NIS 2 pentru organul de conducere în cinci minute
NIS 2 nu este un subiect de IT. Articolul 20 din Directiva (UE) 2022/2555 pune obligația de securitate cibernetică pe organul de conducere al fiecărei entități esențiale și importante, prin denumire. Această pagină este versiunea scurtă de care are nevoie un director general sau un membru al consiliului înainte de luni dimineață.
De ce se află acest lucru pe biroul dumneavoastră
Dacă faceți parte din organul de conducere al unei societăți pe care NIS 2 o acoperă, articolul 20 vă numește. Nu pe șeful IT, nu pe CISO, nu pe furnizorul extern de servicii. Directiva trasează o linie de la obligațiile de securitate cibernetică din articolul 21 direct la persoanele care semnează pentru societate.
Trei lucruri decurg de aici. Organul de conducere trebuie să aprobe măsurile de gestionare a riscurilor pe care societatea le pune în aplicare. Trebuie să supravegheze că acele măsuri sunt efectiv implementate. Iar membrii săi trebuie ei înșiși să urmeze instruire pentru a putea citi ceea ce aprobă. Directiva spune toate trei.
Germania transpune aceeași regulă în dreptul național prin §38 BSIG, care numește aceleași trei obligații una câte una și adaugă o clauză de răspundere personală. Cronometrul pentru toate acestea curge de la data de transpunere a directivei, 17 octombrie 2024.
Articolul 20(1) Directiva NIS 2 (2022/2555)
Statele membre se asigură că organele de conducere ale entităților esențiale și importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective în vederea respectării articolului 21, supraveghează implementarea acestora și pot fi trase la răspundere pentru încălcările articolului respectiv de către entități.
Articolul 20 este articolul de guvernanță al directivei. Alineatul 1 stabilește cele trei obligații ale organului de conducere: aprobare, supraveghere, pot fi trase la răspundere. Alineatul 2 adaugă obligația de instruire pentru organul de conducere însuși și cere entității să ofere instruire periodică întregului personal.
CIR (UE) 2024/2690, Anexă §1.1
Politica privind securitatea rețelelor și a sistemelor informatice stabilește abordarea entităților relevante privind gestionarea securității rețelelor și sistemelor lor informatice. Cadrul de gestionare a riscurilor menționat la punctul 2.1 identifică și prevede gestionarea riscurilor pentru securitatea rețelelor și a sistemelor informatice.
Regulamentul de punere în aplicare al Comisiei nu operaționalizează articolul 20 în sine. Operaționalizează măsurile din articolul 21 pe care organul de conducere trebuie să le aprobe în temeiul articolului 20(1). §1 este umbrela de politică, §2 cadrul de gestionare a riscurilor. Pentru furnizorii DNS, operatorii de cloud și de centre de date, MSP și celelalte sectoare numite în Anexa CIR, acesta este ceea ce aprobă organul de conducere.
§38 BSIG (Germania)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
Germania transpune articolul 20(1) în dreptul național prin §38 BSIG și numește destinatarul în mod explicit drept Geschäftsleiter, persoanele fizice care conduc entitatea. §38(2) adaugă că membrii organului de conducere răspund față de entitate pentru încălcările acestor obligații. §38(3) preia obligația de instruire. Celelalte state membre au legi paralele de transpunere (Cyberbeveiligingswet în NL, NISG în AT, NIS2-Wet în BE).
Confirmați dacă directiva se aplică
NIS 2 se aplică dacă entitatea se află în unul dintre sectoarele numite în Anexa I sau Anexa II și îndeplinește pragul de mărime (mijlocie astfel cum este definită în Recomandarea 2003/361/CE, deci 50 de angajați sau peste 10 milioane EUR cifră de afaceri). O mână de tipuri de entități sunt acoperite indiferent de mărime: prestatorii de servicii de încredere calificate, registrele de nume de domeniu de prim nivel, furnizorii de servicii DNS, administrația publică, furnizorii unici dintr-un stat membru. Prima sarcină a organului de conducere este să știe care dintre acestea se aplică.
Aprobați, supravegheați, instruiți-vă
Articolul 20(1) oferă organului de conducere două obligații operaționale: aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică pe care entitatea le pune în aplicare în temeiul articolului 21 și supraveghează implementarea acestora. Articolul 20(2) adaugă o a treia: urmați instruire dumneavoastră înșivă și faceți ca entitatea să ofere instruire periodică personalului. Toate trei obligațiile sunt numite pe organul de conducere. Niciuna nu se află la șeful IT.
Cronometrul curge de la 17 octombrie 2024
Articolul 41 NIS 2 a stabilit 17 octombrie 2024 ca dată până la care statele membre trebuiau să transpună directiva. De la acea dată, obligațiile din articolele 20, 21 și 23 se aplică entităților din domeniul de aplicare. Executarea națională rulează pe cronometre naționale (NIS2UmsuCG-ul Germaniei este întârziat, dar obligația la nivelul UE nu așteaptă legea națională). Practicienii tratează octombrie 2024 drept linia de start operațională.
Responsabilitatea este pe persoana fizică
Articolul 20(1) spune că organul de conducere 'poate fi tras la răspundere' pentru încălcările articolului 21 de către entitate. §38(2) BSIG transformă asta într-o pretenție de răspundere internă: membrii organului de conducere răspund față de entitatea însăși pentru încălcările obligațiilor din §38(1). Puteți delega execuția măsurilor de securitate cibernetică. Nu puteți delega aprobarea sau supravegherea. Directiva trasează linia la persoanele care semnează.
