NIS 2 vs Directiva CER: reziliența cibernetică lângă reziliența fizică
Două directive, adoptate în aceeași zi, cu același termen de transpunere, acoperind aproape aceleași sectoare critice din două unghiuri diferite.
Două directive, un pachet de reziliență
La 14 decembrie 2022, UE a adoptat două directive în paralel. Directiva (UE) 2022/2555 (NIS 2) este directiva privind securitatea cibernetică. Directiva (UE) 2022/2557 (CER) este directiva privind reziliența entităților critice. Amândouă trebuiau transpuse până la 17 octombrie 2024.
NIS 2 protejează rețelele și sistemele informatice. CER protejează operarea fizică a entităților critice împotriva amenințărilor necibernetice, precum pericolele naturale, sabotajul, terorismul, atacurile din interior și pandemiile. Sectoarele acoperite se suprapun puternic, dar obiectul protecției este diferit.
Pentru operatorii din energie, transport, sectorul bancar, infrastructura piețelor financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică și spațiu, ambele directive se aplică adesea în paralel. Această pagină wiki prezintă unde se întâlnesc cele două și unde diverg.
NIS 2, Articolul 2(3) (textual)
Prezenta directivă se aplică entităților identificate drept entități critice în temeiul Directivei (UE) 2022/2557.
Articolul 2(3) din NIS 2 face legătura explicită: o entitate pe care un stat membru o desemnează drept entitate critică în temeiul CER intră în domeniul de aplicare al NIS 2 și este tratată ca entitate esențială în temeiul Articolului 3(1)(f) din NIS 2.
CER, Articolul 1 (obiect, textual)
Prezenta directivă stabilește obligații pentru statele membre de a lua măsuri specifice menite să asigure că serviciile care sunt esențiale pentru menținerea unor funcții societale vitale sau a unor activități economice care intră în domeniul de aplicare al Articolului 5 sunt furnizate în mod neîntrerupt pe piața internă, în special obligații pentru statele membre de a identifica entitățile critice și de a sprijini entitățile critice în îndeplinirea obligațiilor care le sunt impuse.
CER se concentrează pe continuitatea serviciilor esențiale în fața amenințărilor fizice, naturale, hibride și provocate de om. Unghiul cibernetic este lăsat în seama NIS 2.
Transpunerea națională (Germania)
NIS 2 este transpusă în Germania prin BSIG (proiectul NIS2UmsuCG). CER este transpusă printr-o KRITIS-Dachgesetz separată (legea-cadru KRITIS) condusă de Ministerul Federal de Interne.
Cele două directive sunt transpuse prin două legi naționale diferite, supravegheate de două agenții federale diferite. Începând cu iunie 2026, transpunerea germană a NIS 2 se află încă în procedura legislativă, iar legea-cadru KRITIS este în stadiu de proiect paralel.
Listele de sectoare se suprapun, dar nu perfect
Anexele I și II ale NIS 2 enumeră 18 sectoare. Anexa CER enumeră 11 sectoare. Sectoarele energie, transport, bancar, infrastructura piețelor financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică și spațiu apar în ambele. CER acoperă suplimentar producția, prelucrarea și distribuția alimentelor, care se află în afara NIS 2.
Rețele și sisteme informatice vs continuitatea fizică a serviciului
NIS 2 protejează securitatea cibernetică a rețelelor și sistemelor informatice folosite de entitate. CER protejează capacitatea entității de a continua să furnizeze serviciul esențial împotriva perturbărilor fizice, naturale și provocate de om. Același operator, două lentile diferite de risc.
Entitățile critice în temeiul CER sunt entități esențiale în temeiul NIS 2
Articolul 2(3) NIS 2 direcționează orice entitate desemnată drept entitate critică în temeiul CER direct în NIS 2 ca entitate esențială. Reciproca nu este valabilă automat: faptul că intri în domeniul de aplicare al NIS 2 nu te desemnează drept entitate critică în temeiul CER.
Riscul cibernetic nu este risc fizic
Articolul 21 NIS 2 impune măsuri de gestionare a riscurilor de securitate cibernetică (politici, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, control al accesului, criptografie etc.). Articolele 12 până la 13 CER impun un plan de reziliență care acoperă măsuri de protecție fizică, redundanță, continuitatea activității și securitatea personalului. Probele se suprapun pe alocuri (de exemplu, planurile de continuitate a activității), dar catalogul de riscuri este diferit.
Adesea același operator, două rapoarte, două autorități
Un furnizor de apă, un grup spitalicesc, un distribuitor de energie sau un organism de administrație publică pot avea obligații în temeiul ambelor directive în același timp. Aceasta înseamnă de obicei două evaluări paralele de risc și două linii paralele de raportare, una către autoritatea competentă NIS 2 și una către autoritatea competentă CER.
