Igienă cibernetică și instruire de securitate NIS 2 în temeiul articolului 21(2)(g)
Articolul 21(2)(g) NIS 2 acoperă forța dvs. de muncă. Articolul 20(2) acoperă organul dvs. de conducere. Două obligații separate. §8 din CIR (UE) 2024/2690 stabilește ce înseamnă efectiv obligația privind forța de muncă: un program de conștientizare pentru toți, plus instruire specifică rolului pentru persoanele din roluri relevante pentru securitate.
Pe scurt
Articolul 21(2)(g) plasează igiena cibernetică și instruirea de securitate pe lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le aibă implementate. Obligația acoperă pe toți cei din entitate, inclusiv organul de conducere și furnizorii direcți.
§8 din CIR (UE) 2024/2690 împarte obligația în două părți. §8.1 este conștientizarea: un program care ajunge la fiecare membru al personalului, repetat periodic, aliniat cu politica dvs. de securitate a informației și cu tabloul real al amenințărilor, acoperind amenințările, punctele de contact și resursele. §8.2 este instruirea specifică rolului: identificarea personalului din roluri relevante pentru securitate, instruirea acestuia privind configurarea și operarea securizată, amenințările cunoscute și modul de comportare în timpul unui eveniment relevant pentru securitate.
Aceasta nu este aceeași obligație ca articolul 20(2). Articolul 20(2) este instruirea pentru organul de conducere însuși, privind riscurile de securitate cibernetică și practicile de gestionare. Articolul 21(2)(g) este instruirea pentru restul organizației. Aveți nevoie de ambele. Auditorii le verifică pe ambele.
Articolul 21(2)(g) din Directiva NIS 2 (2022/2555)
Practici de igienă cibernetică de bază și instruire în domeniul securității cibernetice.
Acesta este punctul (g) de pe lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în aplicare. Este obligația la nivelul întregii forțe de muncă, distinctă de instruirea organului de conducere prevăzută la articolul 20(2).
CIR (UE) 2024/2690, anexa §8
În sensul articolului 21(2)(g) din Directiva (UE) 2022/2555, entitățile relevante se asigură că angajații lor, inclusiv membrii organului de conducere și furnizorii direcți, sunt conștienți de riscuri, informați cu privire la importanța securității cibernetice și aplică practici de igienă cibernetică.
Deoarece este un regulament (nu o directivă), este legislație UE direct obligatorie. §8.1 stabilește programul de conștientizare. §8.2 stabilește obligația de instruire specifică rolului. Se aplică furnizorilor de DNS, registrelor TLD, furnizorilor de cloud și centrelor de date, MSP-urilor, furnizorilor de servicii de încredere și celorlalte sectoare enumerate în anexa sa.
§30(2)(7) BSIG (Germania)
Proceduri de bază în domeniul igienei cibernetice și instruire în domeniul securității cibernetice.
Germania copiază îndeaproape textul UE. Calea de implementare pe care o indică BSI este IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit', care acoperă atât partea de conștientizare, cât și partea specifică rolului.
Program de conștientizare pentru toți
Un program care ajunge la fiecare membru al personalului, inclusiv organul de conducere și furnizorii direcți. Repetat periodic, nu o singură dată. Noii angajați sunt incluși. Conținutul este aliniat cu politica dvs. de securitate a informației și cu tabloul real al amenințărilor. Acoperă amenințările cibernetice care vi se aplică efectiv, punctele de contact dacă ceva pare în neregulă și resursele pe care personalul le poate utiliza.
Instruire specifică rolului pentru rolurile relevante pentru securitate
Identificați ce roluri au nevoie de competențe relevante pentru securitate. Apoi instruiți acele persoane privind trei lucruri: cum să configureze și să opereze sistemele pe care le ating (inclusiv dispozitivele mobile), amenințările cunoscute care se aplică muncii lor și cum să se comporte în timpul unui eveniment relevant pentru securitate. Mai larg decât IT: helpdesk, dezvoltatori, resurse umane, finanțe pot toate să se califice.
Noi angajați și actualizare periodică
Ambele părți ale §8 spun că programul trebuie să ajungă la noul personal din rolurile relevante pentru securitate și să fie actualizat periodic. Aceasta înseamnă un pas de integrare în cadrul proceselor de resurse umane, plus o cadență de revizuire a programei în sine, astfel încât conținutul să urmărească amenințările cu care vă confruntați efectiv astăzi, nu amenințările cu care v-ați confruntat acum doi ani.
Conștientizarea și instruirea specifică rolului sunt două programe distincte
§8.1 și §8.2 nu sunt același lucru reambalat. Conștientizarea ajunge la toți. Instruirea specifică rolului ajunge la persoanele a căror muncă creează sau controlează expunerea la riscuri de securitate. Conținutul este diferit, cadența este diferită, dovada este diferită. Dacă planul dvs. de instruire are un singur program, vă lipsește una dintre cele două obligații.
Conținutul instruirii reflectă tabloul dvs. real al riscurilor
§8.1 spune că programul de conștientizare trebuie să fie 'aliniat cu politica de securitate a informației și cu peisajul riscurilor' al entității. Conținutul generic de phishing destinat unei bănci nu se va potrivi unui Stadtwerk sau unei firme de gestionare a deșeurilor. Programul trebuie să urmărească amenințările cu care vă confruntați efectiv, sistemele pe care le operați efectiv și punctele de contact pe care personalul trebuie să le apeleze efectiv.
BSI / IT-Grundschutz Baustein ORP.3
Ruta de implementare a BSI pentru §30(2)(7) BSIG este IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung'. ORP.3 acoperă atât partea de conștientizare (sesiuni anuale pentru întreg personalul), cât și partea specifică rolului (module mai aprofundate pentru administratori, dezvoltatori, helpdesk și manageri). De asemenea, stabilește așteptări concrete privind frecvența și vă cere să documentați programa, prezența și o cadență de revizuire.
Orientările tehnice de implementare ENISA
TIG-ul ENISA pentru CIR (UE) 2024/2690 corelează §8 cu ISO/IEC 27001:2022 (A.6.3, A.7.2.2 în vechea numerotare), NIST CSF 2.0 (PR.AT) și ETSI EN 319 401. Dacă rulați deja conștientizarea de securitate în temeiul ISO 27001, TIG-ul vă spune ce controale existente acoperă §8 și unde se află lacuna.
Legi naționale de transpunere
Fiecare stat membru transpune obligația (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Substanța este aceeași deoarece directiva stabilește un singur standard la nivelul UE. Ce diferă: limba de documentare, canalele de raportare și autoritatea națională care auditează registrele de instruire.
Am făcut cursul pentru organul de conducere, am terminat cu instruirea NIS 2.
Articolul 20(2) și articolul 21(2)(g) sunt două obligații separate. Cursul pentru organul de conducere acoperă articolul 20(2). Programul dvs. la nivelul întregii forțe de muncă acoperă articolul 21(2)(g). Unul nu îl înlocuiește pe celălalt. Un auditor va cere dovezi pentru ambele.
Rulăm o simulare anuală de phishing, deci conștientizarea este acoperită.
O simulare de phishing este o tactică, nu un program. §8.1 CIR cere un program care acoperă amenințările care vi se aplică, punctele de contact pentru raportarea preocupărilor și resursele pe care personalul le poate utiliza. De asemenea, trebuie să ajungă la noii angajați și să ruleze periodic. O singură simulare anuală nu îndeplinește singură acel test.
Instruim echipa de IT, asta acoperă obligația specifică rolului.
§8.2 spune 'personalul ale cărui roluri necesită competențe relevante pentru securitate'. Asta este mai larg decât IT. Personalul de helpdesk care resetează parole, dezvoltatorii care scriu codul, personalul de resurse umane care gestionează angajările și plecările, personalul financiar care gestionează autorizarea plăților. Toți pot intra sub §8.2. Lista de roluri trebuie să provină din tabloul dvs. real al riscurilor, nu din organigramă.
Ce vedem în Mittelstand-ul german: o simulare anuală de phishing plus un paragraf de securitate în prezentarea de integrare. Asta nu este §8. §8 cere un program scris, cu un public-țintă per modul, o frecvență per modul și o evidență per cursant a ceea ce a finalizat și când.
Forma care rezistă la audit: o pistă de conștientizare pentru toți (modul de integrare plus actualizare anuală, amenințări și puncte de contact) și o pistă specifică rolului pentru rolurile relevante pentru securitate pe care le-ați identificat (administratori, dezvoltatori, helpdesk, plus orice roluri de afaceri semnalate de analiza dvs. de risc). Documentați programa, publicul, frecvența, evidențele de finalizare și o dată de revizuire pentru programa în sine.
Modulul de instruire (TRN) captează programul: fiecare curs, publicul său țintă, frecvența sa și o evidență de finalizare per cursant. Puteți atașa programa de conștientizare la 'tot personalul' și modulele specifice rolului la rolurile pe care le-ați definit. Pista de audit este dovada.
Partea de conștientizare §8.1 este satisfăcută de cursul pentru directori generali al platformei (articolul 20(2)) plus o pistă de conștientizare pentru tot personalul. Partea specifică rolului §8.2 este satisfăcută prin adăugarea de module specifice rolului și atribuirea lor personalului semnalat de analiza dvs. de risc. Finalizarea este înregistrată automat. Ciclurile de reinstruire sunt programate de modul.
- Directiva (UE) 2022/2555 (NIS 2), articolul 21(2)(g). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (CIR), anexa §8. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §30(2)(7), astfel cum a fost modificată prin Legea de implementare NIS2 și de consolidare a securității cibernetice
- BSI IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit'
- Orientările tehnice de implementare ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)