Operatorii de instalații critice sub NIS 2 și KRITIS în același timp
Un operator KRITIS nu alege între NIS 2 și KRITIS. Ambele se aplică. Măsurile NIS 2 conform articolului 21 sunt nivelul minim. Obligațiile specifice KRITIS conform §29, §32 și §65 BSIG se așază pe deasupra. BSI operează ambele regimuri din aceeași bază de dovezi.
Pe scurt
Aproximativ 1.500 până la 2.000 de entități din Germania operează o „kritische Anlage” astfel cum este definită de BSI-KritisV. Distribuție de electricitate peste 500 GWh pe an, apă potabilă peste 22 de milioane de metri cubi pe an, centre de date peste 3,5 megawați de capacitate contractată și o listă lungă de alte praguri sectoriale. Acești operatori nu stau în lumea lor separată. Stau în interiorul NIS 2 ca orice altă entitate esențială, iar obligațiile KRITIS se suprapun pe deasupra.
Nivelul de bază provine din articolul 21 al Directivei NIS 2: zece măsuri de management al riscului de securitate cibernetică, proporționale cu riscul. Germania copiază aceasta în §30 BSIG. Stratul KRITIS adaugă trei lucruri: un prag de proporționalitate mai ridicat conform articolului 21(1), deoarece consecințele unei avarii sunt mai mari, un ciclu obligatoriu de dovadă la trei ani conform §29 BSIG și banda superioară de sancțiuni conform §65 BSIG (până la 10 milioane de euro sau 2 la sută din cifra de afaceri a grupului).
O singură autoritate de reglementare operează ambele regimuri. BSI înregistrează entitatea conform §33 BSIG, examinează dovezile §29, preia rapoartele de incidente §32 și aplică sancțiuni conform §65. Aceeași bază de dovezi alimentează ambele straturi. Această pagină prezintă structura juridică, elementele KRITIS suplimentare, cele două principii care decid fiecare caz de graniță și cele trei mituri pe care le auzim cel mai des.
Articolul 21(1) și 21(2) Directiva NIS 2 (UE) 2022/2555
Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice. Aceste măsuri asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscurilor existente, ținând seama de cele mai noi tehnologii și, după caz, de standardele europene și internaționale relevante, precum și de costul punerii în aplicare.
Articolul 21(1) stabilește clauza de proporționalitate. „Adecvate și proporționale” înseamnă că profunzimea măsurilor trebuie să corespundă riscului. Un operator KRITIS se află în vârful acelei scale: zonă mare de aprovizionare, dependență publică, efecte în cascadă. Se aplică aceleași zece măsuri din articolul 21(2), dar un operator KRITIS trebuie să le implementeze mai profund decât o mică entitate din Anexa II.
§28, §30, §32, §33 și §65 BSIG (transpunerea germană)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
BSIG suprapune obligațiile într-o singură lege. §28 stabilește domeniul de aplicare (esențială, importantă, operator KRITIS). §30 stabilește cele zece măsuri. §32 stabilește cascada de raportare a incidentelor (24 de ore avertizare timpurie, 72 de ore notificare, raport final la o lună). §33 stabilește obligația de înregistrare la BSI. §65 stabilește banda de sancțiuni: până la 10 milioane de euro sau 2 la sută din cifra de afaceri a grupului pentru entitățile esențiale și operatorii KRITIS, până la 7 milioane de euro sau 1,4 la sută pentru entitățile importante. Operatorii KRITIS se află în banda superioară chiar dacă sectorul lor ar fi altfel Anexa II.
§29 BSIG și BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
§29 BSIG este ciclul de dovadă specific KRITIS. La fiecare trei ani, operatorul predă BSI un audit, o inspecție sau o certificare care arată că măsurile conform §30 funcționează cu adevărat. Anlage este definită de BSI-KritisV: praguri cantitative specifice pe sector (distribuție de electricitate la 500 GWh pe an, apă potabilă la 22 de milioane de metri cubi pe an, centre de date la 3,5 megawați de capacitate IT contractată și așa mai departe). Atingeți un prag și sunteți Betreiber kritischer Anlage. Ciclul §29 se atașează automat.
Nivel de bază NIS 2 (articolul 21 / §30 BSIG)
Cele zece măsuri de management al riscului conform articolului 21(2): analiza riscului, gestionarea incidentelor, continuitatea activității, lanțul de aprovizionare, dezvoltarea securizată, gestionarea vulnerabilităților, instruirea, criptografia, controlul accesului, MFA. Proporționale cu riscul conform articolului 21(1). Aceeași listă pe care fiecare entitate esențială și importantă trebuie să o implementeze. Operatorii KRITIS pornesc de aici, nu din altă parte.
