Sectiunea 30 BSIG: cele zece masuri de securitate cibernetica
Raspuns scurt: Sectiunea 30 din BSIG german este transpunerea nationala a Articolului 21 NIS 2. Entitatile esentiale si importante trebuie sa implementeze zece masuri de management al riscului, de la analiza riscurilor la securitatea lantului de aprovizionare si la autentificarea cu mai multi factori. Implementarea trebuie sa fie proportionala cu dimensiunea, expunerea la risc si stadiul actual al tehnologiei.
Ce impune Sectiunea 30 BSIG
Sectiunea 30 BSIG se afla in centrul implementarii NIS 2 in Germania. Ea obliga entitatile esentiale si importante sa ia masuri tehnice si organizatorice adecvate, proportionale si eficace pentru a gestiona riscurile la adresa securitatii sistemelor lor informatice, a componentelor si a proceselor.
Dispozitia transpune Articolul 21(2) din Directiva NIS 2 (Directiva (UE) 2022/2555) in dreptul german. Substanta este la nivelul UE si identica in fiecare stat membru. Formularea a fost adaptata stilului legislativ german, dar cele zece masuri din Sectiunea 30(2) Nr. 1 pana la 10 BSIG corespund unu la unu Articolului 21(2)(a) pana la (j) NIS 2.
Obligatiile se aplica de la data intrarii in vigoare a NIS2UmsuCG. Legea nu prevede nicio perioada de tranzitie. Oricine intra in domeniul de aplicare datoreaza masurile din ziua in care intra in domeniul de aplicare.
Nr. 1: Politici privind analiza riscurilor si securitatea sistemelor informatice
Politici privind analiza riscurilor si securitatea sistemelor informatice. Corespunde Articolului 21(2)(a) NIS 2. Operationalizata prin CIR (UE) 2024/2690 Sectiunea 2 pentru sectoarele digitale, in anexa sa.
Nr. 2: Gestionarea incidentelor
Detectare, raspuns, izolare, recuperare si analiza dupa incident. Corespunde Articolului 21(2)(b) NIS 2. Se imbina cu obligatia de raportare prevazuta de Sectiunea 32 BSIG.
Nr. 3: Continuitatea activitatii
Gestionarea copiilor de rezerva, recuperarea in caz de dezastru si gestionarea crizelor. Corespunde Articolului 21(2)(c) NIS 2. O intrerupere a serviciului cloud la furnizorul dumneavoastra este acoperita aici.
Nr. 4: Securitatea lantului de aprovizionare
Securitatea lantului de aprovizionare, inclusiv aspectele legate de securitate ale relatiilor cu furnizorii directi si prestatorii de servicii. Corespunde Articolului 21(2)(d) NIS 2. Aceasta obligatie se transmite contractual catre fiecare furnizor direct.
Nr. 5: Securitatea in achizitie, dezvoltare si intretinere
Masuri de securitate in achizitia, dezvoltarea si intretinerea sistemelor informatice, a componentelor si a proceselor, inclusiv gestionarea si divulgarea vulnerabilitatilor. Corespunde Articolului 21(2)(e) NIS 2. Se suprapune cu obligatiile din Cyber Resilience Act pentru produsele cu elemente digitale.
Nr. 6: Evaluarea eficacitatii
Politici si proceduri pentru evaluarea eficacitatii masurilor de management al riscului. Corespunde Articolului 21(2)(f) NIS 2. Aceasta este bucla de feedback: nu doar sa introduceti masuri, ci sa verificati daca functioneaza.
Nr. 7: Igiena cibernetica si instruirea
Practici de baza de igiena cibernetica si instruire in securitate cibernetica. Corespunde Articolului 21(2)(g) NIS 2. Se aplica intregului personal, cu instruire specifica rolului pentru rolurile IT. Instruirea organului de conducere este reglementata separat in Sectiunea 38(3) BSIG.
Nr. 8: Criptografie si criptare
Politici si proceduri pentru utilizarea criptografiei si, dupa caz, a criptarii. Corespunde Articolului 21(2)(h) NIS 2. Sintagma dupa caz permite o diferentiere bazata pe risc, dar exclude o scutire generala.
Nr. 9: Securitatea resurselor umane, controlul accesului, gestionarea activelor
Securitatea resurselor umane, politici de control al accesului si gestionarea activelor. Corespunde Articolului 21(2)(i) NIS 2. Acopera integrarea si dezintegrarea angajatilor, furnizarea accesului pe baza principiului necesitatii de a cunoaste si un inventar de active.
Nr. 10: Autentificarea cu mai multi factori si comunicatiile securizate
Solutii de autentificare cu mai multi factori sau de autentificare continua, comunicatii securizate de voce, video si text si, dupa caz, sisteme securizate de comunicatii de urgenta in cadrul entitatii. Corespunde Articolului 21(2)(j) NIS 2.
Sectiunea 30(1) teza a doua BSIG impune ca masurile sa fie alese tinand cont de stadiul actual al tehnologiei, de standardele europene si internationale relevante si de costul implementarii. Dimensiunea, expunerea la risc si probabilitatea incidentelor sunt luate in considerare.
