Art. 21 NIS 2 + §30 BSIG + BSI 200-1

Ce este un ISMS si am nevoie de unul pentru NIS 2?

Un ISMS nu este o bucata de software. Este modul in care organizatia voastra decide, ruleaza si imbunatateste controalele sale de securitate. NIS 2 nu foloseste niciodata cuvantul, dar art. 21(2) cere exact ceea ce face un ISMS.

Simon OrzelSimon Orzel·

De ce gresesc oamenii asta

ISMS este unul dintre cele mai gresit folosite cuvinte in discutiile despre NIS 2. Cea mai frecventa confuzie este tratarea lui ca pe un instrument de cumparat. Nu este. Un ISMS este modul in care o organizatie gestioneaza securitatea informatiei: cum se decid politicile, cum se evalueaza riscurile, cum se aleg controalele, cum se gestioneaza incidentele, cum se revizuieste totul.

NIS 2 insusi nu foloseste niciodata 'ISMS' ca termen. Directiva vorbeste despre 'politici', 'masuri', 'gestionarea riscurilor' si 'guvernanta'. Art. 21(2) enumera zece cerinte care impreuna descriu exact ce face un ISMS. ISO 27001 numeste acelasi lucru 'un sistem de management al securitatii informatiei'. IT-Grundschutz il numeste 'Informationssicherheitsmanagementsystem'. Substanta este identica.

Intrebarea practica nu este daca aveti un ISMS, ci cata greutate are. Un Mittelstand de 60 de persoane care functioneaza pe o politica de o pagina, plus un registru mic de risc, plus o intalnire anuala de revizuire poate satisface NIS 2. O banca de 6000 de persoane nu poate. Ambele ruleaza un ISMS; unul este doar mai greu decat celalalt.

Unde il cere NIS 2 fara a-l numi
Trei carlige textuale. Doua in directiva, unul in IT-Grundschutz care le operationalizeaza pe ambele.

Art. 21(1) si 21(2) NIS 2

Statele membre se asigura ca entitatile esentiale si importante iau masuri tehnice, operationale si organizationale adecvate si proportionale pentru a gestiona riscurile. Masurile includ cel putin urmatoarele: politici privind analiza riscurilor si securitatea sistemelor informatice; gestionarea incidentelor; continuitatea activitatii; securitatea lantului de aprovizionare; securitatea in achizitia de retele si sisteme informatice; politici si proceduri de evaluare a eficacitatii masurilor de gestionare a riscurilor de securitate cibernetica; practici de baza de igiena cibernetica si instruire; criptografie; securitatea resurselor umane, politici de control al accesului si gestionarea activelor; utilizarea autentificarii multifactoriale.

Citite impreuna, cele zece puncte descriu un sistem de management. 'Politici', 'proceduri', 'evaluarea eficacitatii': acelea sunt verbe de ISMS. NIS 2 nu cere certificarea ISO 27001, dar cere substanta pe care o acopera ISO 27001.

§30 BSIG (transpunerea germana a art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Transpunerea germana foloseste 'geeignete, verhältnismäßige und wirksame': adecvate, proportionale si eficiente. Eficiente este cuvantul care face sistemul de management necesar: nu puteti arata eficienta decat daca masurati si revizuiti.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

Cea mai scurta definitie juridica a unui ISMS in germana. Este ansamblul de reguli care guverneaza modul in care securitatea informatiei este coordonata si supravegheata. Nu un instrument, nu un proiect, nu un audit unic. Un mod de a lucra.

Patru elemente care fac dintr-un ISMS un ISMS
Fie ca il numiti ISMS, ISO 27001, IT-Grundschutz sau 'programul nostru de securitate', patru elemente trebuie sa fie prezente.

Domeniu definit

Ce parti ale organizatiei acopera ISMS-ul, care sunt limitele, ce este explicit in afara. Fara domeniu, fiecare discutie deviaza.

