Important vs. esențial vs. KRITIS: aceeași muncă, consecințe diferite
NIS2 definește trei niveluri de entități reglementate. Măsurile de securitate sunt identice pentru toate trei. Ceea ce se schimbă este cât de atent vă supraveghează BSI și cât de dur lovește dacă eșuați.
Trei niveluri, un singur set de reguli
Transpunerea germană a NIS2 (BSIG) clasifică entitățile reglementate în trei categorii: wichtige Einrichtungen (entități importante), besonders wichtige Einrichtungen (entități esențiale) și Betreiber kritischer Anlagen (operatori KRITIS). Multe companii petrec săptămâni încercând să-și dea seama în ce categorie se încadrează înainte de a-și începe munca de conformitate.
Iată concluzia esențială: nu contează pentru munca în sine. Toate cele trei categorii trebuie să implementeze aceleași 10 categorii de măsuri de securitate definite în §30(2) BSIG. Același management al riscului. Aceeași raportare a incidentelor. Aceeași securitate a lanțului de aprovizionare. Aceleași controale de acces. Aceleași politici de criptare. Aceeași planificare a continuității activității.
Diferențele constau în supraveghere (modul în care BSI vă monitorizează), în sancțiuni (cât plătiți dacă sunteți prinși neconformi) și în trei obligații suplimentare care se aplică doar operatorilor KRITIS. Procesul de conformitate prin care treceți pe NISD2 acoperă toate cele trei categorii în mod identic.
| Criteriu | Importantă (Wichtig) | Esențială (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Dimensiunea companiei | 50+ angajați SAU >10 mil. EUR cifră de afaceri și >10 mil. EUR bilanț | 250+ angajați SAU >50 mil. EUR cifră de afaceri și >43 mil. EUR bilanț | Orice dimensiune. Determinată de pragurile de infrastructură (de exemplu 500.000 de persoane deservite) |
| Sectoare | Anexa I (energie, transport, finanțe, sănătate, apă, infrastructură digitală, spațiu) + Anexa II (poștă, deșeuri, chimice, alimente, producție, servicii digitale, cercetare) | Doar sectoarele din Anexa I (entitățile mijlocii din Anexa I sunt clasificate ca importante, nu esențiale) | Submulțime a celor esențiale. Doar entitățile care operează infrastructură a cărei avarie ar perturba aprovizionarea publică |
| Includeri independente de dimensiune | Furnizori de servicii de încredere necalificați, furnizori mici de telecomunicații | Servicii de încredere calificate, registre TLD, furnizori DNS, furnizori mari de telecomunicații | Operatori de instalații critice astfel cum sunt definiți în BSI-KritisV (rețele electrice, tratarea apei, spitale etc.) |
Pragul UE pentru întreprinderea mijlocie este: 50+ angajați SAU (>10 mil. EUR cifră de afaceri ȘI >10 mil. EUR bilanț). Ambele criterii financiare trebuie îndeplinite simultan. O cifră de afaceri mare singură nu este suficientă. Pentru entitățile esențiale, pragul întreprinderii mari este: 250+ angajați SAU (>50 mil. EUR cifră de afaceri ȘI >43 mil. EUR bilanț). Aceste exemple arată cum se aplică regulile în practică.
