Cum să vă pregătiți pentru un audit BSI conform §64 și §65 BSIG
Articolul 32 NIS 2 oferă fiecărei autorități de supraveghere un set fix de instrumente. §64 BSIG îl copiază în dreptul german. Această pagină parcurge scara de dovezi în patru pași pe care o folosește BSI, plus ce trebuie să fie pregătite o entitate esențială, o entitate importantă și un operator KRITIS.
Pe scurt
Un audit BSI nu este un singur eveniment. Articolul 32 NIS 2 enumeră un set fix de competențe de supraveghere pentru entitățile esențiale: inspecții la fața locului, audituri de securitate țintite de un organism independent, audituri ad-hoc atunci când există un motiv justificat, scanări de securitate și cereri scrise de informații și documente. BSI escaladează pe acea scară.
§64 BSIG transpune acele competențe în dreptul german ca Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung și technische Untersuchung. §61 BSIG stabilește competențele de supraveghere conexe. §65 BSIG este locul în care se află sancțiunile. Sancțiunile ajung la zece milioane de euro sau două procente din cifra de afaceri a grupului pentru entitățile esențiale și șapte milioane sau un virgulă patru procente pentru entitățile importante, reflectând articolul 34 NIS 2.
Majoritatea auditurilor nu ajung niciodată la pasul la fața locului. O documentație curată, un organism de conducere care poate răspunde pentru ea și un plan de tratare scris pentru lacunele cunoscute încheie auditul la pasul unu sau doi. Această pagină parcurge scara, textul juridic din spatele ei și cele trei capcane care transformă un audit pe hârtie într-o vizită la fața locului.
Articolul 32 din Directiva NIS 2 (2022/2555)
Statele membre se asigură că măsurile de supraveghere impuse entităților esențiale în scopul prezentei directive sunt eficace, proporționale și disuasive, ținând seama de circumstanțele fiecărui caz în parte. În exercitarea competențelor lor de supraveghere în ceea ce privește entitățile esențiale, autoritățile competente au competența de a supune respectivele entități la: (a) inspecții la fața locului și supraveghere la distanță, inclusiv verificări aleatorii, efectuate de profesioniști instruiți; (b) audituri de securitate periodice și țintite efectuate de un organism independent sau de o autoritate competentă; (c) audituri ad-hoc, inclusiv atunci când sunt justificate pe motivul unui incident semnificativ sau al unei încălcări a prezentei directive de către entitatea esențială; (d) scanări de securitate bazate pe criterii obiective, nediscriminatorii, echitabile și transparente de evaluare a riscurilor, dacă este necesar cu cooperarea entității în cauză; (e) cereri de informații necesare pentru a evalua măsurile de gestionare a riscurilor în materie de securitate cibernetică adoptate de entitatea în cauză.
Articolul 32 stabilește setul de instrumente ex ante pentru entitățile esențiale. Articolul 33 îl reflectă pentru entitățile importante, dar ca supraveghere ex post, ceea ce înseamnă că BSI poate acționa numai atunci când are indicii de neconformitate. Articolul 34 stabilește plafoanele de sancțiuni pe care le copiază BSIG.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, Anexa
În sensul articolului 21(2) din Directiva (UE) 2022/2555, entitățile relevante stabilesc, pun în aplicare și aplică o politică de securitate a rețelelor și sistemelor informatice [...] și cadrul de gestionare a riscurilor [...] care abordează riscurile la adresa securității rețelelor și sistemelor informatice.
Anexa CIR este ceea ce verifică de fapt un auditor. Ea precizează ce trebuie să conțină gestionarea riscurilor, securitatea lanțului de aprovizionare, tratarea incidentelor, continuitatea activității, formarea, criptografia, controlul accesului și celelalte măsuri din articolul 21(2). Directiva îi dă BSI dreptul de a se uita. Anexa CIR stabilește pragul.
§64 BSIG (Germania)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
§64 BSIG îi dă BSI trei competențe operaționale: să solicite documente, să intre în birourile dvs. în timpul programului de lucru, să efectueze o inspecție tehnică. §61 BSIG stabilește mandatul de supraveghere mai larg. §65 BSIG stabilește sancțiunile, cu plafoanele din articolul 34 preluate direct. Operatorii KRITIS poartă o obligație suplimentară de dovadă la trei ani conform §29 BSIG.