Nachweis la trei ani conform §29 BSIG
Pe lângă nivelul de bază NIS 2, un operator KRITIS predă BSI un pachet de dovezi la fiecare trei ani: un raport de audit, o inspecție sau o certificare recunoscută care acoperă măsurile §30. Ciclul este fix, nu bazat pe risc. Ratarea termenului declanșează aplicarea de sancțiuni conform §65 BSIG. Înregistrarea conform §33 poartă de asemenea câmpuri suplimentare pentru operatorii KRITIS: serviciu critic, indicatori de aprovizionare, locația instalației (Anlage) și un punct de contact 24/7.
Banda superioară de sancțiuni și proporționalitate mai profundă
Conform §65 BSIG, operatorii KRITIS se află în aceeași bandă de sancțiuni ca entitățile esențiale: până la 10 milioane de euro sau 2 la sută din cifra de afaceri a grupului. Entitățile importante (Anexa II fără o Anlage KRITIS) se află cu o bandă mai jos, la 7 milioane de euro sau 1,4 la sută. Testul de proporționalitate din articolul 21(1) se schimbă de asemenea: argumentul costului de punere în aplicare este mai greu de susținut atunci când avaria instalației (Anlage) afectează sute de mii de persoane aprovizionate.
O autoritate de reglementare, o bază de dovezi, două straturi
BSI operează ambele regimuri din același birou din Bonn. Auditul pe care îl predați conform §29 BSIG este același audit care vă dovedește măsurile §30 pentru NIS 2. Registrul de furnizori pe care îl țineți pentru articolul 21(2)(d) este același registru pe care BSI îl citește în timpul unei inspecții §29. KRITIS nu duplică dovezile NIS 2. Vă cere doar să dovediți măsurile NIS 2 pe un ciclu fix, cu banda superioară de sancțiuni ca plasă de siguranță.
KRITIS este aditiv, nu un înlocuitor
O interpretare greșită frecventă: „suntem KRITIS, deci regulile NIS 2 nu se aplică.” Direcție greșită. KRITIS se așază pe deasupra NIS 2 în BSIG, nu alături de el. §28 listează operatorii KRITIS în plus față de entitățile esențiale și importante. §30 (măsuri), §32 (raportare) și §33 (înregistrare) se aplică tuturor celor trei. §29 (Nachweis la trei ani) și banda superioară §65 sunt elementele suplimentare specifice KRITIS. Renunțați la măsurile NIS 2 și încălcați articolul 21 al directivei.
BSI operează ambele regimuri
Bundesamt für Sicherheit in der Informationstechnik este autoritatea competentă centrală conform §40 BSIG. Înregistrează operatorii KRITIS, examinează dovezile §29, preia rapoartele de incidente §32 și aplică sancțiuni conform §65. Același birou din Bonn gestionează un producător din Anexa II cu 60 de persoane și un distribuitor de electricitate cu 5.000 de persoane. Scară diferită, aceeași autoritate de reglementare, aceeași structură juridică.
Energia și telecomunicațiile au o a doua autoritate de reglementare
Două sectoare nu au doar BSI. Operatorii de energie răspund în fața Bundesnetzagentur pentru securitatea rețelei conform §11 EnWG. Telecomunicațiile răspund în fața Bundesnetzagentur pentru integritatea rețelei conform §165 TKG. Aceste autorități suprapuse stau alături de BSIG, nu în locul lui. Un distribuitor de electricitate KRITIS raportează la BSI pentru incidentele NIS 2 și la BNetzA pentru evenimentele relevante pentru rețea. Aceeași clădire, două cutii poștale.
Niciun echivalent KRITIS direct la nivelul UE
Directiva NIS 2 nu conține un regim KRITIS. ENISA nu operează un ciclu de dovadă la trei ani. Cea mai apropiată construcție comparabilă este Directiva CER (2022/2557) privind reziliența entităților critice, care vizează reziliența fizică, nu securitatea cibernetică. Celelalte state membre transpun articolul 21 și articolul 23 în același mod, dar stratul german suplimentar KRITIS este o alegere națională preluată din Legea privind securitatea IT din 2015 (IT-Sicherheitsgesetz). Filialele străine ale unui operator KRITIS german nu preiau obligația §29 în străinătate.
Suntem KRITIS, deci noile reguli NIS 2 nu ni se aplică.
Direcție greșită. §28 BSIG listează operatorii KRITIS ca una dintre cele trei categorii reglementate, alături de entitățile esențiale și importante. §30 (măsuri), §32 (raportare), §33 (înregistrare) și nivelul de bază din articolul 21 se aplică tuturor celor trei. Elementele suplimentare specifice KRITIS sunt §29 (Nachweis la trei ani) și banda de sancțiuni §65. Dacă renunțați la măsurile NIS 2 deoarece „KRITIS deja le acoperă”, încălcați articolul 21 al directivei și transpunerea germană.
