O singură platformă. Fiecare cerință din UE. Fără lacune.
UE a creat NIS2 pentru a armoniza securitatea cibernetică în Europa. Apoi 27 de țări au implementat-o diferit. Noi am rezolvat asta.
Standardizarea care nu a existat niciodată
NIS2 trebuia să fie marele unificator: o singură directivă care să alinieze cerințele de securitate cibernetică în toate cele 27 de state membre ale UE. În practică, a făcut exact opusul. Directiva stabilește cerințe minime, iar fiecare țară este liberă să fie mai strictă. Cele mai multe au făcut-o. Rezultatul este un mozaic de legi naționale, fiecare cu propria interpretare, propriile praguri și propriile așteptări de aplicare.
Apoi Comisia Europeană a adăugat CIR 2024/2690, un regulament de punere în aplicare care precizează cerințe tehnice pentru cele mai critice entități transfrontaliere. El nu înlocuiește legislația națională, ci se suprapune peste aceasta. Așa că acum companiile se confruntă cu trei straturi de cerințe care se suprapun, se contrazic și creează confuzie în proporții aproximativ egale.
Dacă operați în mai multe țări din UE sau dacă vreți pur și simplu să știți ce înseamnă, în termeni concreți, "conform cu NIS2", sunteți pe cont propriu. Nu există o sursă unică de adevăr. Până acum.
Directiva NIS2 (EU 2022/2555)
Directiva la nivelul UE care stabilește cerințele minime de securitate cibernetică pentru entitățile esențiale și importante. Deliberat vagă în privința detaliilor de implementare: vă spune ce să obțineți, nu cum să obțineți. Fiecare stat membru trebuie să o transpună în legislația națională și are dreptul explicit de a merge mai departe.
BSIG, transpunerea națională germană
Germania a transpus NIS2 în BSIG (BSI-Gesetz). Aceasta depășește semnificativ minimele directivei: termene mai stricte de raportare a incidentelor, un domeniu de aplicare mai larg al entităților vizate și răspundere explicită a conducerii conform secțiunii 38. Dacă operați în Germania, directiva singură nu este suficientă: BSIG este ceea ce aplică auditorii.
CIR 2024/2690, regulament de punere în aplicare al UE
Regulamentul de punere în aplicare al Comisiei precizează cerințe tehnice și metodologice detaliate pentru entitățile care furnizează servicii transfrontaliere (DNS, cloud, CDN, centre de date și altele). Spre deosebire de directivă, el se aplică direct, fără a fi nevoie de transpunere națională. Adaugă cerințe granulare privind managementul riscurilor, gestionarea incidentelor și securitatea lanțului de aprovizionare, care depășesc cu mult textul directivei.
IT-Grundschutz, metodologia de implementare a BSI
Standardele IT-Grundschutz ale BSI (BSI-200-1, 200-2, 200-3) definesc exact cum se implementează cerințele în practică. Conform secțiunii 44(2) BSIG, implementarea Grundschutz este recunoscută explicit ca îndeplinire a obligațiilor NIS2 în Germania. Este stratul cel mai detaliat și mai prescriptiv, cel care transformă declarații de politică vagi în controale concrete, auditabile.
Cel mai strict numitor comun
Platforma noastră nu alege un singur cadru și nu speră că merge. Pentru fiecare temă de conformitate (managementul riscurilor, raportarea incidentelor, controlul accesului, criptarea, instruirea, lanțul de aprovizionare) identificăm cea mai strictă cerință din toate cele trei surse normative: Directiva NIS2, CIR 2024/2690 și BSIG cu metodologia IT-Grundschutz.
Apoi integrăm acea versiune cea mai strictă în platformă ca setare implicită. Fiecare formular, fiecare flux de lucru, fiecare cerință de probă este conceput pentru a satisface cel mai înalt nivel. Când finalizați o cerință pe platforma noastră, nu îndepliniți doar standardul german sau minimul UE, ci le îndepliniți pe toate simultan.
Rezultatul: conformează-te o dată, fii conform peste tot. Indiferent dacă operați doar în Germania, în întreaga UE sau intrați sub domeniul transfrontalier al CIR, postura voastră de conformitate rezistă. Fără muncă dublată, fără lacune, fără surprize în timpul unui audit într-o altă jurisdicție.
| Domeniu de conformitate | Directiva NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Managementul riscurilor | Măsuri "adecvate și proporționale", fără o metodologie prescrisă | Metodologie explicită de evaluare a riscurilor cu criterii definite, acceptare documentată a riscului | Analiză completă a riscurilor bazată pe active conform BSI-200-3, modelarea amenințărilor conform Compendiului IT-Grundschutz, revizuire anuală obligatorie |
| Raportarea incidentelor | Avertizare timpurie în 24h, notificare completă în 72h | Aceleași termene, plus incidentele recurente trebuie agregate și raportate ca un tipar | 24h/72h plus raportare obligatorie către BSI, conducerea trebuie notificată imediat, analiză a cauzei rădăcină obligatorie |
| Securitatea lanțului de aprovizionare | Luarea în considerare a riscurilor din lanțul de aprovizionare, ținând cont de vulnerabilitățile furnizorilor | Evaluare documentată a furnizorilor, cerințe contractuale de securitate, reevaluare periodică | Registru al riscurilor furnizorilor legat de inventarul activelor, urmărirea statutului de înregistrare NIS2, auditarea furnizorilor la nivel Grundschutz |
| Criptare și criptografie | "Acolo unde este cazul", utilizarea criptografiei și a criptării | Politică de criptografie obligatorie, gestionarea cheilor documentată, evaluarea adecvării algoritmilor | Ghidurile tehnice ale BSI (TR-02102) definesc algoritmii aprobați, lungimile cheilor și protocoalele, fără loc de interpretare |
| Controlul accesului | Politici pentru controlul accesului la rețele și sisteme informatice | Acces bazat pe roluri, gestionarea accesului privilegiat, revizuiri periodice ale accesului | Principiul necesității de a cunoaște, separarea atribuțiilor, MFA obligatorie pentru accesul administrativ, RBAC documentat cu recertificare anuală |
| Instruire în securitatea cibernetică | Instruire periodică pentru conducere și toți angajații | Instruire specifică rolului, conducerea trebuie să demonstreze competență în supravegherea riscurilor | Instruire anuală de conștientizare pentru toți angajații, instruire specifică rolului pentru personalul IT, instruire obligatorie privind răspunderea conform secțiunii 38 BSIG pentru conducere |
Transfrontalier în mod implicit
Operați în Germania, vă extindeți în Franța, serviți clienți în Țările de Jos: conformitatea voastră rezistă peste tot. Fără refacere specifică jurisdicției, fără un al doilea audit. Un singur proces acoperă toate cele 27 de state membre, pentru că îndepliniți deja interpretarea cea mai strictă.
Ambiguitate zero
Directiva NIS2 este deliberat vagă. "Măsuri adecvate" înseamnă lucruri diferite pentru auditori diferiți. Platforma noastră elimină acea ambiguitate prin alegerea implicită a celei mai specifice și mai prescriptive cerințe disponibile. Nu mai trebuie niciodată să ghiciți dacă interpretarea voastră este "suficientă".
Conformitate pregătită pentru viitor
Reglementările doar se înăspresc. Țările care au transpus NIS2 la nivel minim astăzi vor deveni mai stricte mâine. Îndeplinind deja cel mai înalt standard actual, sunteți înaintea oricărei înăspriri viitoare, nu vă grăbiți să recuperați.
Pregătit pentru audit din prima zi
Auditorii BSI așteaptă probe la nivel Grundschutz. Evaluările ENISA verifică conformitatea cu CIR. Platforma noastră generează automat probe care le satisfac pe ambele. Atribuirile, semnăturile de aprobare, termenele și pistele de audit sunt integrate în fluxul de lucru: ele sunt procesul de conformitate, nu un adaos ulterior.
Aceasta este cea mai frecventă obiecție și este greșită. Diferența dintre îndeplinirea cerințelor minime ale Directivei NIS2 și îndeplinirea standardului BSIG/Grundschutz nu este mai multă introducere de date, mai multe documente sau mai multă muncă inutilă. Este mai multă structură. Aceleași informații pe care o companie le furnizează pentru o bifare NIS2 la nivel minim sunt aceleași informații necesare pentru o implementare la nivel Grundschutz.
"Munca" suplimentară este înțelegerea: să știi ce active să documentezi, cum să structurezi o evaluare a riscurilor, ce constituie probe adecvate. Exact asta gestionează platforma noastră în locul vostru. Formularele vă ghidează prin întrebările corecte. Fluxurile de lucru impun procesul corect. Probele se generează pe măsură ce lucrați.
În practică, o companie care folosește platforma noastră nu petrece mai mult timp decât una care folosește un instrument de bifare la conformitate minimă. Diferența este că rezultatul nostru chiar rezistă într-un audit, în orice țară din UE, sub orice reglementare aplicabilă. Efortul este identic. Rezultatul este incomparabil mai bun.
Întrebări frecvente
Nu este exagerat pentru o companie care operează doar într-o singură țară?
Nu. Chiar și într-o singură țară, vă confruntați cu mai multe cerințe care se suprapun: transpunerea națională, eventual CIR dacă furnizați servicii transfrontaliere și așteptările practice ale auditorului vostru național. Îndeplinirea celui mai strict numitor comun înseamnă că nu mai trebuie niciodată să vă faceți griji ce reglementare anume se aplică cărei părți a afacerii. Nu este exagerat, este singura abordare care elimină ambiguitatea în întregime.
Ce se întâmplă dacă țara mea are cerințe diferite de BSIG-ul german?
Fiecare țară din UE a transpus NIS2 la nivelul minim al directivei sau peste el. BSIG-ul german se numără printre cele mai stricte transpuneri. Dacă îndepliniți cerințele la nivel BSIG, depășiți automat orice cere țara voastră. Gândiți-vă la asta ca la o supramulțime: cea mai strictă lege națională plus CIR plus directiva acoperă orice interpretare posibilă pe care ar putea-o aplica orice stat membru.
Abordarea mai strictă costă mai mult sau durează mai mult?
Nu. Platforma vă ghidează prin același număr de pași, indiferent de situație. Diferența stă în modul în care sunt structurați acei pași: formularele și fluxurile noastre de lucru sunt concepute să capteze informații la nivelul de detaliu care satisface metodologia Grundschutz. Nu faceți mai multă muncă, faceți aceeași muncă mai precis. Investiția de timp este comparabilă cu orice instrument de conformitate, dar rezultatul este apărabil în toate jurisdicțiile UE.
Dar ISO 27001? Mai am nevoie de el?
ISO 27001 este un standard de sistem de management, nu o cerință legală. NIS2, BSIG și CIR sunt obligații legale. Există o suprapunere semnificativă: dacă respectați cerințele platformei noastre, ați acoperit aproximativ 70-80% din controalele din Anexa A ale ISO 27001. Dar ele servesc scopuri diferite: conformitatea cu NIS2 este obligatorie și impusă legal, certificarea ISO 27001 este voluntară și determinată de piață. Platforma noastră se concentrează mai întâi pe obligațiile legale. Alinierea la ISO 27001 va urma ca funcționalitate viitoare.
Cum se raportează CIR 2024/2690 la legislația națională precum BSIG?
CIR este un regulament de punere în aplicare al UE: se aplică direct în toate statele membre, fără transpunere națională. Nu înlocuiește legislația națională, ci se adaugă la ea. Pentru entitățile care intră sub domeniul CIR (în principal furnizorii de infrastructură digitală transfrontalieră), trebuie să respectați atât transpunerea voastră națională (de exemplu, BSIG în Germania), cât și CIR. Acolo unde se suprapun, se aplică cerința mai strictă. Acolo unde nu se suprapun, ambele se aplică independent. Platforma noastră gestionează această stratificare, ca să nu trebuiască să o faceți voi.