Ważne kontra kluczowe kontra KRITIS: ta sama praca, inne konsekwencje
NIS2 definiuje trzy poziomy podmiotów objętych regulacją. Środki bezpieczeństwa są identyczne we wszystkich trzech. Zmienia się to, jak ściśle BSI was obserwuje oraz jak mocno uderza, gdy zawiedziecie.
Trzy poziomy, jeden zestaw zasad
Niemiecka transpozycja NIS2 (BSIG) klasyfikuje podmioty objęte regulacją do trzech kategorii: wichtige Einrichtungen (podmioty ważne), podmioty kluczowe (essential entities) oraz Betreiber kritischer Anlagen (operatorzy KRITIS). Wiele firm spędza tygodnie, próbując ustalić, do której kategorii należą, zanim rozpocznie prace nad zgodnością.
Oto kluczowy wniosek: dla samej pracy nie ma to znaczenia. Wszystkie trzy kategorie muszą wdrożyć te same 10 kategorii środków bezpieczeństwa zdefiniowanych w §30(2) BSIG. To samo zarządzanie ryzykiem. To samo zgłaszanie incydentów. To samo bezpieczeństwo łańcucha dostaw. Te same kontrole dostępu. Te same polityki szyfrowania. To samo planowanie ciągłości działania.
Różnice dotyczą nadzoru (jak BSI was monitoruje), kar (ile płacicie, jeśli zostaniecie przyłapani na niezgodności) oraz trzech dodatkowych obowiązków, które dotyczą wyłącznie operatorów KRITIS. Proces zgodności, przez który przechodzicie na NISD2, obejmuje wszystkie trzy kategorie identycznie.
| Kryterium | Ważny (Wichtig) | Kluczowy (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Wielkość firmy | 50+ pracowników LUB >10 mln EUR obrotu i >10 mln EUR sumy bilansowej | 250+ pracowników LUB >50 mln EUR obrotu i >43 mln EUR sumy bilansowej | Dowolna wielkość - określana przez progi infrastruktury (np. 500 000 obsługiwanych osób) |
| Sektory | Załącznik I (energetyka, transport, finanse, ochrona zdrowia, woda, infrastruktura cyfrowa, przestrzeń kosmiczna) + Załącznik II (usługi pocztowe, odpady, chemikalia, żywność, produkcja, usługi cyfrowe, badania) | Wyłącznie sektory Załącznika I (podmioty średniej wielkości w Załączniku I są klasyfikowane jako ważne, a nie kluczowe) | Podzbiór kluczowych - tylko podmioty eksploatujące infrastrukturę, której awaria zakłóciłaby zaopatrzenie publiczne |
| Włączenia niezależne od wielkości | Niekwalifikowani dostawcy usług zaufania, mali dostawcy usług telekomunikacyjnych | Kwalifikowane usługi zaufania, rejestry TLD, dostawcy DNS, duzi dostawcy usług telekomunikacyjnych | Operatorzy instalacji krytycznych zdefiniowanych w BSI-KritisV (sieci energetyczne, uzdatnianie wody, szpitale itd.) |
Unijny próg przedsiębiorstwa średniej wielkości wynosi: 50+ pracowników LUB (>10 mln EUR obrotu ORAZ >10 mln EUR sumy bilansowej). Oba kryteria finansowe muszą być spełnione jednocześnie - sam wysoki obrót nie wystarcza. Dla podmiotów kluczowych próg dużego przedsiębiorstwa wynosi: 250+ pracowników LUB (>50 mln EUR obrotu ORAZ >43 mln EUR sumy bilansowej). Te przykłady pokazują, jak zasady stosuje się w praktyce.
