Art. 21(2)(f) NIS 2 + CIR §7

Evaluarea eficacității sub Articolul 21(2)(f) din NIS 2

Nu este suficient să vă consemnați măsurile de securitate cibernetică. Articolul 21(2)(f) spune că trebuie să verificați dacă ele chiar funcționează, în mod continuu. CIR §7 transformă asta în KPI-uri numite, responsabili și o cadență de revizuire.

Simon OrzelSimon Orzel·

Pe scurt

Evaluarea eficacității este bucla de probă. Ați petrecut un an instalând management al riscului, control al accesului, criptografie, evaluări ale furnizorilor și restul. Articolul 21(2)(f) pune întrebarea următoare: măsurile pe care le-ați consemnat chiar funcționează? Un control documentat pe care nu îl testează nimeni nu este același lucru cu un control funcțional.

CIR (UE) 2024/2690 §7 transformă obligația abstractă într-un proces PDCA. Alegeți ce să măsurați. Alegeți cum și cât de des. Numiți un responsabil pentru măsurare și un responsabil pentru analiză. Revizuiți rezultatele. Actualizați cadrul după fiecare incident semnificativ.

Germania pune aceeași regulă în dreptul național prin §30(2)(6) BSIG. Formularea urmează îndeaproape directiva. Această pagină parcurge directiva, regulamentul UE de aplicare ulterior și transpunerea germană, în această ordine.

Sursa juridică
Trei straturi suprapuse. Directiva (obligatorie pentru fiecare țară UE). Regulamentul de punere în aplicare (drept UE direct aplicabil pentru sectoarele numite în anexă). Transpunerea națională (în Germania: BSIG).

Articolul 21(2)(f) din Directiva NIS 2 (2022/2555)

Politici și proceduri pentru evaluarea eficacității măsurilor de management al riscurilor de securitate cibernetică.

Punctul (f) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le instituie. Directiva nu spune cât de des sau cu ce KPI-uri. Asta este lăsat în seama CIR §7.

CIR (UE) 2024/2690, Anexa §7

În sensul articolului 21 alineatul (2) litera (f) din Directiva (UE) 2022/2555, entitățile relevante stabilesc, pun în aplicare și aplică o politică și proceduri pentru a evalua dacă măsurile de management al riscurilor de securitate cibernetică sunt implementate și menținute în mod eficace.

Drept UE direct obligatoriu pentru sectoarele numite în anexa CIR. §7 numește cele șase lucruri pe care politica dumneavoastră trebuie să le acopere (ce, cum, când, cine măsoară, când se analizează rezultatele, cine analizează). Cere totodată o revizuire la intervale planificate sau după fiecare incident semnificativ.

§30(2)(6) BSIG (Germania)

Politici și proceduri pentru evaluarea eficacității măsurilor de management al riscurilor de securitate cibernetică.

Germania copiază textul UE aproape cuvânt cu cuvânt. BSI se așteaptă să indicați un concept de evaluare documentat în timpul unui audit, nu un tabel ad-hoc.

Trei lucruri pe care le cere efectiv CIR §7
CIR 2024/2690 §7 se reduce la trei întrebări: ce măsurați, cum măsurați și cine este responsabil. Lista celor șase elemente din §7.2 se corelează exact cu aceste trei.
§7.2(a)

CE măsurați

Numiți măsurile de management al riscurilor de securitate cibernetică pe care le monitorizați. Atât procedurile, cât și controalele contează. Nu trebuie să măsurați totul. Trebuie să alegeți un set, să îl consemnați și să îl legați de rezultatele evaluării de risc și de incidentele semnificative anterioare.

§7.2(b)+(c)

CUM și CÂND măsurați

Pentru fiecare măsură, numiți metoda de monitorizare și măsurare, abordarea de analiză și cadența. Indicatori trimestriali cu o analiză aprofundată anuală este o formă frecventă. Metoda trebuie să producă rezultate valide, așa că "avem o intuiție în privința asta" nu trece.

§7.2(d)+(f)

CINE este responsabil

Două roluri numite. O persoană răspunde de măsurare (extrage cifrele, rulează testul, exportă jurnalul). O a doua persoană răspunde de analiză (citește datele, judecă dacă controlul funcționează, escaladează). Aceeași persoană le poate face pe amândouă la dimensiunea mică de Mittelstand, dar documentul trebuie să le numească.

Două reguli care modelează tot restul
Două reguli de interpretare stau la baza §7. Ele explică de ce evaluarea eficacității nu este doar un proiect de tablou de bord cu KPI-uri.

Legați eficacitatea de registrul de riscuri

CIR §7.2 spune că politica trebuie să țină cont de rezultatele evaluării de risc și de incidentele semnificative anterioare. KPI-urile fără legătură nu contează. Dacă măsurați conformitatea la actualizări, dar primele trei riscuri ale dumneavoastră sunt breșele la furnizori, phishing-ul și expunerea OT, KPI-urile ratează ținta. Alegeți KPI-uri care testează controalele ce acoperă cele mai mari riscuri ale dumneavoastră.

Raportați către organul de conducere

Articolul 20(1) NIS 2 obligă organul de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică și să supravegheze implementarea lor. Nu pot supraveghea ceea ce nu văd. Datele de eficacitate trebuie să ajungă în fața lor periodic. Trimestrial este cadența frecventă. Formatul nu contează, atât timp cât este documentat.