| Scenariu | Angajați | Cifră de afaceri | Bilanț | Sector | Clasificare |
|---|---|---|---|---|---|
| Firmă de tranzacționare cu cifră de afaceri mare, echipă mică | 12 | 25 mil. EUR | 18 mil. EUR | Anexa I. Servicii bancare | Importantă. Ambele praguri financiare depășite (>10 mil. EUR), numărul de angajați irelevant |
| Producător mare, marjă redusă | 200 | 5 mil. EUR | 3 mil. EUR | Anexa II. Producție | Importantă. Numărul de angajați ≥50 este suficient, cifra de afaceri nu contează |
| Startup SaaS, cifră de afaceri mare, echipă minusculă | 8 | 15 mil. EUR | 4 mil. EUR | Anexa I. Infrastructură digitală | Nu intră în domeniul de aplicare. Cifra de afaceri depășește 10 mil. EUR, dar bilanțul este sub 10 mil. EUR. Sunt necesare AMBELE |
| Spital regional | 400 | 60 mil. EUR | 45 mil. EUR | Anexa I. Sănătate | Esențială. 250+ angajați în sectorul din Anexa I. Dacă >30.000 de cazuri de spitalizare pe an: KRITIS |
| Comerciant de energie, cu active reduse | 15 | 120 mil. EUR | 55 mil. EUR | Anexa I. Energie | Esențială. Ambele praguri financiare mari depășite (>50 mil. EUR cifră de afaceri ȘI >43 mil. EUR bilanț) |
| Companie de gestionare a deșeurilor | 80 | 8 mil. EUR | 6 mil. EUR | Anexa II. Deșeuri | Importantă. 80 de angajați ≥50 prag, în ciuda cifrei de afaceri reduse. Doar NACE E.38 (nu remediere E.39) |
| Furnizor de servicii gestionate (MSP) | 45 | 12 mil. EUR | 11 mil. EUR | Anexa I. Gestionarea serviciilor TIC | Importantă. Sub 50 de angajați, dar ambele praguri financiare depășite. De asemenea, supusă CIR 2024/2690 |
| Procesator de alimente, forță de muncă sezonieră | 55 (medie anuală) | 9 mil. EUR | 7 mil. EUR | Anexa II. Alimente | Importantă. Numărul de angajați folosește unități anuale de muncă (Rec. 2003/361/CE art. 5). Vârfurile sezoniere contează proporțional |
| Furnizor de servicii de încredere calificat (qTSP) | 3 | 500 mii EUR | 200 mii EUR | Anexa I. Infrastructură digitală | Esențială. Independentă de dimensiune conform §28(1) BSIG. Furnizorii qTSP sunt întotdeauna esențiali, indiferent de dimensiune |
| Distribuitor de produse chimice, filială mare | 180 | 70 mil. EUR | 50 mil. EUR | Anexa II. Produse chimice | Importantă. În ciuda indicatorilor financiari mari, sectoarele din Anexa II ating maximum nivelul important. Doar Anexa I + mare = esențială |
Pragurile de dimensiune conform Recomandării UE 2003/361/CE art. 2, la care face trimitere Directiva NIS2 art. 2(1). Numărul de angajați folosește unitățile anuale de muncă (art. 5). Regulile privind întreprinderile legate și partenere (Anexă art. 3) pot agrega numărul de angajați și indicatorii financiari ai societății-mamă. Clasificarea pe sectoare conform Directivei NIS2 Anexa I/II, transpusă în BSIG §28 Anlage 1/2. Cazurile independente de dimensiune conform §28(1) BSIG.
Ce este identic în toate cele trei categorii
Obligațiile de conformitate definite în §30(2) BSIG sunt aceleași pentru entitățile importante, esențiale și KRITIS. Nu există o versiune mai ușoară pentru entitățile importante și nici o versiune mai grea pentru entitățile esențiale. Cele 10 categorii de măsuri de securitate se aplică în mod egal:
- Politici și proceduri de management al riscului (§30(2) Nr. 1)
- Gestionarea și raportarea incidentelor. Raport inițial la 24h, detaliat la 72h, final la 1 lună (§32)
- Continuitatea activității și recuperarea după dezastru (§30(2) Nr. 3)
- Securitatea lanțului de aprovizionare (§30(2) Nr. 4)
- Securitate în achiziție, dezvoltare și întreținere (§30(2) Nr. 5)
- Politici de evaluare a eficacității măsurilor de securitate (§30(2) Nr. 6)
- Igienă cibernetică și instruire (§30(2) Nr. 7)
- Politici de criptografie și criptare (§30(2) Nr. 8)
- Securitatea resurselor umane și controlul accesului (§30(2) Nr. 9)
- Autentificare cu factori multipli și comunicații securizate (§30(2) Nr. 10)
- Înregistrarea la BSI în termen de 3 luni (§33)
- Răspunderea conducerii. Responsabilitate personală pentru aprobarea și monitorizarea măsurilor de securitate (§38)
Aceasta înseamnă că platforma NISD2 acoperă toate tipurile de entități cu același set de cerințe. Fie că sunteți o companie alimentară importantă sau un furnizor de energie esențial, procesul de conformitate este identic. Îndepliniți aceleași cerințe, produceți aceleași dovezi și respectați aceleași standarde.