| Scenariusz | Pracownicy | Obrót | Suma bilansowa | Sektor | Klasyfikacja |
|---|---|---|---|---|---|
| Firma handlowa o wysokim obrocie, mały zespół | 12 | 25 mln EUR | 18 mln EUR | Załącznik I - Bankowość | Ważny - oba progi finansowe przekroczone (>10 mln EUR), liczba pracowników bez znaczenia |
| Duży producent, niska marża | 200 | 5 mln EUR | 3 mln EUR | Załącznik II - Produkcja | Ważny - liczba pracowników ≥50 jest wystarczająca, obrót nie ma znaczenia |
| Startup SaaS, wysoki obrót, mikroskopijny zespół | 8 | 15 mln EUR | 4 mln EUR | Załącznik I - Infrastruktura cyfrowa | Poza zakresem - obrót przekracza 10 mln EUR, ale suma bilansowa jest poniżej 10 mln EUR. Potrzebne są OBA |
| Szpital regionalny | 400 | 60 mln EUR | 45 mln EUR | Załącznik I - Ochrona zdrowia | Kluczowy - 250+ pracowników w sektorze Załącznika I. Jeśli >30 000 przypadków hospitalizacji rocznie: KRITIS |
| Trader energetyczny, lekki majątek | 15 | 120 mln EUR | 55 mln EUR | Załącznik I - Energetyka | Kluczowy - oba duże progi finansowe przekroczone (>50 mln EUR obrotu ORAZ >43 mln EUR sumy bilansowej) |
| Firma gospodarki odpadami | 80 | 8 mln EUR | 6 mln EUR | Załącznik II - Odpady | Ważny - 80 pracowników ≥50 próg, mimo niskiego obrotu. Tylko NACE E.38 (nie rekultywacja E.39) |
| Dostawca usług zarządzanych (MSP) | 45 | 12 mln EUR | 11 mln EUR | Załącznik I - Zarządzanie usługami ICT | Ważny - poniżej 50 pracowników, ale oba progi finansowe przekroczone. Podlega także CIR 2024/2690 |
| Przetwórca żywności, pracownicy sezonowi | 55 (średnia roczna) | 9 mln EUR | 7 mln EUR | Załącznik II - Żywność | Ważny - liczba pracowników wg rocznych jednostek pracy (zalec. 2003/361/WE art. 5). Szczyty sezonowe liczą się proporcjonalnie |
| Kwalifikowany dostawca usług zaufania (qTSP) | 3 | 500 tys. EUR | 200 tys. EUR | Załącznik I - Infrastruktura cyfrowa | Kluczowy - niezależnie od wielkości zgodnie z §28(1) BSIG. qTSP są zawsze kluczowe bez względu na wielkość |
| Dystrybutor chemikaliów, duża spółka zależna | 180 | 70 mln EUR | 50 mln EUR | Załącznik II - Chemikalia | Ważny - mimo dużych danych finansowych sektory Załącznika II maksymalnie sięgają poziomu ważnego. Tylko Załącznik I + duży = kluczowy |
Progi wielkości zgodnie z zaleceniem UE 2003/361/WE art. 2, do którego odsyła dyrektywa NIS2 art. 2(1). Liczba pracowników wg rocznych jednostek pracy (art. 5). Zasady przedsiębiorstw powiązanych/partnerskich (załącznik art. 3) mogą agregować liczbę pracowników i dane finansowe spółki dominującej. Klasyfikacja sektorowa zgodnie z dyrektywą NIS2 załącznik I/II, transponowana w BSIG §28 Anlage 1/2. Przypadki niezależne od wielkości zgodnie z §28(1) BSIG.
Co jest identyczne we wszystkich trzech kategoriach
Obowiązki w zakresie zgodności zdefiniowane w §30(2) BSIG są takie same dla podmiotów ważnych, kluczowych oraz KRITIS. Nie istnieje lżejsza wersja dla podmiotów ważnych ani cięższa wersja dla podmiotów kluczowych. 10 kategorii środków bezpieczeństwa stosuje się jednakowo:
- Polityki i procedury zarządzania ryzykiem (§30(2) Nr. 1)
- Obsługa i zgłaszanie incydentów - 24 godz. zgłoszenie wstępne, 72 godz. szczegółowe, 1 miesiąc raport końcowy (§32)
- Ciągłość działania i odtwarzanie po awarii (§30(2) Nr. 3)
- Bezpieczeństwo łańcucha dostaw (§30(2) Nr. 4)
- Bezpieczeństwo w zakupach, rozwoju i utrzymaniu (§30(2) Nr. 5)
- Polityki oceny skuteczności środków bezpieczeństwa (§30(2) Nr. 6)
- Higiena cyberbezpieczeństwa i szkolenia (§30(2) Nr. 7)
- Polityki kryptografii i szyfrowania (§30(2) Nr. 8)
- Bezpieczeństwo zasobów ludzkich i kontrola dostępu (§30(2) Nr. 9)
- Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja (§30(2) Nr. 10)
- Rejestracja w BSI w ciągu 3 miesięcy (§33)
- Odpowiedzialność kierownictwa - osobista odpowiedzialność za zatwierdzanie i monitorowanie środków bezpieczeństwa (§38)
Oznacza to, że platforma NISD2 obejmuje wszystkie rodzaje podmiotów tym samym zestawem wymagań. Niezależnie od tego, czy jesteście ważną firmą spożywczą, czy kluczowym dostawcą energii, proces zgodności jest identyczny. Realizujecie te same wymagania, wytwarzacie te same dowody i spełniacie te same standardy.
