Politica de criptografie conform Articolului 21(2)(h)
Criptarea traficului nu este același lucru cu a avea o politică de criptografie. Articolul 21(2)(h) NIS 2 cere politica. CIR §9 spune ce trebuie să fie în ea: alegerile de algoritmi, puterea cheilor, agilitate criptografică și un ciclu de viață al managementului cheilor în douăsprezece puncte.
Pe scurt
Criptografia în NIS 2 nu este controlul tehnic. Este politica scrisă care decide ce criptografie folosiți, unde și cum sunt îngrijite cheile. Articolul 21(2)(h) este un singur rând. CIR §9 transformă acel rând într-un document real cu secțiuni concrete.
Politica trebuie să facă trei lucruri. Să lege puterea criptografică de clasificarea activelor dvs. Să numească algoritmii, mărimile de chei și protocoalele aprobate, cu o abordare de agilitate criptografică astfel încât să poată fi înlocuite pe măsură ce stadiul tehnicii avansează. Și să acopere întregul ciclu de viață al managementului cheilor (CIR numește douăsprezece pași distincți de la generare la distrugere).
Germania pune aceeași obligație în §30(2)(8) BSIG. Ancora tehnică a BSI este seria TR-02102 (TR-02102-1 pentru algoritmi și lungimi de chei, TR-02102-2/-3/-4 pentru TLS, IPsec, SSH). Această pagină parcurge directiva, detaliul CIR și transpunerea germană, în această ordine.
Articolul 21(2)(h) Directiva NIS 2 (2022/2555)
Politici și proceduri privind utilizarea criptografiei și, dacă este cazul, a criptării.
Punctul (h) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică. 'Dacă este cazul' se aplică criptării (aplicarea), nu deținerii politicii (care este obligatorie).
CIR (UE) 2024/2690, Anexa §9
Entitățile relevante stabilesc, pun în aplicare și aplică o politică și proceduri privind criptografia, pentru a asigura utilizarea adecvată și eficace a criptografiei în vederea protejării confidențialității, autenticității și integrității datelor, în concordanță cu clasificarea activelor și a valorii entității și cu rezultatele evaluării riscurilor.
Pentru că acesta este un regulament (nu o directivă), este drept UE direct obligatoriu pentru sectoarele din Anexa sa (DNS, TLD-uri, cloud, centre de date, MSP-uri, servicii de încredere și altele). §9.2 precizează cele trei secțiuni pe care politica trebuie să le conțină, §9.3 stabilește o obligație de revizuire periodică cu agilitatea criptografică în minte.
§30(2)(8) BSIG (Germania)
Concepte și proceduri privind utilizarea criptografiei și, dacă este cazul, a criptării.
Germania copiază textul UE aproape cuvânt cu cuvânt. Referința tehnică a BSI este TR-02102 (seria care numește algoritmii aprobați, lungimile de chei și configurațiile de protocol). Modulul IT-Grundschutz CON.1 (Krypto-Konzept) oferă tiparul de implementare.
Corelați puterea criptografică cu clasificarea activelor
Pentru fiecare clasă de date sau active (confidențialitate, autenticitate, integritate, după nivelul de sensibilitate), politica numește tipul, puterea și calitatea măsurilor criptografice utilizate. Legătura cu inventarul de active și cu evaluarea riscurilor din §2.1 este explicită. Datele de valoare mai mare primesc criptografie mai puternică. Regula trebuie scrisă, nu improvizată.
Algoritmi aprobați, puterea cheilor, agilitate criptografică
Politica listează protocoalele, algoritmii, puterea cheilor și procedurile de management al cheilor pe care le permiteți și le exclude pe cele pe care nu le permiteți. CIR numește asta în mod explicit ca 'o abordare de agilitate criptografică, dacă este cazul': algoritmii trebuie să fie înlocuibili pe măsură ce stadiul tehnicii avansează. Algoritm nou, mărime de cheie nouă, versiune nouă de protocol: politica susține înlocuirea, nu rescrierile.
Ciclul de viață al managementului cheilor în douăsprezece puncte
CIR §9.2(c) numește douăsprezece pași concreți de management al cheilor: (i) generarea, (ii) emiterea certificatelor pentru cheile publice, (iii) distribuirea și activarea, (iv) stocarea și accesul autorizat, (v) modificarea sau actualizarea, (vi) gestionarea cheilor compromise, (vii) revocarea, (viii) recuperarea cheilor pierdute sau deteriorate, (ix) copierea de rezervă și arhivarea, (x) distrugerea, (xi) jurnalizarea și auditul, (xii) datele de activare și dezactivare. Toate douăsprezece în politică.
Clasificarea activelor determină adâncimea criptografică (proporționalitate Art. 21(1))
Nu folosiți AES-256 cu chei susținute de HSM pentru orice. Potriviți criptografia cu valoarea și expunerea activului. Baza de date de clienți cu date cu caracter personal, evidențe financiare, cod sursă: nivel înalt. Șabloane interne și notițe de ședință: nivel scăzut. Articolul 21(1) spune că măsurile trebuie să fie 'corespunzătoare riscului prezentat'. CIR §9.2(a) integrează acea legătură în politică.