Proporționalitatea permite entității să se scaleze la riscul său
Articolul 21(1), al doilea paragraf, spune că măsurile trebuie să fie 'adecvate și proporționale' cu riscul cu care se confruntă entitatea. Șase factori intră în această decizie: expunerea entității, mărimea sa, probabilitatea unui incident, gravitatea impactului (inclusiv efectele societale și economice), stadiul actual al tehnologiei și costul implementării. Organul de conducere este cel care judecă acea decizie de proporționalitate și semnează pentru ea. De la un Stadtwerk cu 60 de persoane nu se așteaptă să cheltuiască ca o bancă.
BSI ca autoritate competentă
Bundesamt für Sicherheit in der Informationstechnik (BSI) este autoritatea germană competentă în temeiul §29 BSIG. Supraveghează măsurile de gestionare a riscurilor din §30 BSIG, operează canalul de raportare a incidentelor din §32 BSIG și operează portalul de înregistrare din §33 BSIG. Pentru organul de conducere, BSI este adresa pentru întrebări, înregistrări, notificări de incidente și audituri.
ENISA ca referință
Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) este agenția de securitate cibernetică valabilă la nivelul UE. Articolul 18 NIS 2 îi conferă un rol de raportare privind stadiul securității cibernetice. Publică și ghidul tehnic de implementare (TIG) pentru Regulamentul de punere în aplicare al Comisiei, inclusiv tabele de mapare pe ISO/IEC 27001:2022 și NIST CSF 2.0. ENISA nu supraveghează, dar auditorii și autoritățile naționale tratează ghidul său drept o interpretare rezonabilă.
Aufsichtsrat ca supraveghere paralelă
Dacă entitatea are un consiliu de supraveghere (Aufsichtsrat la o AG germană, Beirat la o GmbH mai mare), obligațiile NIS 2 ale organului de conducere rulează în paralel cu obligațiile existente ale consiliului de supraveghere din §111 AktG de a supraveghea conducerea. Consiliul de supraveghere nu poate lua articolul 20(1) de pe umerii organului de conducere, dar poate cere aceleași dovezi de aprobare și supraveghere pe care le așteaptă NIS 2, și majoritatea o fac.
Am delegat asta către IT.
Puteți delega execuția. Nu puteți delega aprobarea sau supravegherea. Articolul 20(1) numește organul de conducere drept cel care aprobă măsurile și supraveghează implementarea lor. §38 BSIG numește Geschäftsleiter drept destinatar. Șeful IT, CISO, furnizorul extern de servicii pot rula programul. Nu pot semna pentru el în numele dumneavoastră. Directiva trasează linia la persoanele care reprezintă juridic entitatea.
Să așteptăm până când legea națională este definitivă.
Articolul 20 se aplică de la data de transpunere, 17 octombrie 2024. NIS2UmsuCG-ul german este întârziat, dar obligația din directivă nu așteaptă legea națională. Regulamentul de punere în aplicare al Comisiei 2024/2690 este direct obligatoriu pentru domeniul său de aplicare sectorial din octombrie 2024, fără să aibă nevoie de transpunere deloc. Practicienii tratează octombrie 2024 drept linia de start operațională și își documentează etapizarea în temeiul proporționalității din articolul 21(1).
Securitatea cibernetică este o problemă de IT.
Articolul 20 o face în mod deliberat o problemă de guvernanță. Directiva pune obligația pe organul de conducere, nu pe funcția IT, deoarece costurile, deciziile de acceptare a riscului și compromisurile au sens doar la acel nivel. Echipa IT implementează măsurile. Organul de conducere deține imaginea de risc, semnează pentru riscul rezidual și este cel cu care auditorul și BSI discută despre el.
Ce vedem în Mittelstand-ul german: organul de conducere ține o sesiune de lucru în fiecare trimestru, parcurge registrul de riscuri, aprobă măsurile din articolul 21 care sunt în domeniul de aplicare pentru acea perioadă și documentează decizia de proporționalitate în două sau trei rânduri. Aceasta este forma operațională a articolului 20(1) pentru o entitate care nu are o echipă GRC dedicată.
Obligația de instruire din articolul 20(2) necesită mai puțin decât cred oamenii. Nu există niciun certificator acreditat de UE pentru instruirea organului de conducere în NIS 2. Înscrierea și o evidență de finalizare sunt pragul juridic. Un curs de două ore care acoperă structura directivei, propria imagine de risc a entității și rolul organului de conducere îndeplinește formularea. Ideea este că persoanele care semnează pot citi ceea ce semnează.
Platforma înregistrează cele trei obligații ale organului de conducere ca artefacte distincte. Aprobările rulează ca semnături validate în raport cu măsurile din articolul 21, cu numele persoanei fizice pe înregistrare. Supravegherea rulează prin vederea de panou care arată statutul de implementare, riscurile deschise și dovezile de eficacitate într-un singur loc. Evidențele de instruire se află pe profilul utilizatorului cu datele de înscriere și de finalizare.
Toate trei alimentează aceeași pistă de audit, astfel încât dovezile pe care le așteaptă articolul 20 (cine a aprobat ce, când, pe ce bază) sunt produse ca efect secundar al folosirii platformei. Cursul pentru CEO este inclus în platformă. Platforma este gratuită și open source, fără lock-in.
- Directiva (UE) 2022/2555 (NIS 2), Articolele 20, 21 și 41. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexă §1. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §29, §30, §32, §33 și §38. gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), §111. gesetze-im-internet.de/aktg
- Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690. enisa.europa.eu