| Obowiązek | Ważny | Kluczowy | KRITIS |
|---|---|---|---|
| 10 środków bezpieczeństwa (§30) | Wymagane | Wymagane | Wymagane |
| Zgłaszanie incydentów (§32) | 24 godz. / 72 godz. / 1 miesiąc | 24 godz. / 72 godz. / 1 miesiąc | 24 godz. / 72 godz. / 1 miesiąc |
| Rejestracja w BSI (§33) | Podstawowa | Podstawowa | Rozszerzona - usługa krytyczna, metryki zaopatrzenia, lokalizacja obiektu, kontakt 24/7 |
| Odpowiedzialność kierownictwa (§38) | Odpowiedzialność osobista | Odpowiedzialność osobista | Odpowiedzialność osobista |
| Nadzór BSI | Wyłącznie reaktywny (§62) - BSI działa tylko wtedy, gdy istnieją dowody niezgodności | Proaktywny (§61) - BSI może przeprowadzić audyt w dowolnym momencie bez powodu | Proaktywny + obowiązkowy 3-letni cykl dowodowy (§39) |
| Maksymalna kara (podstawa) | 7 000 000 EUR | 10 000 000 EUR | 10 000 000 EUR |
| Maksymalna kara (obrót) | 1,4% globalnego obrotu | 2% globalnego obrotu | 2% globalnego obrotu |
| Systemy wykrywania ataków (§31) | Niewymagane | Niewymagane | Wymagane - ciągła zdolność SIEM/SOC |
| Obowiązkowy dowód zgodności (§39) | Niewymagany | Niewymagany | Wymagany - co 3 lata, przedkładany do BSI |
KRITIS: trzy dodatkowe obowiązki
Operatorzy KRITIS - podmioty eksploatujące infrastrukturę, której awaria zakłóciłaby zaopatrzenie publiczne (sieci energetyczne, uzdatnianie wody, szpitale) - muszą spełnić trzy dodatkowe wymagania ponad to, co muszą robić podmioty ważne i kluczowe.
§31 - Systemy wykrywania ataków (Angriffserkennungssysteme)
Potrzebujecie systemu obserwującego waszą sieć całodobowo, zdolnego wykryć ataki w toku lub wykryć, że ktoś już się włamał. W praktyce oznacza to wdrożenie SIEM (Security Information and Event Management) - oprogramowania, które zbiera logi z każdego serwera, zapory i punktu końcowego, koreluje je i alarmuje o anomaliach. Musi stosować dopasowywanie wzorców ORAZ wykrywanie anomalii, nie tylko sygnatury. Większość firm zleca to zarządzanemu dostawcy SOC (Security Operations Center), co zazwyczaj kosztuje 5 000-15 000 EUR miesięcznie. Zwykłe podmioty NIS2 mogą poradzić sobie z podstawowym monitorowaniem - operatorzy KRITIS jednoznacznie nie mogą.
§33(2) - Rozszerzona rejestracja w BSI
Oprócz standardowej rejestracji (nazwa, sektor, kontakt) operatorzy KRITIS muszą poinformować BSI dokładnie, jaką usługę krytyczną świadczą (np. 'zaopatrzenie w wodę pitną dla 200 000 osób'), jakich komponentów krytycznych używają, podać fizyczną lokalizację obiektu oraz osobę kontaktową dostępną 24/7 o każdej porze. Metryki zaopatrzenia muszą być zgłaszane corocznie - BSI używa ich do weryfikacji, czy nadal przekraczacie próg KRITIS (zdefiniowany w BSI-KritisV, np. 500 000 obsługiwanych osób dla wody, 104 MW dla energii).
§39 - Obowiązkowy dowód zgodności co 3 lata (Nachweispflicht)
Co 3 lata musicie proaktywnie przedłożyć BSI wyniki audytu, raporty bezpieczeństwa lub certyfikaty potwierdzające zgodność ze wszystkimi środkami §30 i wykrywaniem ataków §31. BSI nie musi was szukać - to wy przychodzicie do nich. Jeśli BSI stwierdzi uchybienia, wydaje wiążące nakazy naprawcze z terminami i żąda dowodu, że usunęliście problemy. Traktujcie to jak obowiązkowy cykl certyfikacji ISO, z tą różnicą, że audytorem jest państwo. Pierwszy termin: grudzień 2028 (5 lat dla szpitali: grudzień 2030).
Co to oznacza dla waszej firmy
Jeśli jesteście firmą zatrudniającą 50-250 pracowników w Niemczech - typowym użytkownikiem NISD2 - jesteście niemal na pewno klasyfikowani jako wichtige Einrichtung (podmiot ważny). Wasza firma produkcyjna, przetwórstwo spożywcze lub dostawca usług IT należy do tej kategorii. Praca w zakresie zgodności, którą musicie wykonać, jest dokładnie taka sama jak ta, którą wykonuje duży podmiot kluczowy, a nawet operator KRITIS. Jedyna praktyczna różnica: BSI nie będzie was proaktywnie audytować, o ile nie będzie mieć powodu (incydent, skarga lub donos).