Ne aflăm sub pragul KritisV, deci suntem și în afara NIS 2.
Pragul BSI-KritisV (de exemplu 500 GWh pe an pentru distribuția de electricitate, 22 de milioane de metri cubi pe an pentru apă, 3,5 megawați pentru centre de date) decide KRITIS, nu NIS 2. O utilitate municipală care aprovizionează 80.000 de persoane este sub pragul KRITIS, dar este totuși în Anexa I sectorul 1 (energie) și aproape sigur o întreprindere mijlocie. Aceasta o plasează în domeniul de aplicare NIS 2 ca entitate esențială, cu obligațiile §30, §32 și §33. Doar fără ciclul §29 la trei ani și cu banda de sancțiuni §65 inferioară.
Tocmai am trecut auditul §29, deci am terminat și cu NIS 2.
Trecerea unui Nachweis §29 acoperă ciclul de dovadă. Nu dezactivează restul NIS 2. Cascada de raportare a incidentelor §32 (24 de ore / 72 de ore / o lună) rulează continuu. Datele de înregistrare §33 trebuie menținute la zi în termen de două săptămâni de la orice modificare (articolul 27(2) NIS 2). Riscul furnizorilor conform §30(2) punctul 4 rulează ca obligație continuă. Auditul §29 este un instantaneu. Restul BSIG este sistemul de operare.
Luați o utilitate municipală (Stadtwerk) într-un oraș de 200.000 de locuitori. Distribuție de electricitate, apă potabilă, încălzire centralizată, transport public și o filială de fibră optică. Așezați BSI-KritisV lângă organigrama companiei. Distribuția de electricitate peste 500 GWh pe an depășește pragul. Apa potabilă peste 22 de milioane de metri cubi pe an îl depășește. Încălzirea centralizată sub prag nu îl depășește. Transportul public se află în Anexa II a directivei, dar nu are clasificare de Anlage în Germania.
Rezultatul este o singură companie sub trei niveluri de interpretare în același timp. Două linii de afaceri (Strom, Wasser) sunt Anlagen KRITIS cu ciclul complet de Nachweis §29 pe deasupra. O linie de afaceri (Fernwärme) este Anexa I sectorul 1, dar sub pragul KRITIS, deci NIS 2 esențială fără §29. O linie de afaceri (ÖPNV) este transport din Anexa II. Filiala de fibră optică este Anexa I sectorul 8 dacă depășește pragul de dimensiune pe cont propriu. O singură înregistrare §33 acoperă entitatea juridică. Auditul §29 acoperă doar Anlagen KRITIS. Măsurile §30 acoperă totul.
Verificarea aplicabilității parcurge pragurile BSI-KritisV rând cu rând: care Anlage, care sector, care indicator cantitativ, care prag. Dacă depășiți unul, pagina semnalează ciclul de Nachweis §29 și comută profilul companiei la operator KRITIS. Modulul de înregistrare afișează apoi câmpurile §33 suplimentare (serviciu critic, indicatori de aprovizionare, locație, contact 24/7). Calculatorul de sancțiuni comută la banda superioară §65.
Baza de dovezi este comună. Aceleași controale care satisfac §30 BSIG produc pista de audit pe care o predați BSI conform §29. Registrul de furnizori conform articolului 21(2)(d) este același registru care este examinat în timpul unei inspecții §29. Formularul de raportare a incidentelor acoperă cascada §32 (24 de ore / 72 de ore / o lună) pentru ambele regimuri. O singură bază de dovezi, două destinații de raportare atunci când este necesar (BSI plus, pentru energie și telecomunicații, BNetzA).
- Directiva (UE) 2022/2555 (NIS 2), articolul 21(1) (proporționalitate), articolul 21(2) (zece măsuri), articolul 27 (actualizarea înregistrării). eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (domeniul de aplicare), §29 (Nachweis la trei ani pentru operatorii KRITIS), §30 (măsuri), §32 (raportarea incidentelor), §33 (înregistrare), §65 (sancțiuni). gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), praguri specifice pe sector pentru electricitate, apă, alimente, sănătate, transport, finanțe, IT și telecomunicații, deșeuri, spațiu. gesetze-im-internet.de/bsi-kritisv
- BSI, pachetul informativ „Kritische Infrastrukturen” și FAQ NIS 2. bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog conform §11 EnWG (autoritate suprapusă pe sectorul energetic). bundesnetzagentur.de
- Directiva (UE) 2022/2557 (CER) privind reziliența entităților critice (reziliență fizică, distinctă de NIS 2). eur-lex.europa.eu/eli/dir/2022/2557/oj