EU 2024/2690

Ghid de implementare CIR 2024/2690

Regulamentul de punere în aplicare al UE care specifică exact ce măsuri tehnice și metodologice trebuie să implementeze entitățile NIS2. Publicat în Jurnalul Oficial la 17 octombrie 2024 și direct aplicabil în toate statele membre.

Cory HiseyCory Hisey·Laufend geprüft

Ce este CIR 2024/2690?

Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 a fost publicat în Jurnalul Oficial al Uniunii Europene (seria OJ L, 2024/2690). Acesta stabilește norme de aplicare a Directivei (UE) 2022/2555 (Directiva NIS2) în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor de securitate cibernetică. Spre deosebire de Directiva NIS2 în sine, acest regulament nu necesită transpunere națională. Se aplică direct în toate cele 27 de state membre de la data intrării sale în vigoare.

CIR este răspunsul la întrebarea pe care o pune fiecare responsabil cu conformitatea: 'Ce anume trebuie să implementăm?'. În timp ce §30 BSIG (transpunerea germană) enumeră 10 domenii de măsuri în termeni generali, anexa CIR le defalcă în cerințe tehnice și metodologice specifice, auditabile. Este cea mai detaliată specificație oficială a obligațiilor NIS2 disponibilă, mai detaliată decât Directiva însăși, mai specifică decât BSIG și direct aplicabilă.

Regulamentul a fost elaborat în consultare cu ENISA și cu Grupul de cooperare NIS, pe baza unor cadre existente, inclusiv ISO/IEC 27001, ETSI EN 319 401 și standarde naționale. Se aplică în mod specific furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor de servicii de cloud computing, furnizorilor de servicii de gestionare a serviciilor TIC, furnizorilor de servicii de securitate gestionate, furnizorilor de piețe online, furnizorilor de motoare de căutare online, furnizorilor de platforme de servicii de rețele sociale și furnizorilor de servicii de încredere. Cu toate acestea, cerințele sale tehnice servesc drept reper de facto pentru toate entitățile NIS2.

Entități acoperite direct
CIR impune cerințe obligatorii următoarelor tipuri de entități, astfel cum sunt definite la articolul 1:

Furnizori de servicii DNS

Registre de nume TLD

Furnizori de servicii de cloud computing

Furnizori de servicii de gestionare a serviciilor TIC (servicii gestionate) și furnizori de servicii de securitate gestionate

Furnizori de piețe online

Furnizori de platforme de servicii de rețele sociale

Furnizori de servicii de încredere

Structura regulamentului

CIR este alcătuit din 7 articole care definesc domeniul de aplicare, definițiile și cerințele, plus o anexă detaliată care conține specificațiile tehnice și metodologice.

Articolul 2. Definiții

Stabilește definiții pentru 'securitatea rețelelor și a sistemelor informatice', 'incident semnificativ' și alți termeni-cheie. Aliniază terminologia cu Directiva NIS2, adăugând precizie specifică implementării.

Articolul 3. Semnificația incidentelor

Definește când un incident este 'semnificativ', pragul care declanșează obligațiile de raportare. Un incident este semnificativ dacă provoacă o pierdere financiară care depășește 500.000 EUR sau 5% din cifra de afaceri anuală, are ca rezultat exfiltrarea de secrete comerciale, provoacă deces sau prejudicii considerabile pentru sănătate sau îndeplinește criterii specifice entității, definite la articol.

Articolul 4. Incidente semnificative recurente

Precizează că incidentele recurente care, în mod individual, nu ating pragul de semnificație pot fi agregate și tratate ca un singur incident semnificativ dacă, în mod colectiv, îndeplinesc criteriile într-o perioadă de șase luni.

Articolul 5. Incidente semnificative pentru registrele DNS și TLD

Adaugă criterii de semnificație specifice pentru furnizorii de servicii DNS și registrele TLD, inclusiv disponibilitatea serviciului sub 99,9% pentru orice perioadă, rate incorecte de răspuns DNS și compromiterea integrității sau confidențialității datelor de înregistrare a domeniilor stocate.