To nie jest powód, by robić mniej. Jeśli BSI was zaudytuje - reaktywnie, po incydencie - i stwierdzi niezgodność, mają zastosowanie kary do 7 milionów EUR lub 1,4% globalnego obrotu. A wasze kierownictwo odpowiada osobiście zgodnie z §38. Najbezpieczniejszą pozycją jest pełna zgodność niezależnie od kategorii. NISD2 daje wam ten sam proces zgodności, którego używają podmioty kluczowe i KRITIS, ponieważ wymagania są identyczne.
Najczęściej zadawane pytania
Czy moja firma może być jednocześnie ważna i kluczowa?
Nie. Kategorie wzajemnie się wykluczają zgodnie z §28 BSIG. Jeśli spełniacie próg kluczowy (250+ pracowników lub >50 mln obrotu w sektorze Załącznika I), jesteście kluczowi. Jeśli spełniacie próg ważny, ale nie kluczowy, jesteście ważni. KRITIS jest podzbiorem kluczowych - operatorzy KRITIS są automatycznie klasyfikowani jako kluczowi z dodatkowymi obowiązkami nałożonymi na to.
Jestem podmiotem ważnym. Czy muszę wykonać mniej pracy w zakresie zgodności?
Nie. 10 kategorii środków bezpieczeństwa w §30(2) BSIG stosuje się identycznie zarówno do podmiotów ważnych, jak i kluczowych. Jedyna różnica to egzekwowanie: BSI nadzoruje podmioty kluczowe proaktywnie (losowe audyty), a podmioty ważne reaktywnie (dopiero po pojawieniu się dowodów niezgodności). Ale same środki, terminy zgłaszania incydentów i odpowiedzialność kierownictwa są takie same.
Skąd wiem, czy jestem KRITIS?
Klasyfikacja KRITIS jest zdefiniowana w rozporządzeniu BSI-KritisV, na podstawie konkretnych progów zaopatrzenia: 500 000 obsługiwanych osób dla wody, 104 MW mocy zainstalowanej dla energii, 30 000 przypadków hospitalizacji rocznie dla szpitali itd. Jeśli awaria waszej infrastruktury nie zakłóciłaby bezpośrednio zaopatrzenia publicznego w tej skali, nie jesteście KRITIS. Większość firm średniej wielkości nie jest KRITIS - są podmiotami ważnymi lub kluczowymi.
Co się stanie, jeśli błędnie określę klasyfikację swojego podmiotu?
Klasyfikacja określa intensywność nadzoru i górne pułapy kar, a nie to, co musicie wdrożyć. Jeśli wdrożycie wszystkie 10 kategorii środków (przez które prowadzi was NISD2), jesteście zgodni niezależnie od klasyfikacji. Ryzyko błędnej klasyfikacji to niedoszacowanie waszej ekspozycji na nadzór - przekonanie, że BSI was nie zaudytuje, podczas gdy faktycznie może.
Czy CIR 2024/2690 rozróżnia podmioty ważne i kluczowe?
Nie. CIR stosuje się do określonych rodzajów podmiotów (dostawcy chmury, dostawcy DNS, dostawcy usług zarządzanych itd.) niezależnie od tego, czy są klasyfikowani jako ważni czy kluczowi. Wymagania techniczne w CIR są identyczne dla obu kategorii.
- §28 BSIG - Klasyfikacja podmiotów (podmioty kluczowe i ważne)
- §30 BSIG - Środki zarządzania ryzykiem (10 kategorii, identyczne dla wszystkich rodzajów podmiotów)
- §31 BSIG - Systemy wykrywania ataków (tylko KRITIS)
- §32 BSIG - Obowiązki zgłaszania incydentów (identyczne terminy dla wszystkich rodzajów podmiotów)
- §33 BSIG - Obowiązki rejestracyjne (rozszerzone dla KRITIS)
- §38 BSIG - Odpowiedzialność kierownictwa (identyczna dla wszystkich rodzajów podmiotów)
- §39 BSIG - Dowód zgodności (tylko KRITIS, co 3 lata)
- §61 BSIG - Nadzór nad podmiotami kluczowymi (proaktywny)
- §62 BSIG - Nadzór nad podmiotami ważnymi (reaktywny)
- §65 BSIG - Kary i grzywny
- CIR 2024/2690 - rozporządzenie wykonawcze UE (bez rozróżnienia rodzaju podmiotu)
- BSI-KritisV - rozporządzenie o progach KRITIS