Cerințe NIS2
Ce trebuie să implementeze entitățile vizate: 10 măsuri obligatorii de securitate cibernetică, o cascadă strictă de raportare a incidentelor și conformitate bazată pe dovezi.
10 măsuri obligatorii de management al riscului (Secțiunea 30 BSIG / Articolul 21(2) NIS-2)
Toate entitățile esențiale și importante trebuie să implementeze aceste măsuri. Nu există o perioadă de tranziție. Aceste obligații se aplică în Germania din 6 decembrie 2025.
Analiza riscurilor și politicile de securitate a informației
Stabiliți și mențineți politici pentru analiza riscurilor și securitatea sistemelor informatice. Efectuați evaluări regulate ale riscurilor care acoperă toate sistemele și procesele critice.
Gestionarea incidentelor
Implementați proceduri pentru prevenirea, detectarea, identificarea, izolarea, atenuarea și răspunsul la incidentele de securitate.
Continuitatea activității și managementul crizelor
Gestionarea copiilor de rezervă, planificarea recuperării în caz de dezastru și procedurile de management al crizelor pentru a asigura reziliența operațională.
Securitatea lanțului de aprovizionare
Măsuri de securitate pentru relațiile cu furnizorii direcți și prestatorii de servicii. Include evaluarea practicilor de securitate cibernetică ale tuturor furnizorilor și a cerințelor contractuale de securitate.
Securitatea în achiziție, dezvoltare și mentenanță
Securitatea în achiziția, dezvoltarea și mentenanța rețelelor și a sistemelor informatice. Include gestionarea vulnerabilităților și procedurile de divulgare.
Evaluarea eficacității
Politici și proceduri pentru evaluarea eficacității măsurilor de management al riscului de securitate cibernetică. Testarea și evaluarea regulată a controalelor de securitate.
Instruire în securitate cibernetică și igienă cibernetică
Practici de bază de instruire în securitate cibernetică pentru toți angajații. Programe de conștientizare care acoperă phishingul, ingineria socială, gestionarea parolelor și practicile sigure de lucru cu sistemele informatice.
Criptografie și criptare
Politici și proceduri privind utilizarea criptografiei și, după caz, a criptării. Acoperă datele în repaus, datele în tranzit și gestionarea cheilor.
Securitatea personalului, controlul accesului și gestionarea activelor
Politici de securitate a resurselor umane, mecanisme de control al accesului și proceduri de gestionare a activelor. Include integrarea și ieșirea angajaților, accesul cu privilegii minime și inventarele de active.
Autentificare multifactor și comunicații securizate
Utilizarea soluțiilor de autentificare multifactor (MFA) sau de autentificare continuă. Comunicații securizate prin voce, video și text. Sisteme securizate de comunicații de urgență în cadrul entității.
Avertizare timpurie (Frühwarnung)
Raportați dacă se suspectează că incidentul a fost cauzat de acte ilegale sau rău intenționate și dacă ar putea avea un impact transfrontalier.
Notificare actualizată (Aktualisierte Meldung)
Evaluarea gravității, evaluarea impactului, indicatorii de compromitere și analiza inițială a cauzei rădăcină, dacă este disponibilă.
Raport final (Abschlussmeldung)
Descrierea detaliată a incidentului, cauza rădăcină confirmată, măsurile de atenuare luate, pașii preventivi implementați și evaluarea impactului transfrontalier.
Ce contează drept incident „semnificativ”?
Un incident de securitate se califică drept semnificativ atunci când a cauzat sau este capabil să cauzeze o perturbare operațională gravă sau pierderi financiare pentru entitate.
Se califică, de asemenea, atunci când a afectat sau este capabil să afecteze alte persoane fizice sau juridice prin cauzarea unui prejudiciu material sau imaterial considerabil. Pentru cele 11 tipuri de entități digitale prevăzute de CIR 2024/2690 (DNS, cloud, MSP, MSSP, piețe online, motoare de căutare, rețele sociale, servicii de încredere etc.) se aplică praguri cantitative suplimentare conform Art. 3 CIR (pierdere financiară de peste 500.000 EUR sau 5% din cifra de afaceri anuală, exfiltrarea de secrete comerciale, deces sau prejudiciu grav asupra sănătății, acces neautorizat reușit cu intenție rău intenționată), plus criterii specifice sectorului în Art. 5 până la 14 (de exemplu, o întrerupere DNS de peste 30 de minute sau o întrerupere cloud care afectează mai mult de 5% dintre utilizatori).
Cerințe privind auditul și dovezile
Trebuie să demonstreze conformitatea prin audituri, inspecții sau certificări la fiecare 3 ani. Trebuie să includă sisteme de detectare a atacurilor în măsurile lor. Termenul inițial pentru dovezi este stabilit de BSI la înregistrare (~2028).
Nu există un ciclu de audit obligatoriu regulat, dar trebuie menținută o documentație cuprinzătoare. BSI poate efectua verificări proactive prin sondaj și poate solicita dovezi în orice moment, folosind o selecție bazată pe risc.
Trebuie să documenteze implementarea tuturor măsurilor necesare. Inspecțiile BSI sunt doar reactive, declanșate de incidente sau de o suspiciune justificată de neconformitate.
- Rapoarte de audit interne sau externe
- Certificări (ISO 27001, BSI IT-Grundschutz etc.)
- Documentație cuprinzătoare a evaluărilor riscurilor, a măsurilor implementate și a evaluărilor de eficacitate
Certificarea ISO 27001 sau IT-Grundschutz sprijină, dar nu garantează conformitatea NIS2: cerințele BSIG pot depăși domeniul standard al certificării.
- Evalueze practicile de securitate cibernetică ale tuturor furnizorilor direcți și prestatorilor de servicii
- Includă cerințe de securitate cibernetică în contractele cu furnizorii
- Monitorizeze și revizuiască în mod continuu poziția de securitate a furnizorilor
- Coordoneze divulgarea vulnerabilităților cu furnizorii
- Țină cont de calitatea generală a produselor și practicilor furnizorilor, inclusiv de procedurile lor de dezvoltare securizată