NIS2 vs KRITIS: ce s-a schimbat de fapt
NIS2 nu înlocuiește KRITIS, ci îl extinde dramatic. De la aproximativ 2.000 de operatori la circa 30.000 de entități, șapte sectoare noi, răspundere personală a conducerii și termene de raportare mai stricte.
KRITIS a fost încălzirea. NIS2 este evenimentul principal.
Dacă firma dumneavoastră era deja clasificată drept KRITIS (Kritische Infrastruktur) sub vechiul regim BSI-KritisV, știți cum arată reglementarea de securitate cibernetică. Ați avut de-a face cu audituri BSI, raportarea incidentelor și măsuri de securitate IT. Vestea bună: munca existentă nu este irosită. Vestea provocatoare: NIS2 ridică ștacheta, lărgește domeniul de aplicare și adaugă obligații care nu existau înainte.
Dacă firma dumneavoastră NU era anterior KRITIS, aceasta este probabil prima dumneavoastră întâlnire cu o reglementare obligatorie de securitate cibernetică. NIS2, transpus în legislația germană prin BSIG modificat, aduce aproximativ 28.000 de companii suplimentare în perimetrul de reglementare. Multe dintre aceste companii nu au raportat niciodată un incident către o agenție guvernamentală, nu au fost niciodată auditate pentru securitate IT și nu s-au gândit niciodată la securitatea cibernetică drept un subiect de conformitate juridică.
| Aspect | KRITIS (BSI-KritisV) | NIS2 / BSIG (nou) |
|---|---|---|
| Domeniul de aplicare | Aproximativ 2.000 de operatori de infrastructură critică în 10 sectoare, identificați prin depășirea unor valori de prag specifice (de ex., 500.000 de persoane deservite) | Aproximativ 30.000 de entități în 18 sectoare, folosind un prag de mărime simplu: 50 de angajați sau mai mulți ori o cifră de afaceri anuală de cel puțin 10 milioane EUR. Include atât categoria „esențială”, cât și categoria „importantă” |
| Modelul de prag | Praguri cantitative specifice sectorului (de ex., 500.000 de persoane aprovizionate pentru energie, 500.000 de locuitori pentru apă). Complex de calculat, multe cazuri la limită | Criterii uniforme de mărime: întreprindere mijlocie (50 de angajați sau mai mulți ori o cifră de afaceri de cel puțin 10 milioane EUR) în toate sectoarele. Mult mai simplu de stabilit. Unele sectoare au criterii suplimentare indiferent de mărime |
| Înregistrare | Autodeclarare către BSI cu verificare opțională. Inițial, fără un portal de înregistrare formal pentru majoritatea operatorilor KRITIS | Înregistrare obligatorie prin portalul BSI conform §33 BSIG. Trebuie furnizate detaliile entității, clasificarea sectorială, persoana de contact și intervalele IP. Dispoziție de sancționare separată pentru neînregistrare |
| Raportarea incidentelor | Incidentele semnificative raportate către BSI fără un calendar strict în reglementările anterioare. Înăsprite ulterior, dar mai puțin structurate decât NIS2 | Raportare obligatorie în trei etape conform §32 BSIG: avertizare timpurie în 24 de ore, notificare a incidentului în 72 de ore, raport final în decurs de o lună. Fiecare etapă are cerințe de conținut definite |
| Sancțiuni | Amenzi de până la 100.000 EUR pentru unele încălcări. Aplicare limitată în practică. Sancțiuni rareori aplicate public | Amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală pentru entitățile esențiale, până la 7 milioane EUR sau 1,4% pentru entitățile importante. Amenzi separate pentru încălcările privind înregistrarea și raportarea. Modelate după structura de sancțiuni GDPR |
| Răspunderea conducerii | Nicio dispoziție specifică de răspundere personală pentru conducere. Se aplicau îndatoririle generale din dreptul societar | §38 BSIG introduce răspundere personală explicită pentru Geschäftsführung. Conducerea trebuie să aprobe măsurile de securitate cibernetică, să urmeze instruire și poate fi trasă personal la răspundere pentru daune. Nu poate fi exonerată prin hotărâre a asociaților |
| Cerințe de audit | Depunere bienală a dovezilor (§8a BSIG, vechi). În principal autoaudit, cu examinarea de către BSI a dovezilor depuse | Entități esențiale: BSI poate efectua audituri proactive și inspecții la fața locului. Entități importante: supraveghere reactivă (audituri declanșate de incidente sau de dovezi de neconformitate). BSI are competențe de aplicare mai largi, inclusiv instrucțiuni cu caracter obligatoriu |
| Securitatea lanțului de aprovizionare | Nu era o cerință de reglementare specifică sub vechiul regim KRITIS. Companiile gestionau riscul furnizorilor după propriile criterii | §30(2)(4) BSIG impune măsuri de securitate a lanțului de aprovizionare. Trebuie evaluată securitatea cibernetică a furnizorilor, incluse cerințe de securitate în contracte și monitorizată poziția furnizorilor pe parcursul relației. Se aplică tuturor entităților vizate |
Gestionarea deșeurilor
Colectarea, tratarea și eliminarea deșeurilor. Acoperite conform Anexei II la NIS2. Include serviciile municipale de deșeuri, procesatorii de deșeuri periculoase și operațiunile de reciclare. Majoritatea companiilor de deșeuri nu au avut niciodată de-a face cu o reglementare de securitate cibernetică.
