Rețeaua CSIRT și EU-CyCLONe în temeiul articolelor 15 și 16
NIS 2 construiește două rețele de cooperare transfrontalieră. Rețeaua CSIRT gestionează răspunsul tehnic la incidente între CSIRT-urile naționale. EU-CyCLONe gestionează coordonarea politică atunci când o criză cibernetică depășește granițele unei singure țări. Ambele au ENISA drept secretariat.
Pe scurt
NIS 2 face două lucruri simultan. Le spune entităților vizate să raporteze incidentele către CSIRT-ul lor național sau către autoritatea competentă. De asemenea, le spune statelor membre să comunice între ele atunci când un incident traversează granițele sau amenință mai mult de o țară. Partea de comunicare reciprocă este ceea ce instituie articolele 15 și 16.
Articolul 15 creează Rețeaua CSIRT. Este stratul tehnic și operațional. CSIRT-urile naționale (în Germania: CERT-Bund la BSI) plus CERT-EU fac parte din ea. Acestea fac schimb de date privind amenințările, coordonează răspunsul la incidente transfrontaliere și partajează instrumente. ENISA conduce secretariatul.
Articolul 16 creează EU-CyCLONe, Rețeaua europeană de organizații de legătură pentru crizele cibernetice. Este stratul politic. Autoritățile statelor membre pentru gestionarea crizelor cibernetice (în Germania: Ministerul Federal de Interne) fac parte din ea. Acestea coordonează răspunsul politic la incidentele de amploare. ENISA conduce, de asemenea, secretariatul. Aceeași agenție, două straturi.
Articolul 15(1) și articolul 16(1) din Directiva NIS 2 (2022/2555)
Pentru a contribui la dezvoltarea încrederii între statele membre și pentru a promova o cooperare operațională rapidă și eficace, se instituie o rețea de CSIRT-uri naționale. […] Pentru a sprijini gestionarea coordonată a incidentelor și a crizelor de securitate cibernetică de amploare la nivel operațional și pentru a asigura schimbul periodic de informații relevante între statele membre și instituțiile, organele, oficiile și agențiile Uniunii, se instituie o rețea europeană de organizații de legătură pentru crizele cibernetice (EU-CyCLONe).
Două articole adiacente. Două rețele. Articolul 15 se află pe nivelul operațional. Articolul 16 se află pe nivelul politic. Directiva instituie ambele organisme direct. Nu este nevoie de o legislație UE suplimentară pentru ca acestea să existe.
N/A. Instituții la nivel de articol
Nu există un regulament de punere în aplicare care să precizeze mai detaliat Rețeaua CSIRT sau EU-CyCLONe.
Spre deosebire de articolul 21(2) (pe care CIR îl detaliază), articolele 15 și 16 sunt autoexecutabile. Rețelele și-au publicat propriile regulamente de procedură, dar acelea sunt documente de lucru, nu legislație UE. Ce contează pentru entitățile vizate este cine sunt omologii lor naționali, nu procedurile interne de funcționare ale rețelelor.
Desemnarea CSIRT-ului național în temeiul art. 10 NIS 2 + autoritatea națională pentru crizele cibernetice
Germania: CERT-Bund (la BSI) este CSIRT-ul național desemnat în Rețeaua din articolul 15. Ministerul Federal de Interne (BMI) reprezintă Germania în EU-CyCLONe.
Fiecare stat membru numește un CSIRT național în temeiul articolului 10 NIS 2 și numește autoritatea responsabilă de gestionarea crizelor cibernetice. Pentru Germania, BSIG confirmă BSI ca autoritate națională și CERT-Bund ca CSIRT național. Reprezentantul de nivel politic în EU-CyCLONe este BMI.
Rețeaua CSIRT: cooperare operațională
Rețeaua face schimb de informații privind capacitățile CSIRT, partajează instrumente și proceduri, schimbă date privind incidentele și amenințările, coordonează răspunsul la incidentele transfrontaliere, sprijină statele membre în cazul incidentelor care le afectează și alimentează divulgarea coordonată a vulnerabilităților în temeiul articolului 12. Muncă tehnică între echipe tehnice.
EU-CyCLONe: coordonare politică
EU-CyCLONe construiește pregătirea pentru gestionarea incidentelor și a crizelor de securitate cibernetică de amploare, dezvoltă o imagine situațională comună, evaluează consecințele și propune modul de remediere a acestora, coordonează răspunsul politic și (la cererea unui stat membru) discută planurile naționale de răspuns la incidentele de amploare. Muncă politică între reprezentanți politici.
Când stratul operațional escaladează la stratul politic
Incidentele transfrontaliere mici sau de rutină rămân în Rețeaua CSIRT. Incidentele de amploare care necesită decizii la nivel ministerial (impact transsectorial, comunicații publice, declarații la nivelul UE) escaladează la EU-CyCLONe. Cele două rețele sunt concepute să își transfere reciproc munca, cu ENISA drept secretariat de legătură.
Tehnicul și politicul sunt sarcini diferite
Un analist CSIRT care partajează semnături de programe malware peste granițe are o sarcină diferită de cea a unui consilier ministerial care informează un cabinet dacă să atribuie un atac unui actor statal. NIS 2 îi ține în rețele separate în mod intenționat. Amestecarea celor două straturi este modul în care încetiniți răspunsul tehnic și înghesuiți luarea deciziilor politice.
