Art. 21(2)(a) NIS 2 + CIR §2

Cum efectuezi o evaluare de risc NIS 2

Trei pași pe care UE îi cere: identifică, analizează, evaluează și tratează. O metodă scrisă. O aprobare a conducerii. Revizuită la intervale planificate și la schimbări semnificative. Această pagină îți arată cum arată fiecare componentă în practică.

Simon OrzelSimon Orzel·

Pe scurt

Articolul 21 alin. (2) lit. (a) NIS 2 spune că fiecare entitate esențială și importantă trebuie să ruleze o politică bazată pe analiza de risc. CIR (UE) 2024/2690 Anexa §2 o face concretă. Pui la punct un cadru de gestionare a riscurilor de securitate a informației. Îl folosești pentru a identifica, analiza, evalua și trata riscurile la adresa rețelelor și sistemelor tale informatice. Scrii criteriile pe care le folosești, iar organul de conducere le aprobă.

Metoda nu este inventată de tine. Poți folosi BSI Standard 200-3 (Germania), ISO/IEC 27005:2022 (echivalentul internațional) sau orice altă metodă recunoscută. Ce contează este să fie documentată, să acopere activele pe care le rulezi efectiv și să o revizuiești la intervale planificate, cel puțin anual, și ori de câte ori se schimbă ceva semnificativ.

Capcana în care cad majoritatea operatorilor: aleg un singur scenariu de amenințare, îl punctează și se opresc. O evaluare de risc este o metodă aplicată inventarului tău de active, nu un singur atelier. Parcurgem mai jos identificarea, analiza și evaluarea, apoi arătăm principiile care țin totul laolaltă.

Sursa juridică
Trei straturi suprapuse. Directiva (obligatorie pentru fiecare țară din UE). Regulamentul de punere în aplicare (drept al UE direct aplicabil pentru sectoarele numite în Anexă). Transpunerea națională (în Germania: BSIG).

Articolul 21 alin. (2) lit. (a) Directiva NIS 2 (2022/2555)

Politici privind analiza riscurilor și securitatea sistemelor informatice.

Punctul (a) de pe lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le implementeze. Directiva nu prescrie o metodă. Prescrie obligația.

CIR (UE) 2024/2690, Anexa §2

În sensul articolului 21 alin. (2) lit. (a) din Directiva (UE) 2022/2555, entitățile relevante stabilesc un cadru adecvat de gestionare a riscurilor de securitate a informației pentru a identifica, analiza, evalua și trata riscurile de securitate a informației. Entitățile relevante revizuiesc și, după caz, actualizează cadrul la intervale planificate și cel puțin anual, precum și atunci când au loc schimbări semnificative.

Întrucât acesta este un regulament (nu o directivă), este drept al UE direct obligatoriu. CIR Anexa §2 leagă totodată cadrul de inventarul de active conform §12 CIR. Cele patru verbe identifică, analizează, evaluează, tratează vin direct din textul UE.

§30 alin. (2) pct. 1 BSIG (Germania)

Politici privind analiza riscurilor și securitatea tehnologiei informației.

Germania copiază textul UE aproape cuvânt cu cuvânt. Standardele BSI 200-2 (ISMS) și 200-3 (analiza de risc) îți spun în detaliu cum să îndeplinești obligația conform §30 BSIG. Aceeași obligație din articolul 21 alin. (2) lit. (a) se aplică în orice alt stat membru prin legea sa națională de transpunere.

Cei trei pași ai unei evaluări de risc
CIR §2 numește patru verbe: identifică, analizează, evaluează, tratează. În practică, ele se restrâng în trei pași de lucru. Fiecare are nevoie de un rezultat pe care îl poți preda unui auditor.
Pasul 1

Identifică

Ia-ți inventarul de active din §12 CIR. Pentru fiecare activ (sau clasă grupată de active identice), listează amenințările și vulnerabilitățile care se aplică. Folosește un catalog de referință ca să nu pornești de la o pagină goală. Catalogul BSI Elementare Gefährdungen are 47 de intrări care acoperă incendiul, furtul, ingineria socială, programele malițioase, lanțul de aprovizionare, pierderea persoanei cheie și restul. ISO/IEC 27005:2022 Anexa A listează tipuri comparabile de amenințări și vulnerabilități. Rezultatul este un triplet activ, amenințare și vulnerabilitate pentru fiecare risc.

