NIS2 si IT-Grundschutz
§44(2) BSIG ofera o scurtatura juridica: implementarea IT-Grundschutz este recunoscuta in Germania ca dovada de conformitate NIS2.
Lantul juridic
Companiile germane au un avantaj unic fata de omologii lor europeni cand vine vorba de conformitatea NIS2. In timp ce companiile din Franta, Italia sau Olanda trebuie sa lucreze direct cu Directiva NIS2 si cu Regulamentul de punere in aplicare al UE, companiile germane pot folosi IT-Grundschutz, o metodologie bine stabilita, intretinuta de BSI, care a fost standardul pentru securitatea informatiilor in Germania de peste 25 de ani.
§44(2) BSIG ofera scurtatura juridica: companiile care implementeaza IT-Grundschutz pot folosi acest lucru ca dovada de conformitate NIS2. Nu este o indrumare informala. Este codificata in Legea federala privind securitatea cibernetica. BSI insusi dezvolta si intretine atat cadrul Grundschutz, cat si regimul de aplicare NIS2, asigurand alinierea prin proiectare.
Aceasta pagina prezinta intregul lant juridic, de la Directiva NIS2 a UE, prin transpunerea germana, pana la metodologia practica de implementare. Intelegerea acestui lant este esentiala pentru orice responsabil de conformitate: va spune exact ce cerinte vin de unde, de ce exista si cum sa le indepliniti cu dovezi documentate.
Directiva NIS2
Directiva UE 2022/2555, cadrul de securitate cibernetica la nivelul UE
BSIG
Legea federala germana privind securitatea cibernetica, transpune NIS2 in dreptul german
CIR 2024/2690
Regulamentul de punere in aplicare al UE, defineste masurile tehnice minime
IT-Grundschutz
Metodologia BSI, cadrul german consacrat pentru implementarea acestor masuri
§44(2) BSIG prevede ca respectarea cerintelor §30 BSIG poate fi demonstrata prin implementarea unor standarde recunoscute si face referire explicita la IT-Grundschutz ca atare standard. Aceasta inseamna ca, daca implementati Grundschutz conform metodologiei BSI-200-1 pana la BSI-200-4, aveti o baza recunoscuta juridic pentru a sustine conformitatea NIS2. Nu este o carte de scapare din inchisoare (tot aveti nevoie de dovezi), dar va ofera o metodologie clara, aprobata de BSI, pe care sa o urmati.
In practica, aceasta inseamna ca nu trebuie sa interpretati Directiva NIS2 sau CIR 2024/2690 de la zero. Grundschutz Kompendium asociaza deja cerintele tehnice unor Bausteine (module) si Anforderungen (cerinte) specifice. Cand BSI va auditeaza conformitatea NIS2, auditeaza in raport cu o metodologie pe care a creat-o el insusi, nu in raport cu o directiva UE abstracta. Aceasta aliniere elimina decalajul de interpretare care afecteaza companiile din alte state membre ale UE.
Pentru auditorii BSI, implementarea Grundschutz este teren familiar. Auditeaza Grundschutz de zeci de ani. Aceasta inseamna eficienta in audit: auditorii stiu exact ce dovezi sa astepte, terminologia este standardizata si metodologia este documentata in limba germana. Comparati acest lucru cu apararea unei abordari de conformitate ad-hoc fata de CIR in limba engleza. Avantajul practic este semnificativ.
CIR 2024/2690 (Regulamentul de punere in aplicare al Comisiei) a fost publicat la 17 octombrie 2024 si stabileste cerintele tehnice si metodologice pentru conformitatea NIS2 in intreaga UE. Se aplica direct (fara transpunere) si defineste masurile minime pe care toate entitatile esentiale si importante trebuie sa le implementeze. Acesta este podeaua, nu plafonul.
CIR obliga direct doar 11 tipuri specifice de entitati digitale: furnizorii de servicii DNS, registrele de nume TLD, serviciile de cloud computing, furnizorii de centre de date, retelele de distributie a continutului, serviciile gestionate, serviciile de securitate gestionate, pietele online, motoarele de cautare online, platformele de retele sociale si furnizorii de servicii de incredere. Totusi, §30 BSIG impune independent aceleasi 10 masuri (Art. 21(2) NIS-2) tuturor sectoarelor acoperite de NIS2 in Germania, astfel incat detaliul tehnic al CIR devine referinta de facto chiar si in afara domeniului sau direct de aplicare.
Grundschutz Kompendium acopera fiecare domeniu de masuri din CIR si merge mai departe prin Bausteine ale sale. Acolo unde CIR spune pe scurt sa implementati controlul accesului, Grundschutz specifica exact cum, de exemplu prin module precum ORP.4 (Identity and Access Management), cu indrumari pas cu pas pentru implementare. De aceea §44(2) BSIG recunoaste Grundschutz: este un superset al domeniilor de masuri CIR, nu doar un echivalent.
Recunoasterea de catre BSI
IT-Grundschutz este mentionat explicit in §44(2) BSIG ca standard recunoscut pentru demonstrarea conformitatii NIS2. Certificarea ISO 27001 va poate sustine cazul, dar nu este numita in mod specific in lege. Cand BSI este atat autorul cadrului, cat si autoritatea de aplicare, alinierea conteaza.
Acoperirea cerintelor
Grundschutz acopera fiecare domeniu de masuri din CIR 2024/2690 prin Bausteine din Kompendium si merge mai departe prin prescriptii. ISO 27001 acopera managementul securitatii informatiilor in linii mari, dar nu abordeaza in mod specific toate masurile §30 BSIG, in special termenele de raportare a incidentelor specifice NIS2 (§32 BSIG), cerintele privind lantul de aprovizionare (§30(2)(4) BSIG) si obligatiile organului de conducere (§38 BSIG). Ati avea nevoie de ISO 27001 plus completarea suplimentara a lacunelor.
Limba si metodologie
Grundschutz este dezvoltat in limba germana, de BSI, pentru organizatiile germane. Terminologia corespunde exact cu BSIG. ISO 27001 este un standard international publicat in limba engleza, cu o terminologie diferita si o metodologie mai putin prescriptiva. Pentru o companie germana de Mittelstand cu 100 de persoane, indrumarile concrete de implementare in limba germana ale Grundschutz sunt semnificativ mai practice decat obiectivele de control abstracte ale ISO 27001.
Avantaj la audit
Cand BSI va auditeaza conformitatea NIS2, prezentarea de dovezi structurate dupa Grundschutz inseamna ca auditorul vorbeste limba dumneavoastra. Metodologia, structura documentatiei si asteptarile privind dovezile sunt standardizate. Acest lucru se traduce in audituri mai rapide, mai putine neintelegeri si rezultate mai clare.
Aliniere cu BSI
BSI publica Grundschutz Kompendium, aplica conformitatea NIS2 si va poate inspecta implementarea in temeiul competentelor sale de supraveghere (§61 BSIG); certificarea formala este efectuata de auditori acreditati de BSI. Folosirea propriei metodologii a BSI asigura faptul ca interpretarea cerintelor de catre dumneavoastra corespunde cu cea a autoritatii de reglementare. Nu exista un decalaj de interpretare: aceeasi organizatie care defineste regulile ofera si manualul de joc.
Certitudine juridica
§44(2) BSIG confera implementarii Grundschutz statut juridic explicit ca dovada de conformitate. Aceasta este cea mai puternica pozitie juridica disponibila: urmati metodologia recunoscuta de lege insasi. Daca sunteti contestat, puteti indica o dispozitie legala specifica ce va valideaza abordarea, nu doar o practica recomandata de industrie sau o opinie de consultant.