ENISA ca țesut conector
ENISA conduce secretariatul pentru ambele rețele. Aceeași agenție, aceeași clădire, aceeași conștientizare situațională. Aceasta este alegerea deliberată de proiectare a UE: a ține cele două straturi de cooperare separate din punct de vedere structural, dar a se asigura că ele împărtășesc o imagine operațională comună. Fără aceasta, stratul politic ar reacționa pe baza unor informații învechite.
CERT-Bund (BSI) + BMI
CERT-Bund la BSI este CSIRT-ul național al Germaniei în Rețeaua din articolul 15. Ministerul Federal de Interne (BMI) reprezintă Germania în EU-CyCLONe. Pentru o entitate vizată, contactul practic este BSI. Stratul politic rulează deasupra capului dvs., dar deciziile sale pot influența ce vă spune BSI să faceți.
ENISA ca secretariat pentru ambele rețele
ENISA, agenția UE pentru securitate cibernetică, asigură secretariatul pentru Rețeaua CSIRT și pentru EU-CyCLONe. Ea produce documente de orientare care reies din ambele rețele (manuale de răspuns la incidente, rapoarte privind amenințările, rapoarte de exercițiu). Acele publicații alimentează la rândul lor orientări naționale precum Infopakete ale BSI.
CSIRT-uri naționale + autorități naționale pentru crizele cibernetice
Fiecare stat membru numește câte unul. Țările de Jos: NCSC-NL în Rețeaua CSIRT, Ministerul Justiției și Securității în EU-CyCLONe. Austria: GovCERT Austria în Rețea, Cancelaria Federală la nivelul politic. Structura este identică în întreaga UE; agențiile diferă de la o țară la alta.
Rețeaua CSIRT gestionează tot ce ține de domeniul cibernetic la nivelul UE.
Nu este așa. Rețeaua CSIRT este stratul operațional și tehnic. Incidentele de amploare care necesită coordonare politică (comunicații transsectoriale, decizii de atribuire, informări ministeriale) escaladează la EU-CyCLONe. Două rețele, două straturi, prin concepție.
EU-CyCLONe este o autoritate de reglementare căreia îi raportăm.
Nu este. EU-CyCLONe este un organism de coordonare între autoritățile statelor membre. Nu reglementează entitățile vizate. Nu primește rapoarte de incidente. Raportarea în temeiul articolului 23 NIS 2 merge la CSIRT-ul dvs. național sau la autoritatea competentă. EU-CyCLONe operează cu un nivel deasupra acestuia, între guverne.
Depunem rapoartele de incidente la Rețeaua CSIRT.
Nu o faceți. Articolul 23 NIS 2 spune că raportați către CSIRT-ul dvs. național sau către autoritatea competentă. În Germania, aceasta este BSI. CSIRT-ul național partajează apoi informațiile relevante cu Rețeaua CSIRT acolo unde este necesară coordonarea transfrontalieră. Rețeaua este omologul CSIRT-ului dvs., nu al dvs.
Pentru un Stadtwerk sau un operator IT din Mittelstand, punctul de contact practic este CSIRT-ul dvs. național. În Germania, acesta este CERT-Bund la BSI. Le raportați incidentele în temeiul articolului 23 NIS 2, le citiți avizele, îi sunați când ceva ia foc. Rețeaua CSIRT și EU-CyCLONe rulează în spatele acelei interfețe.
De ce aceste rețele contează totuși pentru dvs.: când lovește un incident transfrontalier (gândiți-vă la un atac asupra lanțului de aprovizionare care afectează cincisprezece țări simultan), coordonarea care are loc la nivelul Rețelei CSIRT este ceea ce face ca răspunsul CSIRT-ului dvs. național să fie coerent cu restul UE. Iar coordonarea politică la nivelul EU-CyCLONe este ceea ce determină dacă răspunsul se oprește la limitarea tehnică sau devine o declarație publică. Ambele influențează sfatul pe care îl primiți în cele din urmă.
Modulul de incidente direcționează notificările către CSIRT-ul dvs. național în temeiul articolului 23 (în Germania: BSI). Nu interacționați direct cu Rețeaua CSIRT sau cu EU-CyCLONe; CSIRT-ul național este unicul dvs. omolog pentru raportarea incidentelor. Platforma se ocupă de termene (avertizare timpurie 24h, notificare 72h, raport final într-o lună).
Stratul nostru de referință aduce la suprafață publicațiile și documentele de orientare ENISA care reies din activitatea Rețelei CSIRT. Avize privind amenințările, rapoarte comune, constatări ale exercițiilor: acestea alimentează modul în care interpretăm 'adecvat și proporțional' în temeiul articolului 21(1). Nu trebuie să le urmăriți singur.
- Directiva (UE) 2022/2555 (NIS 2), articolele 15 și 16. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 10 (desemnarea CSIRT) și articolul 23 (raportarea incidentelor)
- Site-ul ENISA privind Rețeaua CSIRT și EU-CyCLONe. enisa.europa.eu
- Legea BSI (BSIG), CERT-Bund ca CSIRT național în temeiul §5 BSIG
- Procedurile standard de operare EU-CyCLONe (rezumate public de ENISA)