Securitatea personalului conform NIS 2 în temeiul Articolului 21(2)(i)
Oamenii fac parte din perimetrul de securitate. Articolul 21(2)(i) NIS 2 numește securitatea personalului, controlul accesului și gestionarea activelor într-o singură suflare. CIR (UE) 2024/2690 §10 detaliază cele patru părți privind personalul. În Germania, §30(2)(9) BSIG poartă aceeași obligație.
Pe scurt
Majoritatea breșelor încep cu o persoană. Articolul 21(2)(i) plasează securitatea personalului pe lista celor zece obligații de securitate cibernetică. Textul grupează trei lucruri: securitatea personalului, controlul accesului și gestionarea activelor. Sunt legate, deoarece un rol decide de ce acces are nevoie o persoană și ce active poate atinge.
CIR (UE) 2024/2690 §10 ia jumătatea privind personalul și o împarte în patru părți. Asigurați-vă că oamenii își înțeleg rolul (§10.1). Verificați fiabilitatea acolo unde are sens (§10.2). Gestionați plecările și schimbările de rol în mod ordonat (§10.3). Aveți o procedură disciplinară pentru încălcări (§10.4). Nu HR de complezență. Securitate operațională.
Germania transpune întregul Articol 21(2)(i) prin §30(2)(9) BSIG, care enumeră împreună securitatea personalului, controlul accesului și gestionarea activelor. Aceeași formulare. Aceeași obligație. Această pagină parcurge directiva, regulamentul UE de punere în aplicare și transpunerea germană, în această ordine.
Articolul 21(2)(i) Directiva NIS 2 (2022/2555)
Securitatea resurselor umane, politicile de control al accesului și gestionarea activelor.
Punctul (i) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică. Trei obligații împachetate într-un singur paragraf, deoarece funcționează doar împreună.
CIR (UE) 2024/2690, Anexa §10
Securitatea resurselor umane (Articolul 21(2)(i) din Directiva (UE) 2022/2555).
CIR §10 împarte jumătatea privind personalul în patru subsecțiuni. §10.1 roluri și recrutare, §10.2 verificări de fiabilitate, §10.3 încetarea raporturilor de muncă și schimbările de rol, §10.4 procedura disciplinară. Legislație UE direct obligatorie pentru furnizorii DNS, furnizorii de cloud și de centre de date, furnizorii MSP, furnizorii de servicii de încredere și celelalte sectoare menționate în Anexă.
§30(2)(9) BSIG (Germania)
Securitatea resurselor umane, concepte pentru controlul accesului și gestionarea activelor.
Germania copiază textul UE. Obligația este aceeași. BSI indică IT-Grundschutz, în special modulul ORP.2 „Personal”, drept calea practică spre implementare.
Roluri, conștientizare și recrutare
Asigurați-vă că oamenii știu care sunt responsabilitățile lor de securitate cibernetică. Personalul în general, utilizatorii cu acces de administrator sau privilegiat și organul de conducere în particular. Recrutați deliberat pentru rolurile relevante pentru securitatea cibernetică: verificări de referințe, validarea calificărilor, teste scrise acolo unde este cazul.
Verificări de fiabilitate acolo unde este cazul
Verificări ale antecedentelor pentru personal și furnizorii direcți acolo unde sunt „fezabile și aplicabile” și rolul o impune. Scrieți care roluri pot fi ocupate doar de persoane a căror fiabilitate a fost verificată. Depinde de rol, nu este universal. Rolurile cu acces de administrator și privilegiat sunt candidați tipici.
Încetarea raporturilor, schimbarea rolului și disciplina
Când cineva pleacă sau își schimbă rolul, obligațiile de securitate care supraviețuiesc raportului de muncă trebuie stabilite în scris în contract și efectiv aplicate. Clauzele de confidențialitate se prelungesc dincolo de încetarea raportului de muncă. Și trebuie să existe o procedură disciplinară pentru încălcările politicilor de securitate.
Verificările de fiabilitate depind de rol, nu sunt universale
§10.2 prevede verificări ale antecedentelor „acolo unde sunt fezabile și aplicabile” și doar pentru rolurile care le impun. Nu verificați fiecare casier. Verificați persoana care deține rolul de administrator de domeniu. Criteriile privind ce roluri au nevoie de o verificare de fiabilitate trebuie să fie în scris, înainte de angajare, nu după.
Confidențialitatea supraviețuiește raportului de muncă
§10.3 cere ca obligațiile de securitate care trebuie să țină după plecarea cuiva să fie stabilite contractual. Confidențialitatea este cea evidentă. Nedivulgarea detaliilor incidentelor, a datelor clienților, a arhitecturii sistemelor. Clauza se introduce în contract din prima zi, nu în ultima zi a celui care pleacă.