Agilitate criptografică: revizuiți și înlocuiți (CIR §9.3)
CIR §9.3 spune că revizuiți politica la intervale planificate și o actualizați 'dacă este cazul, ținând cont de stadiul tehnicii în criptografie'. Asta este agilitatea criptografică în două cuvinte. SHA-1 era bun, apoi nu mai era. RSA-1024 era bun, apoi nu mai era. Era post-cuantică vine pentru RSA și ECC în următorul deceniu. Politica trebuie să susțină înlocuirea, nu doar să descrie ce folosiți azi.
BSI / §30(2)(8) BSIG / TR-02102
Germania transpune Articolul 21(2)(h) prin §30(2)(8) BSIG. Ancora tehnică este seria TR-02102 a BSI: TR-02102-1 pentru algoritmi criptografici și lungimi de chei, TR-02102-2 pentru TLS, -3 pentru IPsec, -4 pentru SSH. Modulul IT-Grundschutz CON.1 (Krypto-Konzept) este blocul de construcție care operaționalizează o politică. Auditorii se așteaptă să citați TR-02102 sau să explicați de ce alegerea dvs. este cel puțin la fel de puternică.
Ghidul tehnic de implementare ENISA
Ghidul tehnic de implementare al ENISA pentru CIR acoperă §9 și îl corelează cu ISO/IEC 27001:2022 (A.8.24 Utilizarea criptografiei), NIST CSF 2.0, ETSI EN 319 401 și CEN/TS 18026. Dacă rulați deja ISO 27001, controalele sunt în mare parte acolo. NIS 2 vrea totuși politica structurată în modul în care o listează §9.2.
Legi naționale de transpunere
Fiecare stat membru are propria transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația este aceeași pentru că directiva stabilește un singur standard la nivelul UE. Referința tehnică națională diferă: ANSSI în Franța publică RGS, îndrumarea aliniată cu ENISA este reutilizată în Țările de Jos. Structura politicii nu se schimbă.
Avem TLS peste tot, deci am terminat.
Criptarea în tranzit este o felie din politică. CIR §9.2(c) vrea întregul ciclu de viață al managementului cheilor în scris: cum sunt generate cheile, unde se află, cum sunt rotite, ce se întâmplă când una este compromisă, cine le poate recupera, când sunt distruse. Dacă acele douăsprezece puncte nu sunt pe hârtie, politica nu este terminată, indiferent cât de mult TLS ați implementat.
Folosim ce livrează furnizorul nostru.
Entitatea rămâne răspunzătoare. §30 BSIG și Articolul 21 nu transferă obligația către furnizor. Dacă furnizorul dvs. SaaS folosește AES-128 și ați clasificat acele date ca având confidențialitate înaltă, asta este problema dvs. de remediat în politică sau în contract. Politica trebuie să numească ce acceptați, nu doar ce a apărut în configurația implicită.
Managementul cheilor este problema IT-ului.
Managementul cheilor este guvernanță. Politica este aprobată de organul de conducere (Art. 20 plus tiparul de aprobare al organului de conducere care străbate Articolul 21). Când o cheie este compromisă, răspunsul trece prin procesul de incidente conform Articolului 23. Când se acordă accesul la o cheie de valoare înaltă, este jurnalizat. IT-ul rulează controalele; conducerea deține politica.
Ce vedem în Mittelstand-ul german: criptarea în tranzit este de obicei în regulă (TLS, VPN, S/MIME sau SMTP-TLS pentru poștă). Criptarea în repaus este neuniformă, dar recuperabilă. Lacuna reală este documentarea managementului cheilor. Cine are cheile master pentru VPN? Unde sunt copiate de rezervă cheile KMS din cloud? Ce se întâmplă cu certificatul de criptare al unui plecat? Majoritatea echipelor știu răspunsurile; răspunsurile nu sunt notate.
Abordare în doi pași care rezistă la audit. Mai întâi, scrieți politica: niveluri de active, algoritmi aprobați (citați TR-02102 sau ENISA TIG), ciclul de viață al managementului cheilor acoperind toate cele douăsprezece puncte §9.2(c), aprobare de către organul de conducere. Apoi corelați politica cu sistemele pe care le rulați deja (KMS cloud, autoritate de certificare, VPN, poștă, criptarea fișierelor). Majoritatea controalelor există. Lista de verificare §9.2(c) este artefactul pe care îl cer auditorii.
Oferim un șablon de politică de criptografie care este structurat conform CIR §9.2(a), (b) și (c). Porniți de la șablon, numiți nivelurile dvs. de active, alegeți algoritmi dintr-o listă aliniată cu TR-02102 și parcurgeți ciclul de viață al cheilor în douăsprezece puncte. Rezultatul este un document semnat care se corelează direct cu subpunctele CIR la care va face referire un auditor.
Inventarul de chei din modulul CRY listează cheile după scop (TLS, semnare, criptare, cod), după sistem, după proprietar, după data de activare și dezactivare. CIR §9.2(c)(xi) (jurnalizare) și §9.2(c)(xii) (datele de activare/dezactivare) devin un tabel, nu un exercițiu de memorie. Revizuiți politica anual; platforma programează revizuirea §9.3 și urmărește aprobarea.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(h). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §9. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §30(2)(8) astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- Seria BSI TR-02102 (Mecanisme criptografice: recomandări și lungimi de chei). bsi.bund.de/dok/tr-02102
- IT-Grundschutz Kompendium, modulul CON.1 (Krypto-Konzept). bsi.bund.de/grundschutz
- Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690, corelare cu ISO/IEC 27001:2022 A.8.24