Cum aplică efectiv autoritățile naționale acest lucru
UE stabilește regula. Fiecare țară o transpune. Substanța este aceeași. Mecanica locală diferă puțin.
Germania

BSI / IT-Grundschutz DER.1

BSI enumeră evaluarea eficacității ca punctul șase dintre cele zece măsuri din Articolul 21(2). Stratul IT-Grundschutz DER.1 "Detecție" acoperă latura de monitorizare operațională (analiza jurnalelor, SIEM, detecția anomaliilor). DER.1 singur nu satisface §7, dar este una dintre intrările pe care conceptul dumneavoastră de evaluare le va referenția.

La nivelul UE

Ghidul tehnic de implementare ENISA

TIG-ul ENISA pentru CIR (UE) 2024/2690 numește probele pe care le așteaptă auditorii conform §7: politică documentată, listă de KPI-uri cu ținte și valori realizate, responsabili numiți, procese-verbale de revizuire, acțiuni de urmărit rezultate din analiză. ENISA corelează totodată §7 cu controalele ISO/IEC 27001:2022 9.1 (monitorizare) și 5.36 (revizuirea conformității).

Alte state membre

Legi naționale de transpunere

Fiecare stat membru are propria lege de transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația este aceeași fiindcă directiva stabilește un singur standard la nivelul UE. Ce diferă: cui raportați, cum arată ciclul de audit, care autoritate sectorială are cuvântul în țara dumneavoastră.

Trei capcane pe care le vedem mereu
Trei presupuneri care apar în aproape fiecare apel de pregătire pentru audit. Toate trei creează lacune pe care un auditor le va găsi.

  • Facem un audit anual, acela este evaluarea noastră de eficacitate.

    Un audit este o verificare la un moment dat. CIR §7 cere monitorizare și măsurare continuă, plus analiză periodică. Auditul este o intrare, nu întregul răspuns. Dacă singura dumneavoastră probă de eficacitate este un raport de audit o dată pe an, nu aveți un concept §7.

  • Avem un SIEM, deci monitorizarea este acoperită.

    Un SIEM este un instrument printre intrările pe care conceptul dumneavoastră de evaluare le referenția. §7 nu întreabă "aveți un SIEM". Întreabă "care control îl testați, ce KPI măsurați față de el, ce valoare-țintă definește eficacitatea". Tablourile de bord SIEM, în sine, nu răspund la asta.

  • CISO-ul nostru știe dacă măsurile funcționează.

    CIR §7.2(d) și §7.2(f) cer responsabili numiți și analiză documentată. Cunoștințele rămase în capul unei singure persoane eșuează din două motive: lipsă de urmă de audit, lipsă de continuitate dacă acea persoană pleacă. Conceptul trebuie scris, analiza trebuie consemnată, iar organul de conducere trebuie să vadă rezultatele.

Cum fac efectiv acest lucru operatorii reali din Mittelstand

Majoritatea firmelor din Mittelstand măsoară deja două lucruri: disponibilitatea sistemelor și conformitatea la actualizări. Ambele sunt KPI-uri bune, dar acoperă doar două dintre cele zece măsuri din Articolul 21(2). Articolul 21(2)(f) vă cere mai mult: număr de incidente față de ținte, timp mediu până la detecție, timp mediu până la răspuns, rate de finalizare a formărilor, rezultate ale testelor de phishing, rate de finalizare a evaluărilor furnizorilor.

Ce vedem în practică: alegeți șase până la opt KPI-uri care se corelează cu cele mai mari riscuri ale dumneavoastră. Prezentare trimestrială către organul de conducere. Analiză aprofundată anuală care revizuiește selecția de KPI-uri față de registrul de riscuri actualizat. După fiecare incident semnificativ, declanșatorul din §7.3 se activează și revizuiți măsurile relevante indiferent de calendar. Asta rezistă sub proporționalitatea din Articolul 21(1) pentru un operator de 60 până la 250 de persoane.

Cum gestionăm asta pe platformă

Am integrat conceptul de evaluare §7 în platformă ca modul. Definiți KPI-uri, legați fiecare de măsura de management al riscului pe care o testează, setați o cadență de măsurare și o valoare-țintă și numiți responsabilul pentru măsurare și responsabilul pentru analiză. Platforma îi amintește responsabilului când urmează următoarea citire.

Tabloul de bord al organului de conducere adună fiecare KPI într-o singură vedere trimestrială, gata pentru ședința de supraveghere din Articolul 20(1). După un incident semnificativ, declanșatorul de revizuire din §7.3 se activează automat: KPI-urile relevante apar, responsabilii afectați primesc o sarcină, analiza primește o asumare. Urma de audit este completă în mod implicit.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(f). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (CIR), Anexa §7. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legea BSI (BSIG), §30(2)(6) astfel cum a fost modificată prin Legea de implementare a NIS2 și de consolidare a securității cibernetice
  • BSI IT-Grundschutz, stratul DER.1 "Detecția evenimentelor relevante pentru securitate". bsi.bund.de/grundschutz
  • Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690 (la zi în mai 2026)
Dovediți că măsurile funcționează, fără teancul de tabele
KPI-uri, responsabili, cadență și tabloul de bord al organului de conducere pe o singură platformă. Gratuit, open source, fără lock-in.
Deschideți platforma gratuită