczny), aktualny stan wiedzy oraz koszt wdrożenia. 60-osobowy Stadtwerk nie musi wydawać tyle co bank.
BSI / §30 BSIG
BSI wymienia dziesięć środków z artykułu 21(2) w swoich Infopakete i nazywa je 'co najmniej następującymi dziesięcioma środkami (zob. § 30(2) BSIG)'. Niemiecka transpozycja ściśle podąża za brzmieniem dyrektywy i wskazuje IT-Grundschutz jako praktyczną drogę do wdrożenia.
Wytyczne techniczne wdrożeniowe ENISA
ENISA, unijna agencja ds. cyberbezpieczeństwa, publikuje Wytyczne techniczne wdrożeniowe (TIG), które biorą abstrakcyjny tekst CIR i pokazują, co robić w praktyce. Mapują też wymogi na uznane standardy, takie jak ISO/IEC 27001:2022 i NIST CSF 2.0, więc istniejące certyfikaty dają Ci przewagę na starcie.
Krajowe ustawy transponujące
Każde państwo członkowskie ma własną ustawę transponującą (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązki są takie same, ponieważ dyrektywa ustanawia jeden ogólnounijny standard. Różni się: terminy, kanały zgłoszeniowe oraz to, z którą agencją rozmawiasz.
Mamy ubezpieczenie cyber, więc jesteśmy zabezpieczeni.
BSI jest bezpośrednie: 'Ryczałtowy transfer ryzyka lub ogólna akceptacja ryzyka są zatem wykluczone.' Ubezpieczenie to coś, co dodajesz na wierzch postępowania z ryzykiem, a nie zastępstwo. Nie możesz też po prostu 'zaakceptować' każdego ryzyka, którym nie chcesz się zająć. Ten argument nie przetrwa audytu.
Możemy zrobić analizę ryzyka bez spisania naszych aktywów.
Nie możesz. CIR §2.1 nie działa bez spisanej listy tego, co faktycznie posiadasz. Aplikacje, systemy, lokalizacje, dane, dostawcy. IT-Grundschutz pozwala grupować identyczne aktywa razem (45 laptopów biurowych liczy się jako jeden wpis z podaną ilością), więc lista nie musi być ogromna. Ale musi istnieć.
Decydujemy, co akceptujemy, indywidualnie dla każdego przypadku.
Audytor musi zobaczyć kryteria, które ustaliłeś przed incydentem, a nie po nim. Zdecyduj z wyprzedzeniem: przy jakim progu akceptujesz ryzyko, przy jakim progu je usuwasz, przy jakim progu je transferujesz (np. przez ubezpieczenie). Te kryteria należą do ram, a nie do e-maila pisanego po fakcie.
Artykuł 21(1) daje Ci pole manewru dzięki klauzuli proporcjonalności: to, co robisz, musi odpowiadać Twojej wielkości, Twojemu narażeniu na ryzyko i kosztom. Sama dyrektywa nie oczekuje, że pierwszego dnia zrobisz wszystko na maksymalną głębokość.
Co widzimy u praktyków w niemieckim Mittelstandzie: najpierw ocena luk, potem dwanaście do piętnastu najpilniejszych środków w pierwszym roku, a następnie reszta rozłożona na kolejny rok lub dwa. To wytrzymuje pod artykułem 21(1), o ile etapowanie jest zapisane, uzasadnione Twoim obrazem ryzyka i zatwierdzone przez organ zarządzający. Nie wytrzyma, jeśli etapowanie jest nieudokumentowane lub jeśli pominąłeś najwyższe ryzyka.
Wbudowaliśmy ramy CIR §2 w platformę jako moduł. Rejestrujesz ryzyka przy aktywach, oceniasz prawdopodobieństwo i skutek, kierujesz każde do planu postępowania i ujmujesz kryteria akceptacji wraz z podpisanym zatwierdzeniem. Żadnego stosu arkuszy. Żadnego drugiego narzędzia.
Część monitorowania z §2.2 wypada sama z korzystania z platformy: zatwierdzenia, status zadań, ślad audytowy. Nie prowadzisz odrębnego dziennika zgodności. Niezależny przegląd z §2.3 może odbywać się wewnętrznie (kolega, który nie jest w łańcuchu) lub zewnętrznie (wynajęty audytor). Tak czy inaczej dajemy im potrzebny widok tylko do odczytu.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik §1 i §2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §30 w brzmieniu zmienionym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- Wytyczne techniczne wdrożeniowe ENISA dla CIR (UE) 2024/2690 (stan na maj 2026)