Politica documentata

O politica scrisa de securitate a informatiei semnata de organul de conducere. O pagina este suficienta pentru o entitate mica. Ea angajeaza organizatia fata de principii specifice si atribuie responsabilitatea.

Decizii bazate pe risc

Controalele sunt alese pentru ca abordeaza riscuri identificate, nu pentru ca apar pe o lista de bifat. Registrul de risc este legatura de la inventar la control.

Revizuire periodica

Cel putin anual. Organul de conducere se uita la ce a functionat, ce nu, ce s-a schimbat in peisajul amenintarilor. Un ISMS static nu este un ISMS, este o fotografie.

Trei lucruri care nu sunt un ISMS
Cele mai multe neintelegeri conduse de achizitii vin dintr-unul dintre acestea.

Nu un instrument software

Instrumentele sprijina un ISMS, nu il inlocuiesc. Puteti rula un ISMS adecvat intr-un dosar; nu puteti inlocui deciziile de guvernanta cu un abonament SaaS.

Nu un proiect unic

Configurarea ISMS-ului este un proiect. Rularea lui este munca continua. Revizuirea anuala este momentul care transforma un livrabil de proiect intr-un sistem.

Nu acelasi lucru cu un audit

Auditurile testeaza daca ISMS-ul functioneaza. Ele nu constituie ISMS-ul. Un audit fara un sistem de management subiacent nu are ce sa testeze.

Aveti nevoie de un ISMS pentru NIS 2?

Daca entitatea voastra este in domeniul de aplicare al NIS 2, substanta unui ISMS este obligatorie indiferent de cum il numiti. Fara o politica documentata, decizii bazate pe risc si un ciclu de revizuire, nu puteti demonstra ca masurile in temeiul art. 21(2) sunt 'adecvate, proportionale si eficiente', asa cum cere §30 BSIG.

Ce nu este obligatoriu este certificarea ISO 27001. Multi auditori o asteapta deoarece este cea mai recunoscuta dovada, dar un ISMS construit pe cont propriu, aliniat la IT-Grundschutz sau la un standard sectorial, este la fel de valabil. Alegeti standardul pe care il puteti sustine, nu cel care arata cel mai greu pe un slide.

Construiti un ISMS minimal in patru artefacte
Patru documente sunt limita inferioara absoluta pentru un Mittelstand de 60 de persoane. Fiecare incape pe o pagina.

1. Declaratie de domeniu

Care entitati juridice, care sedii, care servicii sunt acoperite. Un paragraf semnat de organul de conducere.

2. Politica de securitate a informatiei

Cinci pana la sapte principii. Exemple: clasificati datele dupa sensibilitate, restrictionati accesul de administrator la persoane numite, instruiti tot personalul anual, raportati incidentele in termenele convenite, revizuiti riscurile anual.

3. Registru de risc

Un rand per risc identificat. Descriere, probabilitate, impact, decizie de tratare, proprietar, data revizuirii. Zece pana la douazeci de randuri pentru o entitate mica.

4. Program de revizuire

Un document care spune ca organul de conducere revizuieste ISMS-ul o data pe an, cine participa, ce dovezi sunt prezentate. Fara acesta, ISMS-ul este decoratie.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), art. 21(1) si 21(2), www.eur-lex.europa.eu
  • Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §30, www.gesetze-im-internet.de
  • BSI IT-Grundschutz Standard BSI 200-1, §3 (definitia ISMS), www.bsi.bund.de
  • ISO/IEC 27001:2022 (standard international de ISMS, voluntar in temeiul NIS 2)

Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Nu constituie consultanta juridica in sensul §2 RDG. Pentru cazuri specifice consultati un avocat admis in barou. La data de 2026-06-04.

Incepeti cu cele patru artefacte minimale
Platforma produce sabloane editabile de domeniu, politica, registru de risc si program de revizuire, adaptate cerintelor NIS 2.
Conectati-va la platforma