Articolul 6. Cerințe tehnice și metodologice

Articolul central. Impune entităților vizate să implementeze cerințele tehnice și metodologice stabilite în anexă. Măsurile trebuie să fie 'adecvate și proporționale' cu riscurile, ținând cont de dimensiunea entității, de expunere, de probabilitatea incidentelor și de impactul societal.

Articolul 7. Intrarea în vigoare

Regulamentul a intrat în vigoare în a douăzecea zi de la publicarea sa în Jurnalul Oficial (publicat la 17 octombrie 2024). Se aplică direct în toate statele membre, fără a fi necesară transpunerea națională.

Cele 10 domenii de măsuri (anexa CIR)
Anexa organizează cerințele tehnice și metodologice în 10 domenii care reflectă §30(2) BSIG. Fiecare domeniu conține subcerințe detaliate, cu criterii specifice de implementare.
1

Politică privind securitatea rețelelor și a sistemelor informatice

Impune o politică de securitate documentată, aprobată de conducere, revizuită cel puțin anual și actualizată după incidente sau modificări semnificative. Trebuie să definească rolurile, responsabilitățile și cadrul pentru toate măsurile ulterioare. Trebuie să includă o politică de acceptare a riscurilor și dovezi ale angajamentului conducerii.

2

Gestionarea riscurilor

Impune o metodologie documentată de evaluare a riscurilor, identificarea riscurilor care acoperă toate activele și procesele critice, analiza riscurilor cu evaluarea probabilității și a impactului, tratarea riscurilor cu decizii documentate (acceptare, atenuare, transfer, evitare) și acceptarea riscului rezidual de către conducere. Trebuie revizuită la intervale planificate și după modificări semnificative.

3

Gestionarea incidentelor

Impune proceduri de detectare, clasificare, răspuns și recuperare în caz de incidente. Trebuie să definească rolurile și responsabilitățile pentru gestionarea incidentelor, să stabilească canale de comunicare, să includă o analiză post-incident (lecții învățate) și să mențină jurnale de incidente. Detectarea trebuie să includă monitorizarea anomaliilor și a indicatorilor de compromitere cunoscuți.

4

Continuitatea activității și gestionarea crizelor

Impune o analiză a impactului asupra activității, planuri de continuitate pentru serviciile critice, proceduri de backup și recuperare cu capacități de restaurare testate și proceduri de gestionare a crizelor. Integritatea backupului trebuie verificată periodic. Obiectivele privind timpul de recuperare trebuie definite și testate. Planurile trebuie revizuite după incidente sau modificări semnificative.

5

Securitatea lanțului de aprovizionare

Impune o politică de securitate a lanțului de aprovizionare, evaluarea practicilor de securitate cibernetică ale furnizorilor direcți, cerințe contractuale de securitate pentru produsele și serviciile TIC și monitorizarea poziției de securitate a furnizorilor pe durata contractului. Trebuie luate în considerare riscurile specifice lanțului de aprovizionare, inclusiv cele care decurg din propriul lanț de aprovizionare al furnizorului.

6

Securitate în achiziție, dezvoltare și întreținere

Impune un ciclu de viață de dezvoltare securizată pentru dezvoltarea internă, cerințe de securitate pentru produsele și serviciile TIC achiziționate, gestionarea configurației, proceduri de gestionare a modificărilor și testarea securității (inclusiv scanarea vulnerabilităților și testarea de penetrare, după caz). Trebuie să acopere întregul ciclu de viață, de la achiziție până la scoaterea din uz.

7

Criptografie

Impune o politică privind utilizarea criptografiei, inclusiv selectarea algoritmilor criptografici și a lungimilor cheilor adecvate clasificării datelor, proceduri de gestionare a cheilor (generare, distribuție, stocare, rotație, revocare, distrugere) și revizuirea periodică a implementărilor criptografice în raport cu cele mai bune practici actuale și vulnerabilitățile cunoscute.