Producția și distribuția de alimente
Fabricarea, procesarea și distribuția cu ridicata a alimentelor. Acoperite conform Anexei II la NIS2. Aceasta se extinde dincolo de lanțul de retail alimentar, pentru a include unitățile de producție, logistica lanțului frigorific și sistemele de siguranță alimentară.
Fabricarea de produse critice
Fabricarea de dispozitive medicale, calculatoare, produse electronice, produse optice, echipamente electrice, mașini și utilaje, autovehicule și alte echipamente de transport. Acoperite conform Anexei II la NIS2. Un număr semnificativ de companii din Mittelstandul german intră în această categorie.
Servicii poștale și de curierat
Furnizori de servicii poștale și companii de curierat. Acoperite conform Anexei II la NIS2. Include serviciile de livrare de colete, operațiunile de sortare a corespondenței și platformele logistice care susțin livrarea pe ultimul kilometru.
Producția și distribuția de produse chimice
Fabricarea, producția și distribuția de produse chimice. Acoperite conform Anexei II la NIS2. Se suprapune semnificativ cu reglementarea de siguranță existentă (Störfallverordnung), dar adaugă obligații specifice securității cibernetice.
Organizații de cercetare
Instituții de cercetare al căror scop principal este desfășurarea de cercetare aplicată sau dezvoltare experimentală. Acoperite conform Anexei II la NIS2. Include institutele Fraunhofer, centrele Helmholtz și organizațiile de cercetare private aflate peste pragul de mărime.
Infrastructură și servicii digitale
Domeniu de aplicare extins pentru furnizorii digitali: furnizori de servicii gestionate, furnizori de servicii gestionate de securitate, piețe online, motoare de căutare, rețele sociale și centre de date. Unii erau parțial acoperiți înainte. NIS2 lărgește și clarifică definițiile în mod semnificativ.
- BSI rămâne autoritatea competentă centrală și CSIRT-ul național pentru Germania
- IT-Grundschutz rămâne metodologia recomandată pentru implementarea măsurilor de securitate (§44(2) BSIG)
- Principiul fundamental al măsurilor „adecvate și proporționale”: trebuie să implementați ceea ce este rezonabil pentru mărimea și profilul dumneavoastră de risc, nu tot ce este teoretic posibil
- Cerința de a menține un sistem de management al securității informației (ISMS) într-o anumită formă, fie certificat formal, fie structurat în jurul Grundschutz
Întrebări frecvente
Eram deja KRITIS. Mai trebuie să facem ceva nou?
Da. Chiar dacă erați un operator KRITIS pe deplin conform, NIS2 adaugă obligații noi: înregistrare obligatorie la BSI prin portalul §33 (dacă nu este deja făcută), termene mai stricte de raportare a incidentelor (cascada 24h/72h/1 lună), răspundere explicită a conducerii conform §38 și măsuri obligatorii de securitate a lanțului de aprovizionare. Măsurile dumneavoastră de securitate existente acoperă probabil majoritatea cerințelor tehnice, dar obligațiile de reglementare și de guvernanță sunt noi.
Care sunt sectoarele noi care nu erau în KRITIS?
Șapte sectoare sunt nou-incluse în domeniul de aplicare sub NIS2 și nu erau acoperite de vechiul regim KRITIS: gestionarea deșeurilor, producția și distribuția de alimente, fabricarea de produse critice, serviciile poștale și de curierat, producția și distribuția de produse chimice, organizațiile de cercetare și infrastructura și serviciile digitale extinse. Companiile din aceste sectoare au de-a face pentru prima dată cu o reglementare obligatorie de securitate cibernetică.
Este NIS2 doar KRITIS cu un nume diferit?
Nu. NIS2 este un regim de reglementare fundamental mai larg și mai profund. KRITIS acoperea aproximativ 2.000 de operatori cu praguri ridicate. NIS2 acoperă aproximativ 30.000 de entități cu praguri mult mai joase. NIS2 adaugă răspundere personală a conducerii, înregistrare obligatorie, termene structurate de raportare a incidentelor, obligații privind lanțul de aprovizionare și sancțiuni semnificativ mai mari. Gândiți-vă la KRITIS ca la programul-pilot. NIS2 este implementarea completă.
Care este cea mai mare diferență practică pentru companii?
Răspunderea personală a conducerii conform §38 BSIG. Sub KRITIS, securitatea cibernetică era o problemă a departamentului IT. Sub NIS2, Geschäftsführung este personal responsabilă de aprobarea și supravegherea măsurilor de securitate cibernetică, trebuie să urmeze instruire în securitate cibernetică și poate fi trasă la răspundere pentru daunele rezultate din neconformitate. Această răspundere nu poate fi exonerată, nici măcar prin hotărâre a asociaților. Acest lucru transformă securitatea cibernetică dintr-o linie din bugetul IT într-o chestiune de guvernanță la nivel de consiliu.
- Directiva (UE) 2022/2555 - Directiva NIS2, Anexa I și Anexa II (definițiile sectoarelor)
- BSIG - §28 (domeniul de aplicare și definițiile entităților), §30 (măsuri de securitate cibernetică), §32 (raportarea incidentelor), §33 (înregistrare), §38 (răspunderea conducerii), §65 (sancțiuni)
- BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (reglementarea anterioară a pragurilor KRITIS)
- BSI - orientări privind domeniul de aplicare NIS2 și documentația de clasificare sectorială (2025)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit