Art. 21(2)(i)+(j) NIS 2 + CIR §11

Controlul accesului NIS 2 conform Articolului 21(2)(i)+(j)

Articolul 21(2)(i) numește politicile de control al accesului. Articolul 21(2)(j) numește autentificarea multifactor. CIR §11 le acoperă împreună în șapte subsecțiuni. Această pagină parcurge obligațiile mai largi de politică, cont privilegiat și identitate. Pagina dedicată MFA acoperă §11.7.

Simon OrzelSimon Orzel·

Pe scurt

Controlul accesului stă la punctele (i) și (j) din Articolul 21(2). Punctul (i) numește 'securitatea resurselor umane, politici de control al accesului și managementul activelor'. Punctul (j) numește 'utilizarea autentificării multifactor sau a soluțiilor de autentificare continuă, comunicații securizate de voce, video și text'. Ambele se aplică fiecărei entități esențiale și importante din întreaga UE.

CIR (UE) 2024/2690 §11 acoperă ambele litere împreună, sub titlul 'Controlul accesului (Articolul 21(2) punctele (i) și (j) din Directiva (UE) 2022/2555)'. Împarte obligația în șapte subsecțiuni: politica în sine, gestionarea drepturilor, conturile privilegiate, sistemele de administrare a sistemelor, identificarea, autentificarea și autentificarea multifactor. Această pagină parcurge §11.1 până la §11.6. Pentru §11.7 în mod specific, vedeți pagina dedicată MFA.

Germania pune obligația de politică în §30(2)(9) BSIG și obligația MFA în §30(2)(10) BSIG. Baza germană pentru implementare este IT-Grundschutz ORP.4 'Identitäts- und Berechtigungsmanagement'.

Sursa juridică
Trei straturi, dar nivelul de directivă se împarte în două litere. Articolul 21(2)(i) pentru politicile de control al accesului (cu securitatea personalului și managementul activelor). Articolul 21(2)(j) pentru MFA și comunicații securizate. CIR §11 acoperă apoi ambele litere împreună. BSIG le împarte din nou la nivel național.

info.accessControl.legalAnchor.directiveI.label

info.accessControl.legalAnchor.directiveI.quote

info.accessControl.legalAnchor.directiveI.context

info.accessControl.legalAnchor.directiveJ.label

info.accessControl.legalAnchor.directiveJ.quote

info.accessControl.legalAnchor.directiveJ.context

CIR (UE) 2024/2690, Anexa §11

Controlul accesului (Articolul 21(2), punctele (i) și (j) din Directiva (UE) 2022/2555).

CIR §11 are șapte subsecțiuni: §11.1 politica de control al accesului, §11.2 gestionarea drepturilor de acces, §11.3 conturile privilegiate și conturile de administrare a sistemelor, §11.4 sistemele de administrare a sistemelor, §11.5 identificarea, §11.6 autentificarea, §11.7 autentificarea multifactor. Acest regulament obligă furnizorii de DNS, cloud, centrele de date, furnizorii de servicii gestionate și celelalte sectoare numite în Anexă în mod direct.

§30(2)(9) și (10) BSIG (Germania)

Konzepte für die Zugriffskontrolle und für das Management von Anlagen. […] Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.

Germania împarte punctul (i)+(j) al UE în două numere BSIG. §30(2)(9) poartă controlul accesului și managementul activelor. §30(2)(10) poartă MFA și comunicațiile securizate. Substanța este aceeași regulă UE.

Cele trei lucruri pe care CIR §11 le cere de fapt (cu excepția §11.7 MFA)
CIR §11 împarte controlul accesului în șapte subsecțiuni. Subsecțiunile §11.1 până la §11.6 acoperă politica, registrul drepturilor, conturile privilegiate și stratul de identitate. §11.7 (MFA) are propria pagină. Iată cele trei blocuri în care intră celelalte șase subsecțiuni.
§11.1 + §11.2

Politică și gestionarea drepturilor

Notați cum funcționează accesul (logic și fizic) pentru personal, vizitatori, furnizori și prestatori de servicii. Acordați, modificați și revocați drepturi pe baza nevoii de afaceri: nevoia de a ști, nevoia de a folosi, separarea sarcinilor. Fiecare drept este atribuit unei persoane numite. Revocarea rulează la schimbarea angajării, nu pe un ciclu săptămânal. Accesul terț (vizitatori, furnizori) este urmărit.

§11.3 + §11.4

Conturi privilegiate și de administrare

Conturile de administrare primesc identificare, autentificare și autorizare puternice. Doar conturi de administrare dedicate, folosite exclusiv pentru instalare, configurare, gestionare și întreținere. Drepturile de administrare sunt adaptate individual și restricționate. Sistemele de administrare a sistemelor stau pe propria lor rețea logică, separate de rețelele de aplicații, accesate prin autentificare și criptare.

§11.5 + §11.6

Identitate și autentificare

Ciclul de viață al identității: ID-uri unice, fiecare ID legat de o persoană, monitorizare și jurnalizare pe tot ciclul de viață. Procedurile de autentificare se potrivesc cu politica de control al accesului: puterea parolei scalată la clasificarea activelor, proceduri de schimbare, blocare la încercări eșuate, expirarea sesiunilor, credențiale separate pentru conturile privilegiate.

Două reguli care modelează tot restul
Două principii străbat fiecare subsecțiune CIR §11. Ambele decid cum citește un auditor ceea ce ați construit de fapt.

Nevoia de a ști, nevoia de a folosi, separarea sarcinilor

CIR §11.2 le numește pe toate trei. Nevoia de a ști: doar oamenii care au nevoie de date primesc datele. Nevoia de a folosi: drepturile se potrivesc cu sarcina, nu cu funcția. Separarea sarcinilor: nicio persoană singură nu ar trebui să poată acorda, folosi și audita același drept. Dacă grupurile dvs. AD sunt 'IT' și 'toți ceilalți', nu ați implementat niciuna dintre cele trei.

Privilegiat nu înseamnă doar obișnuit cu mai multe drepturi

CIR §11.3 și §11.4 ridică ștacheta specific pentru conturile de administrare. Identificare puternică. MFA numit în §11.3 în sine, nu doar în §11.7. Conturi dedicate folosite doar pentru munca de administrare. Sisteme de administrare a sistemelor pe propria lor rețea. Ideea: un cont de administrare compromis compromite totul, deci conturile de administrare primesc propriul lor regim.

Cum gestionează de fapt autoritățile naționale acest lucru
UE stabilește regula. Fiecare țară o transpune. Substanța este aceeași. Mecanica locală diferă puțin.
Germania

BSI / IT-Grundschutz ORP.4

Baza germană este modulul IT-Grundschutz ORP.4 'Identitäts- und Berechtigungsmanagement'. ORP.4 acoperă ciclul de viață al identității, drepturile bazate pe roluri, separarea conturilor privilegiate, regulile de parole și cadența de revizuire. Conform §44(2) BSIG, implementarea Grundschutz este recunoscută în mod explicit ca îndeplinind obligațiile NIS 2 în Germania.

La nivelul UE

Ghidul tehnic de implementare ENISA

Ghidul tehnic de implementare al ENISA pentru CIR (UE) 2024/2690 parcurge fiecare subsecțiune §11 în limbaj operațional și o corelează cu ISO/IEC 27001:2022 (A.5.15 până la A.5.18, A.8.2 până la A.8.5) și NIST CSF 2.0 (PR.AA). O implementare existentă de control al accesului ISO 27001 acoperă deja cea mai mare parte din §11.

Alte state membre

Legi naționale de transpunere

Fiecare stat membru transpune Articolul 21(2)(i) și (j) în propria lege (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligațiile sunt identice pentru că directiva stabilește un singur standard la nivelul UE. Ce diferă: spre ce standard de bază indică autoritatea națională de reglementare.

Trei capcane pe care le vedem tot timpul
Trei presupuneri care apar în aproape fiecare revizuire a controlului accesului din Mittelstand. Toate trei creează lacune pe care un auditor le va găsi.

  • Avem grupuri AD, deci avem control al accesului.

    Un început, nu finalul. CIR §11.2 vrea o politică documentată a drepturilor de acces, drepturi atribuite persoanelor numite, o procedură de revocare legată de schimbarea angajării și un jurnal de audit al acordărilor și revocărilor. Grupurile AD vă dau mecanismul. Nu vă dau politica, registrul de persoane numite sau procedura de intrări-mutări-plecări pe care o va cere un auditor.

  • Administratorii noștri folosesc contul lor normal pentru munca de administrare, cu sudo sau 'rulează ca administrator'.

    Nu conform CIR §11.3.2. Textul cere 'conturi de administrare dedicate' folosite doar pentru instalare, configurare, gestionare și întreținere. Contul obișnuit al unui administrator este pentru e-mail, calendar și Excel. Un cont de administrare separat, cu propriul MFA, este pentru munca privilegiată. Amestecarea celor două înseamnă că un e-mail de phishing poate compromite rolul de administrare.

  • Sincronizăm drepturile de acces în fiecare luni dimineață.

    Aproape, dar nu ce cere §11.2. Obligația de revocare se declanșează la schimbarea angajării, nu pe un ciclu de calendar. Cineva care a plecat marți nu ar trebui să aibă acces miercuri. Pentru schimbările de rol în interiorul companiei, în special cele privilegiate, schimbarea ar trebui să fie imediată. O cadență săptămânală este în regulă pentru revizuirea de audit, nu pentru revocarea în sine.

Cum fac de fapt acest lucru operatorii reali din Mittelstand

Configurație tipică Mittelstand de 50-250 de persoane: Active Directory sau Entra ID pentru identități, grupuri AD pentru accesul la aplicații, un sistem HR care emite tichete de onboarding către IT. Mecanismul este în mare parte acolo. Lacunele §11 trăiesc în trei locuri.

Ce vedem că prind practicienii mai întâi: o politică scrisă a drepturilor de acces (majoritatea au o schiță, puțini au o versiune curentă semnată), conturi de administrare dedicate (majoritatea administratorilor încă folosesc sudo pe contul lor zilnic) și procedura de intrări-mutări-plecări fiind doar IT, nu condusă de HR (deci contul unui contractor persistă pentru că HR nu a spus niciodată IT-ului că a plecat). Remedierea acestor trei închide cea mai mare parte din lacuna §11.

Cum gestionăm acest lucru pe platformă

Modulul nostru ACC acoperă §11.1 (încărcați sau redactați politica de control al accesului și organul de conducere o aprobă), §11.2 (un registru de drepturi legat de utilizatori numiți), §11.3 (inventar de conturi privilegiate cu dovezi separate de autentificare) și §11.5 plus §11.6 (jurnal al sursei de identitate legat de IdP-ul dvs.). Separarea sistemelor de administrare a sistemelor §11.4 este documentată ca o decizie de arhitectură cu dovezi.

Pentru piesa MFA §11.7 în mod specific, vedeți pagina dedicată MFA și fluxul ei de dovezi. Pista de audit pe care platforma o ține automat (aprobări, statusul sarcinilor, jurnal de schimbări) acoperă ceea ce vrea un auditor să vadă pentru cadența de revizuire și pentru decizia de conducere.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(i) și (j). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §11. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legea BSI (BSIG), §30(2)(9) și §30(2)(10) astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
  • IT-Grundschutz Compendium, modulul ORP.4 'Identitäts- und Berechtigungsmanagement'. bsi.bund.de/grundschutz
  • Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)
Rulați controlul accesului fără teancurile de foi de calcul
Politică, registru de drepturi, conturi privilegiate și jurnal de identitate pe o singură platformă. Gratuit, open source, fără lock-in.
Deschideți platforma gratuită