Managementul riscului NIS 2 conform Articolului 21(2)(a)
NIS 2 spune că trebuie să gestionați riscul de securitate cibernetică într-un mod structurat. Articolul 21(2)(a) este locul unde stă obligația, CIR (UE) 2024/2690 §2 detaliază specificitățile, iar autoritatea dvs. națională de reglementare (în Germania: BSI) este cea în fața căreia răspundeți.
Pe scurt
Managementul riscului stă în fruntea listei celor zece obligații de securitate cibernetică din Articolul 21(2). Dacă NIS 2 vi se aplică, trebuie să identificați riscurile la adresa sistemelor dvs., să apreciați cât de grave ar putea fi și să faceți ceva în privința lor. Aceeași regulă se aplică în întreaga UE.
CIR (UE) 2024/2690 completează detaliul. Anexa §2 spune că cadrul dvs. de management al riscului are nevoie de trei părți. Stabiliți unul. Verificați că oamenii chiar îl folosesc. Cereți cuiva independent să îl revizuiască. Acesta este pragul minim. Dacă operați DNS, cloud, un centru de date, un MSP, servicii de încredere sau orice alt sector listat în Anexa CIR, asta vă obligă în mod direct.
Germania pune aceeași regulă în legea națională prin §30(2)(1) BSIG. Formularea este aproape cuvânt cu cuvânt textul UE. Această pagină parcurge directiva, regulamentul de aplicare al UE și transpunerea germană, în această ordine.
Articolul 21(2)(a) Directiva NIS 2 (2022/2555)
Politici privind analiza riscurilor și securitatea sistemelor informatice.
Acesta este punctul (a) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică.
CIR (UE) 2024/2690, Anexa §2
În sensul Articolului 21(2)(a) din Directiva (UE) 2022/2555, entitățile relevante stabilesc un cadru corespunzător de management al riscului pentru a identifica și a aborda riscurile la adresa securității rețelelor și sistemelor informatice.
Pentru că acesta este un regulament (nu o directivă), este drept UE direct obligatoriu. Nu este nevoie de transpunere națională. Se aplică furnizorilor de DNS, registrelor TLD, furnizorilor de cloud, centrelor de date, furnizorilor de servicii gestionate și celorlalte sectoare listate în Anexa sa.
§30(2)(1) BSIG (Germania)
Politici privind analiza riscurilor și privind securitatea tehnologiei informației.
Germania copiază textul UE aproape cuvânt cu cuvânt. Mica schimbare ('securitatea tehnologiei informației' în loc de 'securitatea sistemelor informatice') ține de formulare, nu de sens.
Stabiliți un cadru de management al riscului
Notați cum identificați riscurile, cum le punctați, ce faceți cu ele și cu ce riscuri sunteți dispus să trăiți. Acoperiți fiecare sistem care contează pentru afacerea dvs. Cine decide ce riscuri acceptați trebuie să semneze pentru asta, cu numele.
Verificați că oamenii chiar îl respectă
Revizuiți la o cadență regulată dacă echipa dvs. face ceea ce spune cadrul. Dacă nu, notați lacuna și remediați-o. Un cadru pe care nu îl respectă nimeni nu este un cadru.
Cereți o pereche independentă de ochi asupra lui
Din când în când, cineva care nu operează cadrul ar trebui să se uite la el. Independent înseamnă separat structural, nu neapărat extern. Echipa dvs. de audit intern poate face asta. Un consultant angajat poate face asta. Ideea este o privire proaspătă.
Abordarea bazată pe toate pericolele (Articolul 21(2))
Atacurile cibernetice nu sunt singurul lucru de pe listă. Incendiul, inundația, pierderea curentului, plecarea unei persoane-cheie, falimentul unui furnizor, toate contează. Dacă registrul dvs. de riscuri are doar malware și phishing, nu ați atins standardul.
Proporționalitate (Articolul 21(1), al doilea paragraf)
Potriviți ceea ce faceți cu riscul pe care îl întâmpinați de fapt. Textul spune că trebuie să fie 'corespunzător riscului prezentat'. Șase elemente intră în decizie: cât de expus sunteți, cât de mare sunteți, cât de probabil este un incident, cât de grav ar fi (inclusiv impactul economic și social mai larg), stadiul tehnicii și cât costă punerea în practică. Un Stadtwerk cu 60 de persoane nu trebuie să cheltuie ca o bancă.