8

Controlul accesului și gestionarea activelor

Impune o politică de control al accesului bazată pe cerințe de afaceri și de securitate, gestionarea identității cu identificarea unică a utilizatorilor, proceduri de acordare și de retragere a accesului, gestionarea accesului privilegiat și un inventar al activelor care acoperă toate componentele rețelelor și sistemelor informatice. Drepturile de acces trebuie revizuite la intervale planificate.

9

Autentificare multifactorială și comunicare securizată

Impune autentificarea multifactorială sau autentificarea continuă pentru accesul la sistemele critice și pentru accesul la distanță. Trebuie stabilite canale de comunicare securizate pentru scenariile de urgență și de rezervă. Comunicările vocale, video și text utilizate pentru răspunsul la incidente trebuie protejate împotriva interceptării.

10

Conștientizare și instruire în domeniul securității cibernetice

Impune programe periodice de conștientizare în domeniul securității cibernetice pentru întreg personalul, instruire specifică rolului pentru personalul cu responsabilități de securitate și instruirea conducerii privind guvernanța securității cibernetice. Instruirea trebuie să acopere politicile de securitate ale entității, amenințările frecvente, procedurile de raportare a incidentelor și responsabilitățile specifice ale personalului.

CIR, Directiva NIS2 și BSIG. Cum se îmbină
Înțelegerea ierarhiei juridice este esențială pentru planificarea conformității.

Directiva NIS2 (UE) 2022/2555 este legislația-cadru. Aceasta stabilește cadrul, obligațiile și regimul de aplicare la nivelul UE. Statele membre au fost obligate să o transpună în legislația națională până la 17 octombrie 2024. Transpunerea Germaniei este NIS2UmsuCG, care modifică BSIG. BSIG conține acum toate obligațiile NIS2 în legislația germană, inclusiv §30 (măsuri de securitate cibernetică) și §32 (raportarea incidentelor).

CIR 2024/2690 este un regulament UE direct aplicabil. Nu necesită transpunere și are prioritate față de dispozițiile naționale contradictorii. Acolo unde CIR specifică o cerință tehnică, acea cerință se aplică direct, indiferent dacă BSIG o tratează sau nu. Pentru tipurile de entități enumerate la articolul 1, CIR este standardul principal de conformitate.

Pentru entitățile care NU sunt enumerate direct la articolul 1 din CIR, dar care intră totuși sub incidența NIS2 (de exemplu, furnizorii de energie, asistența medicală, transporturile), CIR servește drept referința cea mai autoritară pentru aspectul măsurilor 'adecvate și proporționale'. Se preconizează că instanțele germane și BSI vor face trimitere la specificațiile tehnice ale CIR atunci când vor evalua dacă măsurile unei companii îndeplinesc standardul §30 BSIG, chiar dacă CIR nu obligă în mod formal acele entități.

Surse
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024. Jurnalul Oficial al Uniunii Europene, OJ L 2024/2690
  • EUR-Lex. Textul integral al CIR 2024/2690 (CELEX: 32024R2690)
  • Directiva (UE) 2022/2555 (Directiva NIS2). Jurnalul Oficial al Uniunii Europene
  • ENISA. Orientări tehnice privind măsurile de implementare NIS2 (2024)
  • secuvera GmbH. Analiza cerințelor CIR 2024/2690 și corelarea cu ISO 27001 (2024)
  • BSIG. §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), astfel cum a fost modificat prin NIS2UmsuCG
Implementați cerințele CIR în mod sistematic
Platforma corelează fiecare cerință din anexa CIR cu sarcini structurate, cu încărcări de dovezi, urmărirea termenelor și aprobări ale conducerii. Transformă un regulament de 30 de pagini în pași de conformitate aplicabili.
Începeți procesul de conformitate NIS2