Pasul 2

Analizează

Pentru fiecare triplet, punctează cât de grav ar fi impactul și cât de probabil este să se întâmple. O matrice 3x3 (scăzut / mediu / ridicat) este suficientă pentru majoritatea entităților Mittelstand. O matrice 5x5 îți oferă o rezoluție mai mare dacă ai nevoie să compari riscuri similare. Impactul acoperă confidențialitatea, integritatea și disponibilitatea, plus orice efect de afaceri sau de siguranță care decurge. Probabilitatea este o apreciere informată de ce ai văzut deja, de datele de sector și de starea controalelor tale. Scrie punctajul cu o justificare de un rând.

Pasul 3

Evaluează și tratează

Compară fiecare risc punctat cu criteriile tale de acceptare, pe care le-ai stabilit înainte de a începe punctarea. Peste prag, tratezi: reduci (aplici controale), eviți (oprești activitatea), partajezi (asigurare sau contract, cu limite, vezi mai jos) sau accepți (cu un motiv documentat). Sub prag, notezi că accepți. Fiecare decizie de tratament are un titular numit și o dată. Organul de conducere aprobă riscurile reziduale cu care este dispus să trăiască.

Două reguli care țin evaluarea laolaltă
Două reguli din CIR §2 și din îndrumarea BSI care modelează modul în care este judecat întregul exercițiu. Sari peste oricare și un auditor va redeschide dosarul.

Metodă scrisă cu aprobarea conducerii

CIR §2 vorbește despre un cadru, nu despre un atelier. Metoda (cum punctezi, cum arată matricea, cine decide, care sunt pragurile tale de acceptare) trebuie să fie pe hârtie. Organul de conducere o aprobă. Nu ai nevoie de o metodă sofisticată. Ai nevoie de una documentată. Articolul 21 alin. (1) îți permite să păstrezi profunzimea proporțională cu riscul și cu mărimea ta, dar metoda în sine nu este opțională.

Revizuiește la intervale planificate și la schimbări semnificative

CIR §2 alin. (2) este explicit: revizuiești cadrul și evaluarea la intervale planificate, cel puțin anual, și atunci când au loc schimbări semnificative. O nouă linie de afaceri, un nou furnizor cheie, un incident major, o schimbare de reglementare, toate contează ca semnificative. Revizuirea anuală este pragul minim, nu cel maxim. Tratează evaluarea ca pe un artefact viu legat de inventarul tău de active, nu ca pe un dosar pe care îl scrii o dată.

Cum rulează autoritățile naționale acest lucru
UE stabilește regula. Fiecare stat membru o operaționalizează. Fondul este același. Îndrumarea locală diferă.
Germania

Standardele BSI 200-2 și 200-3

BSI publică două standarde care acoperă obligația de analiză de risc din §30 BSIG de la un capăt la altul. BSI 200-2 stabilește ciclul de viață al ISMS. BSI 200-3 este analiza de risc în sine, cu Elementare Gefährdungen drept catalog de amenințări. BSI este explicit în Infopakete: un transfer global de risc sau o acceptare generală a riscului este exclusă. Asigurarea este ceva ce adaugi deasupra, niciodată un substitut pentru tratament.

La nivelul UE

ENISA, ghidul tehnic de implementare

ENISA, agenția UE pentru securitate cibernetică, publică un ghid tehnic de implementare (TIG) pentru CIR (UE) 2024/2690. Nu este lege. Este referința practică ce pune textul CIR în corespondență cu standarde recunoscute, inclusiv ISO/IEC 27005:2022 pentru gestionarea riscurilor. Autoritățile naționale și auditorii îl citează ca interpretare rezonabilă a CIR.

Internațional

ISO/IEC 27005:2022

ISO/IEC 27005:2022 este standardul internațional pentru gestionarea riscurilor de securitate a informației. Este numit în TIG-ul ENISA drept o metodă recunoscută pentru îndeplinirea CIR §2. Dacă rulezi deja un ISMS ISO 27001, ISO 27005 este metoda de analiză de risc care stă în interiorul lui. Folosește orice metodă recunoscută se potrivește contextului tău. CIR nu alege una.

Patru capcane pe care le vedem tot timpul
Patru tipare care apar în aproape fiecare apel de pregătire pentru audit. Toate patru lasă lacune pe care un auditor le va găsi.