BSI / IT-Grundschutz ORP.2
Nivelul de bază IT-Grundschutz al BSI acoperă securitatea personalului în modulul ORP.2 „Personal”. ORP.2 parcurge recrutarea, conștientizarea, instruirea, procedurile de plecare și personalul furnizorilor. În Germania trebuie, de asemenea, să vă coordonați cu dreptul muncii: limitele AGG asupra criteriilor de verificare, codeterminarea comitetului de întreprindere conform BetrVG la verificările antecedentelor. Faceți politica cu comitetul de întreprindere în încăpere, nu împotriva lui.
Orientarea tehnică de implementare a ENISA
Orientarea tehnică de implementare (TIG) a ENISA pentru CIR (UE) 2024/2690 cartografiază §10 pe controalele din Anexa A la ISO/IEC 27001:2022, A.6.1 până la A.6.6 (verificarea, termenii și condițiile de angajare, conștientizarea, procesul disciplinar, încetarea, confidențialitatea). Dacă rulați deja ISO 27001, cea mai mare parte din §10 este la locul ei. TIG numește dovezile pe care le așteaptă auditorii.
Legi naționale de transpunere
Fiecare stat membru are propria transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația prevăzută la Articolul 21(2)(i) este aceeași. Ce diferă local: constrângerile de drept al muncii asupra verificării antecedentelor, care reflectă AGG și BetrVG din Germania ca formă, dacă nu și în detaliu.
Nu facem verificări ale antecedentelor. Protecția datelor le interzice.
Prea larg. §10.2 limitează verificările de fiabilitate la rolurile unde sunt „fezabile și aplicabile”. Pentru utilizatorii cu acces de administrator sau privilegiat, o verificare de fiabilitate documentată este de regulă acceptabilă conform GDPR, dacă aveți un temei juridic clar, un domeniu de aplicare definit și comitetul de întreprindere de acord. Sarcina nu este „nu verificați pe nimeni”. Sarcina este „scrieți care roluri o impun și aplicați-o pentru acele roluri”.
Când cineva pleacă, îi luăm legitimația și îi dezactivăm contul. Gata.
Bine pentru partea de acces fizic și IT. Nu este suficient pentru §10.3. Directiva cere ca obligațiile care supraviețuiesc raportului de muncă să fie stabilite în scris în contract. Confidențialitatea, nedivulgarea, returnarea activelor, obligațiile continue de raportare pentru incidentele pe care persoana le cunoaște. O listă de verificare la plecare fără ancoră contractuală este jumătate din treabă.
Nu avem o procedură disciplinară pentru încălcările de securitate IT.
Ba da, aveți, doar că nu ați scris-o specific pentru IT. §10.4 cere o procedură disciplinară pentru încălcările politicilor de securitate. Nu trebuie să fie un proces separat. Integrați-o în procedura disciplinară generală de HR: numiți declanșatorul („încălcarea politicii de securitate a informației”), faceți trimitere la politică, documentați calea de escaladare.
Majoritatea companiilor din Mittelstand fac deja jumătate din §10 fără să-i spună NIS 2. HR rulează verificări de referințe la angajare. Există o listă de verificare la plecare. Clauzele de confidențialitate sunt în contractul standard de muncă. Instruirea de conștientizare are loc o dată pe an. Asta acoperă grosul §10.1 și o parte din §10.3.
Lacunele §10 pe care le vedem sunt mai înguste decât cred oamenii. Una: clauzele contractuale de confidențialitate care acoperă explicit obligațiile legate de IT și supraviețuiesc încetării raportului de muncă, nu doar formularea generică de acord de nedivulgare. Două: o listă scrisă a rolurilor unde o verificare de fiabilitate este obligatorie înainte de angajare, cu criteriile precizate. Trei: o procedură disciplinară explicită pentru încălcările de securitate IT, chiar dacă este un singur paragraf cu trimitere încrucișată la procedura generală de HR. Închideți aceste trei și §10 este gata.
Platforma captează dovezile §10 în modulele HR și ACC. Atribuirile de roluri se află într-un singur loc, cu persoana, rolul, starea verificării de fiabilitate și data ultimei instruiri de conștientizare. Lista de verificare la plecare este un flux cu aprobare, nu un document Word.
Jurnalul disciplinar se află în pista de audit. Când se înregistrează o încălcare a unei politici, procedura care se declanșează este documentată, pașii întreprinși sunt aprobați, iar finalizarea este vizibilă. Fără foaie de calcul. Fără un al doilea instrument. Aceeași bază de dovezi la care se va uita auditorul dumneavoastră.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(i). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §10. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30(2)(9) astfel cum a fost modificat prin Legea de implementare a NIS2 și de întărire a securității cibernetice
- BSI IT-Grundschutz, modulul ORP.2 „Personal”. bsi.bund.de/grundschutz
- Orientarea tehnică de implementare a ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)