Cererea de documentație și parcurgerea
Pasul unu este o Auskunfts- und Unterlagenanforderung scrisă conform §64 BSIG. BSI vă solicită cadrul de gestionare a riscurilor, lista de active, politica de tratare a incidentelor, evidențele de formare, măsurile privind lanțul de aprovizionare și dovezile de formare a conducerii conform §38 BSIG. Pasul doi este un apel de parcurgere: BSI solicită rolurilor responsabile să explice ce este pe hârtie. De obicei se așteaptă prezența unui membru al organismului de conducere la acest apel. Majoritatea auditurilor se închid aici.
Inspecția la fața locului
Dacă documentația lipsește sau parcurgerea expune lacune pe care BSI nu le poate reconcilia, §64 BSIG le permite să intre la sediul dvs. în timpul programului de lucru și să inspecteze. Vor cere să vadă cum se traduc politicile în practică: copiile de rezervă rulând efectiv, controlul accesului aplicat efectiv, manualele de incidente cunoscute efectiv. Articolul 32(2)(c) le permite să escaladeze ad-hoc după un incident semnificativ, fără avertisment. Soluția nu este să performați bine în ziua respectivă. Este să nu aveți nimic pe care parcurgerea nu l-ar fi putut deja arăta.
Auditul de securitate țintit și inspecția tehnică
Articolul 32(2)(b) îi permite BSI să dispună un audit de securitate periodic sau țintit de un organism independent, pe cheltuiala dvs. §64 BSIG adaugă technische Untersuchung: scanări, revizuiri de configurare, analiză de jurnale. Articolul 32(2)(d) le permite să efectueze scanări de securitate pe perimetrul dvs. conform unor criterii obiective și nediscriminatorii. Acest pas este rar pentru entitățile importante, disponibil structural pentru entitățile esențiale și ruta standard pentru operatorii KRITIS conform §29 BSIG (ciclu Nachweis de trei ani).
Datat și semnat bate cuprinzător
Un auditor nu vrea o politică perfectă. Vrea o politică datată, semnată de un proprietar desemnat, revizuită ultima dată în ultimele douăsprezece luni și trasabilă la o versiune. O politică de șase pagini cu o aprobare de la directorul general de acum două luni valorează mai mult decât o politică de patruzeci de pagini pe care nu o deține nimeni. Lacunele cunoscute cu un plan de tratare scris și o dată țintă sunt în regulă. Lacunele necunoscute și deciziile nedocumentate nu sunt.
Organismul de conducere trebuie să fie în încăpere
Articolul 20 NIS 2 face organismul de conducere răspunzător de aprobarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică și de supravegherea punerii în aplicare. §38 BSIG transpune acest lucru cu răspundere personală. O parcurgere BSI în care directorul general nu poate răspunde pentru tabloul de risc este o constatare în sine. Soluția nu este un scenariu. Este o revizuire trimestrială la care directorul general participă efectiv.
Auditul standard BSI + Nachweis KRITIS conform §29
Pentru entitățile esențiale și importante, BSI operează scara §64 BSIG de la cererea de documentație în sus. Pentru operatorii KRITIS (infrastructură critică conform §28 BSIG), §29 BSIG adaugă o obligație Nachweis la trei ani: o dată la trei ani, operatorul depune dovezi (de obicei un raport de audit extern) care arată că măsurile conform §30 BSIG sunt instituite. Nachweis-ul conform §29 este condus de calendar și nu depinde de inițierea unui audit de către BSI.
ENISA + Grupul de cooperare NIS
ENISA, Agenția UE pentru securitate cibernetică, publică Orientarea tehnică de punere în aplicare (TIG) care corelează articolul 21 NIS 2 cu standarde consacrate precum ISO/IEC 27001:2022 și NIST CSF 2.0. Grupul de cooperare NIS conform articolului 14 NIS 2 coordonează practica de audit între statele membre. Dacă operați în mai multe țări, fondul pe care îl verifică auditorii este același. Mecanica (formularele, canalele, termenele) diferă.
Autorități competente sectoriale
Pentru unele sectoare (energie, finanțe, telecomunicații) supravegherea se află parțial la autoritatea de reglementare sectorială (BNetzA, BaFin) în locul sau alături de BSI. Directiva permite acest lucru, iar §61 BSIG denumește repartizarea competențelor. Competențele din articolul 32 în sine nu se schimbă. Ce autoritate apare la ușă se schimbă.
Dacă politicile noastre sunt scrise, suntem pregătiți.