  • Am făcut evaluarea de risc anul trecut, deci am terminat.

    CIR §2 alin. (2) cere revizuirea la intervale planificate, cel puțin anual, și la schimbări semnificative. O evaluare făcută o singură dată anul trecut nu îndeplinește obligația dacă un furnizor major s-a schimbat, un sistem nou a intrat în funcțiune sau un incident semnificativ a avut loc între timp. Tratează evaluarea ca pe un artefact viu legat de inventarul tău de active.

  • Avem nevoie de o intrare de risc separată pentru fiecare CVE și fiecare amenințare.

    Nu ai. Evaluarea de risc se face activ cu activ (sau pe clasă grupată de active identice), nu vulnerabilitate cu vulnerabilitate. BSI îți permite să grupezi 45 de laptopuri de birou într-o singură intrare. Evaluezi amenințările și vulnerabilitățile la nivel de activ. Gestionarea patch-urilor este o obligație continuă separată conform articolului 21 alin. (2) lit. (e), nu parte a evaluării anuale.

  • Avem asigurare cibernetică, deci putem accepta restul.

    BSI este tranșant: un transfer global de risc sau o acceptare generală a riscului este exclusă. Asigurarea stă deasupra tratamentului, niciodată nu îl înlocuiește. Același lucru se aplică acceptării: nu poți accepta fiecare risc de care nu vrei să te ocupi. Acceptarea trebuie să fie motivată, atribuită, semnată și în limitele criteriilor pe care le stabilești în avans.

Cum fac asta operatorii reali din Mittelstand

Ce vedem în entitățile Mittelstand cu 60 până la 250 de persoane: zece până la cincisprezece active grupate, un subset Elementare Gefährdungen de circa douăzeci de amenințări, o matrice 3x3 și undeva între patruzeci și optzeci de intrări de risc în total. Prima trecere durează câteva zile lucrătoare cu oamenii potriviți în încăpere. Făcută o dată, revizuirea anuală înseamnă ore, nu zile.

Cele două componente care durează cel mai mult prima dată sunt inventarul de active și criteriile de acceptare. Ambele se amortizează: fiecare cerință ulterioară (furnizori, incidente, continuitatea afacerii, instruire) refolosește aceeași listă de active, iar criteriile te opresc să reargumentezi fiecare decizie individuală de tratament. Practicienii cu treizeci de clienți Mittelstand spun același lucru: fă metoda corect o dată, iar revizuirea anuală este cea mai ieftină oră pe care o petreci pe NIS 2.

Cum gestionăm acest lucru pe platformă

Metodologia de risc, inventarul de active, amenințările și vulnerabilitățile, riscurile punctate, planurile de tratament și criteriile de acceptare trăiesc într-un singur modul pe platformă. Înregistrezi metoda o dată, organul de conducere o aprobă, iar fiecare evaluare ulterioară folosește aceeași punctare. Traseul de audit este dovada.

Revizuirea anuală și revizuirea la schimbări semnificative decurg din folosirea platformei: termene, aprobări, stare. Nimic de întreținut pe lângă. Când evaluarea se leagă direct de inventarul tău de active (așa cum cere CIR §2 alin. (3)), fiecare schimbare a unui activ apare în următoarea revizuire. Gratuit și open source. Fără lock-in.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), articolul 21 alin. (2) lit. (a), eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (CIR), Anexa §2 și §12, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legea BSI (BSIG), §30, astfel cum a fost modificată prin Legea de implementare a NIS2 și de întărire a securității cibernetice
  • BSI Standard 200-2: metodologia IT-Grundschutz, bsi.bund.de
  • BSI Standard 200-3: analiza de risc bazată pe IT-Grundschutz, bsi.bund.de
  • BSI Infopakete „NIS 2 Pflichten”, bsi.bund.de/dok/nis-2-infopakete
  • ISO/IEC 27005:2022, Securitatea informației, securitatea cibernetică și protecția vieții private: îndrumare privind gestionarea riscurilor de securitate a informației
  • ENISA, ghidul tehnic de implementare pentru CIR (UE) 2024/2690 (la zi în mai 2026)
Rulează evaluarea de risc pe o singură platformă, nu pe un morman de foi de calcul
Metodă, active, riscuri, planuri de tratament, criterii de acceptare și aprobarea conducerii într-un singur modul. Gratuit și open source.
Deschide platforma gratuită