BSI / §30 BSIG
BSI listează cele zece măsuri din Articolul 21(2) în Infopakete și le numește 'cel puțin următoarele zece măsuri (vezi § 30(2) BSIG)'. Transpunerea germană urmează îndeaproape formularea directivei și indică spre IT-Grundschutz ca rută practică de implementare.
Ghidul tehnic de implementare ENISA
ENISA, agenția UE pentru securitate cibernetică, publică un Ghid tehnic de implementare (TIG) care ia textul CIR abstract și vă arată ce să faceți în practică. De asemenea, corelează cerințele cu standarde consacrate precum ISO/IEC 27001:2022 și NIST CSF 2.0, astfel încât certificările existente vă dau un avans.
Legi naționale de transpunere
Fiecare stat membru are propria lege de transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligațiile sunt aceleași pentru că directiva stabilește un singur standard la nivelul UE. Ce diferă: termenele, canalele de raportare, cu ce agenție vorbiți.
Avem asigurare cibernetică, deci suntem acoperiți.
BSI este tranșant: 'Un transfer general de risc sau o acceptare generală a riscului este, prin urmare, exclusă.' Asigurarea este ceva pe care îl adăugați peste tratarea riscului, nu un înlocuitor. De asemenea, nu puteți pur și simplu 'accepta' fiecare risc de care nu vreți să vă ocupați. Acel argument nu va supraviețui unui audit.
Putem face analiza de risc fără să listăm activele.
Nu puteți. CIR §2.1 nu funcționează fără o listă scrisă a ceea ce aveți de fapt. Aplicații, sisteme, locații, date, furnizori. IT-Grundschutz vă permite să grupați împreună active identice (45 de laptopuri de birou contează ca o singură intrare cu o cantitate), astfel încât lista nu trebuie să fie uriașă. Dar trebuie să existe.
Decidem ce acceptăm de la caz la caz.
Un auditor trebuie să vadă criteriile pe care le-ați stabilit înainte de incident, nu după. Decideți din timp: la ce prag acceptați un risc, la ce prag îl remediați, la ce prag îl transferați (de exemplu, prin asigurare). Acele criterii aparțin cadrului, nu unui e-mail întocmit ulterior.
Articolul 21(1) vă dă spațiu prin clauza de proporționalitate: ceea ce faceți trebuie să se potrivească cu mărimea dvs., cu expunerea la risc și cu costurile. Directiva în sine nu se așteaptă să faceți totul la adâncime maximă din prima zi.
Ce vedem că fac practicienii în Mittelstand-ul german: mai întâi o evaluare a lacunelor, apoi cele douăsprezece până la cincisprezece măsuri cele mai urgente în primul an, apoi restul răspândit pe următorul an sau doi. Asta rezistă conform Articolului 21(1), atâta timp cât eșalonarea este notată, justificată de tabloul dvs. de risc și aprobată de organul de conducere. Nu va rezista dacă eșalonarea nu este documentată sau dacă ați sărit peste cele mai mari riscuri.
Am integrat cadrul CIR §2 în platformă ca un modul. Înregistrați riscuri în raport cu activele, punctați probabilitatea și impactul, direcționați fiecare risc într-un plan de tratare și captați criteriile de acceptare cu o aprobare semnată. Fără teancuri de foi de calcul. Fără un al doilea instrument.
Partea de monitorizare §2.2 rezultă din folosirea platformei: aprobări, statusul sarcinilor, pista de audit. Nu întrețineți un jurnal de conformitate separat. Revizuirea independentă §2.3 poate fi făcută intern (un coleg care nu este în lanț) sau extern (un auditor angajat). Oricum ar fi, le oferim vizualizarea în regim doar-citire de care au nevoie.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §1 și §2. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §30 astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- BSI Infopakete 'NIS 2 Pflichten'. bsi.bund.de/dok/nis-2-infopakete
- Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)