Politicile scrise sunt pasul unu. Parcurgerea de la pasul doi este locul în care auditul se decide de fapt. Auditorul îi cere rolului responsabil să explice cum funcționează politica în practică. Dacă rolul nu o poate explica, politica este hârtie și auditul se mută la fața locului conform §64 BSIG. Tratamentul nu este politici mai bune. Este persoana responsabilă care le folosește efectiv și organismul de conducere care le revizuiește efectiv.
Vom pune documentația în ordine odată ce sosește scrisoarea de audit.
BSI acordă de obicei un termen de două până la patru săptămâni pentru cererea de documentație conform §64. Construirea unui registru de riscuri, a unui inventar de active și a unei politici de tratare a incidentelor de la zero în acea fereastră nu este realistă. Produce și cel mai prost artefact posibil pentru un auditor: un document proaspăt fără istoric de versiuni, fără aprobări anterioare și fără utilizare trasabilă. Documentele trebuie operate, nu produse pentru scrisoare.
Suntem responsabili doar pentru ce operăm noi înșine, nu pentru furnizorii noștri.
Articolul 21(2)(d) NIS 2 și §30(2)(4) BSIG pun securitatea lanțului de aprovizionare pe entitate, nu pe furnizor. Un răspuns de tip cutie neagră precum „furnizorul nostru de servicii gestionate se ocupă de asta” este o constatare. Auditorul va solicita clauzele contractuale, evaluarea riscului furnizorului și dovezile că verificați furnizorul. Operatorii KRITIS se confruntă cu acest lucru mai acut: Nachweis-ul conform §29 acoperă și serviciile gestionate. Puteți externaliza operarea, nu responsabilitatea.
Un furnizor regional de energie cu care lucrăm se află în domeniul de aplicare ca operator KRITIS conform §28 BSIG. Ultimul lor Nachweis conform §29 a fost acum optsprezece luni, următorul este scadent peste optsprezece. Rulează pregătirea pe bază continuă: în fiecare trimestru, CISO parcurge o măsură conform §30 BSIG cu directorul general, captează dovezile (versiunea politicii, aprobarea, ultima revizuire, elementele de tratare deschise) și închide orice lacună înainte de trimestrul următor. Până când bate auditorul la ușă, nimic nu este produs pentru vizită. Totul este datat.
Nachweis-ul conform §29 în sine se desfășoară printr-un auditor extern comandat de operator. BSI nu efectuează auditul direct: acceptă raportul extern. Raportul de audit semnalează lacunele ca „erhebliche Mängel” (deficiențe semnificative), „sonstige Mängel” (alte deficiențe) sau niciuna. Deficiențele semnificative declanșează obligații de urmărire. Alte deficiențe vin cu un plan de tratare și o dată țintă. Furnizorul de energie închide aproximativ optzeci de procente din constatările de audit înainte ca raportul să ajungă la BSI, tratând lista de lacune ca ordine de zi permanentă pentru următoarele două trimestre.
Fiecare cerință NIS 2 de pe platformă produce trei lucruri în mod implicit: o politică cu o versiune și o aprobare, o revizuire recurentă cu un termen și o pistă de audit care înregistrează cine a făcut ce și când. O Auskunfts- und Unterlagenanforderung conform §64 BSIG devine un export, nu un proiect de redactare. Predați un pachet de dovezi ambalat (politici, aprobări, listă de active, registru de riscuri, jurnal de incidente, evidențe de formare, listă de furnizori) în loc să căutați fișiere.
Pentru operatorii KRITIS, Nachweis-ul conform §29 rulează pe aceleași date. Auditorul extern primește o vizualizare doar pentru citire a acelorași artefacte pe care compania le operează deja. Nu există un al doilea instrument, niciun teanc paralel de foi de calcul și nicio îmbulzeală în săptămâna auditului. Ideea este structurală: când vine ziua scrisorii de audit, nu vă pregătiți. Exportați.
- Directiva (UE) 2022/2555 (NIS 2), articolele 32, 33, 34. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare (UE) 2024/2690 (CIR) al Comisiei, Anexa. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §29 (KRITIS Nachweis), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete „NIS 2 Pflichten”. bsi.bund.de/dok/nis-2-infopakete
- Orientarea tehnică de punere în aplicare a ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)
- Documentele de referință ale Grupului de cooperare NIS privind practica de supraveghere. digital-strategy.ec.europa.eu