Proportionalitatea nu este o autorizatie pentru a omite o masura. BSI a clarificat in indrumarile sale privind Sectiunea 38(3) BSIG ca un transfer general al riscului catre asigurarea cibernetica sau catre prestatorii de servicii este exclus. Proportional inseamna: nu fiecare masura la profunzime maxima, ci adaptata situatiei specifice si documentata in scris.
Articolul 21(2) NIS 2 este baza la nivelul UE. Cele zece litere (a) pana la (j) sunt obligatorii. Formularea a fost pastrata deschisa pentru ca statele membre sa o poata incadra in structurile nationale de supraveghere. Sectiunea 30 BSIG adopta cele zece masuri ca Nr. 1 pana la 10 fara abatere de fond.
Pentru furnizorii de DNS, registrele TLD, furnizorii de cloud, centrele de date, retelele de distributie a continutului, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, pietele online, motoarele de cautare online, platformele de retele sociale si furnizorii de servicii de incredere, Regulamentul de punere in aplicare al Comisiei UE 2024/2690 operationalizeaza cele zece masuri in anexa sa. Regulamentul se aplica direct, fara transpunere nationala. Pentru aceste sectoare, atat Sectiunea 30 BSIG, cat si CIR stau pe raft.
Sectiunea 30 BSIG se aplica entitatilor esentiale in temeiul Sectiunii 28(6) BSIG si entitatilor importante in temeiul Sectiunii 28(7) BSIG. Sectoarele sunt enumerate in Anexa 1 si Anexa 2 ale Directivei NIS 2. Pragul de dimensiune este de cel putin 50 de angajati sau 10 milioane de euro cifra de afaceri anuala, cu reguli speciale pentru KRITIS si pentru sectoarele care se aplica indiferent de dimensiune.
Daca aveti nelamuriri, incepeti cu testul de aplicabilitate prevazut de Articolul 2 NIS 2. Furnizorii catre entitatile reglementate intra de asemenea in contact cu Sectiunea 30 prin Nr. 4 (lant de aprovizionare): obligatiile se transmit contractual catre furnizorii directi.
Incalcarile obligatiei privind masurile prevazute de Sectiunea 30 BSIG atrag amenzi administrative in temeiul Sectiunii 65 BSIG. Pentru entitatile esentiale, maximul este de 10 milioane de euro sau 2 la suta din cifra de afaceri globala din anul precedent, oricare dintre acestea este mai mare. Pentru entitatile importante, maximul este de 7 milioane de euro sau 1,4 la suta.
Sectiunea 38 BSIG adauga raspunderea personala a organului de conducere pentru incalcarea obligatiei de a aproba masurile prevazute de Sectiunea 30 si de a monitoriza implementarea lor. Raspunderea nu depinde de producerea unui prejudiciu efectiv.
Intrebari frecvente despre Sectiunea 30 BSIG
Este Sectiunea 30 BSIG identica cu Articolul 21 NIS 2?
Ca substanta, da. Sectiunea 30 BSIG este transpunerea germana a Articolului 21 NIS 2. Cele zece masuri din Sectiunea 30(2) Nr. 1 pana la 10 BSIG corespund unu la unu Articolului 21(2)(a) pana la (j) NIS 2. Pentru lucrul la nivelul UE, citati Articolul 21 NIS 2 ca sursa principala si faceti referire la Sectiunea 30 BSIG ca transpunere germana.
Trebuie sa implementez toate cele zece masuri?
Da. Cele zece masuri nu sunt optionale. Alegerea are loc in cadrul fiecarei masuri, prin proportionalitate. Omiterea unei masuri intregi nu este permisa. Profunzimea implementarii poate fi adaptata la dimensiune, expunerea la risc si stadiul actual al tehnologiei, dar renuntarea la un numar intreg nu este permisa.
Ce inseamna proportionalitatea in practica?
Proportionalitatea conform Sectiunii 30(1) teza a doua BSIG inseamna: masurile se aliniaza la dimensiune, la expunerea la risc, la probabilitatea si gravitatea incidentelor si la costul implementarii. Decizia trebuie documentata in scris. Un transfer general al riscului catre asigurarea cibernetica sau catre un prestator de servicii nu este acceptat de BSI ca implementare proportionala.
Cum dovedesc implementarea fata de BSI?
Prin documentatie. Pentru fiecare dintre cele zece masuri, consemnati in scris implementarea aleasa, motivarea profunzimii si evaluarea eficacitatii. Un audit BSI in temeiul Sectiunii 61 sau Sectiunii 62 BSIG examineaza aceste inregistrari, nu explicatii orale. O autoevaluare structurata pe toate cele zece masuri este cel mai rapid punct de plecare.
Care este diferenta dintre Sectiunea 30 BSIG si IT-Grundschutz?
Sectiunea 30 BSIG este obligatia. IT-Grundschutz este o metodologie concreta care indeplineste obligatia. Sectiunea 44(2) BSIG mentioneaza IT-Grundschutz ca implementare suficienta. Alte standarde precum ISO 27001 sunt la fel de posibile, dar dovezile raman legate de cele zece masuri prevazute de Sectiunea 30 BSIG, nu de structura standardului ales.