BSI
În Germania, Bundesamt für Sicherheit in der Informationstechnik (BSI) este autoritatea principală pentru punerea în aplicare a NIS 2. BSI primește înregistrările, notificările de incidente și supraveghează măsurile de gestionare a riscurilor de securitate cibernetică din NIS 2.
BBK
Autoritatea principală germană pentru CER este Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), nu BSI. BBK supraveghează desemnarea entităților critice și reziliența fizică în temeiul KRITIS-Dachgesetz planificate.
ENISA și Grupul pentru reziliența entităților critice
Pe latura cibernetică, ENISA sprijină statele membre și operatorii în temeiul NIS 2. Pe latura CER, Grupul pentru reziliența entităților critice, instituit în temeiul Articolului 19 CER, coordonează între statele membre. Comisia sprijină ambele straturi, dar benzile cibernetică și fizică rămân separate instituțional la nivelul UE.
CER acoperă și securitatea cibernetică, deci avem nevoie doar de un singur proiect
CER nu reglementează securitatea cibernetică. Considerentul 4 și dispozițiile privind domeniul de aplicare al CER lasă în mod explicit riscul cibernetic în seama NIS 2. CER se concentrează pe amenințările fizice, naturale și provocate de om la adresa serviciului. Un ISMS exclusiv cibernetic nu satisface CER. Un plan de reziliență fizică în sine nu satisface NIS 2.
Cele două directive se aplică exact acelorași operatori
Suprapunerea sectoarelor este ridicată, dar nu de 100 la sută. CER include producția, prelucrarea și distribuția alimentelor. NIS 2 include gestionarea serviciilor TIC și mai multe categorii de servicii digitale pe care CER nu le acoperă. Și chiar acolo unde ambele se aplică, CER impune o desemnare explicită de către statul membru, în timp ce NIS 2 funcționează în mare parte prin autoidentificare în raport cu criteriile de dimensiune și de sector.
KRITIS este transpunerea germană a CER
KRITIS este un concept german de lungă durată, care precedă ambele directive și este în prezent răspândit în BSIG, BSI-KritisV și în legi specifice sectorului. KRITIS-Dachgesetz planificată este menită să transpună CER, dar nu este același lucru cu perimetrul KRITIS existent și nu este transpunerea NIS 2. Trei fluxuri de lucru separate, nu unul.
Un distribuitor regional de energie cu aproximativ 400 de angajați rulează un ISMS pentru NIS 2 (măsuri de gestionare a riscurilor din Articolul 21, notificarea incidentelor către BSI în 24 de ore, securitatea lanțului de aprovizionare, instruire). În paralel, același distribuitor rulează un plan de reziliență a entității critice în temeiul CER, care acoperă protecția fizică a sitului, redundanța substațiilor, verificările de fiabilitate a personalului și continuitatea activității pentru perturbările fizice. Cele două planuri împărtășesc datele de intrare privind continuitatea activității, dar se află sub două linii separate de guvernanță.
În practica de zi cu zi, configurația cea mai curată este un registru unic de risc care etichetează fiecare risc drept cibernetic, fizic sau ambele și alimentează două ieșiri: măsurile de gestionare a riscurilor de securitate cibernetică din NIS 2 pe o parte, planul de reziliență CER pe cealaltă. Acest lucru evită dublarea inventarului activelor și a activității de continuitate, păstrând în același timp livrabilele de reglementare clar separate.
Această platformă pune în aplicare obligațiile din Articolul 21 NIS 2 ca un registru de obligații: inventarul activelor, inventarul furnizorilor, registrul de risc, gestionarea incidentelor, continuitatea activității, instruirea și probele de supraveghere. CER nu intră în domeniul de aplicare al platformei.
Operatorii care au obligații în temeiul ambelor directive pot reutiliza inventarul de active și de furnizori din NIS 2 ca date de intrare pentru planul lor de reziliență CER, dar planul de reziliență CER în sine se află într-un flux de lucru separat, supravegheat de autoritatea competentă CER.
- Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 (NIS 2). EUR-Lex: 32022L2555.
- Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, Articolul 2(3) privind legătura cu CER. NIS 2, Anexele I și II privind sectoarele.
- CER, Articolul 1 (obiect), Articolul 5 (sectoare), Articolul 6 (criterii de identificare a entităților critice), Articolele 12 și 13 privind planurile de reziliență.
- Oficiul Federal pentru Securitatea Informației (BSI), pagina națională de punere în aplicare a NIS 2.
- Oficiul Federal pentru Protecția Civilă și Asistență în caz de Dezastre (BBK), pagina națională de punere în aplicare a CER.