| Obligație | Importantă | Esențială | KRITIS |
|---|---|---|---|
| 10 măsuri de securitate (§30) | Obligatorie | Obligatorie | Obligatorie |
| Raportarea incidentelor (§32) | 24h / 72h / 1 lună | 24h / 72h / 1 lună | 24h / 72h / 1 lună |
| Înregistrare la BSI (§33) | De bază | De bază | Extinsă. Serviciu critic, indicatori de aprovizionare, locația instalației, contact 24/7 |
| Răspunderea conducerii (§38) | Răspundere personală | Răspundere personală | Răspundere personală |
| Supraveghere BSI | Doar reactivă (§62). BSI acționează numai când există dovezi de neconformitate | Proactivă (§61). BSI poate audita oricând, fără motiv | Proactivă + ciclu obligatoriu de dovadă la 3 ani (§39) |
| Sancțiune maximă (de bază) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Sancțiune maximă (din cifra de afaceri) | 1,4% din cifra de afaceri globală | 2% din cifra de afaceri globală | 2% din cifra de afaceri globală |
| Sisteme de detectare a atacurilor (§31) | Neobligatorie | Neobligatorie | Obligatorie. Capacitate continuă SIEM/SOC |
| Dovadă obligatorie de conformitate (§39) | Neobligatorie | Neobligatorie | Obligatorie. La fiecare 3 ani, depusă la BSI |
KRITIS: trei obligații suplimentare
Operatorii KRITIS, entitățile care operează infrastructură a cărei avarie ar perturba aprovizionarea publică (rețele electrice, tratarea apei, spitale), trebuie să îndeplinească trei cerințe suplimentare față de ce trebuie să facă entitățile importante și esențiale.
§31. Sisteme de detectare a atacurilor (Angriffserkennungssysteme)
Aveți nevoie de un sistem care vă supraveghează rețeaua non-stop și care poate identifica atacuri în desfășurare sau poate detecta că cineva a pătruns deja. În practică, aceasta înseamnă implementarea unui SIEM (Security Information and Event Management), un software care colectează jurnale de la fiecare server, firewall și endpoint, le corelează și alertează la anomalii. Trebuie să folosească atât potrivire de tipare, cât și detectare de anomalii, nu doar semnături. Majoritatea companiilor externalizează aceasta către un furnizor de SOC gestionat (Security Operations Center), ceea ce costă de obicei între 5.000 și 15.000 EUR pe lună. Entitățile NIS2 obișnuite se descurcă cu monitorizare de bază. Operatorii KRITIS, în mod explicit, nu pot.
§33(2). Înregistrare extinsă la BSI
Pe lângă înregistrarea standard (nume, sector, contact), operatorii KRITIS trebuie să comunice BSI exact ce serviciu critic furnizează (de exemplu „alimentarea cu apă potabilă pentru 200.000 de persoane”), ce componente critice folosesc, locația fizică a instalației și o persoană de contact disponibilă 24/7, accesibilă la orice oră. Indicatorii de aprovizionare trebuie raportați anual. BSI îi folosește pentru a verifica dacă încă depășiți pragul KRITIS (definit în BSI-KritisV, de exemplu 500.000 de persoane deservite pentru apă, 104 MW pentru energie).
§39. Dovadă obligatorie de conformitate la fiecare 3 ani (Nachweispflicht)
La fiecare 3 ani, trebuie să depuneți în mod proactiv la BSI rezultate de audit, rapoarte de securitate sau certificări care dovedesc conformitatea cu toate măsurile §30 și cu detectarea atacurilor §31. BSI nu trebuie să vină să vă caute. Veniți voi la ei. Dacă BSI găsește deficiențe, emite ordine de remediere obligatorii cu termene și solicită dovada că ați rezolvat problemele. Gândiți-vă la acesta ca la un ciclu obligatoriu de certificare ISO, doar că auditorul este statul. Primul termen: decembrie 2028 (5 ani pentru spitale: decembrie 2030).
Ce înseamnă aceasta pentru compania dvs.
Dacă sunteți o companie cu 50-250 de angajați din Germania, utilizatorul tipic NISD2, sunteți aproape sigur clasificat ca wichtige Einrichtung (entitate importantă). Compania dvs. de producție, afacerea de procesare a alimentelor sau furnizorul de servicii IT se încadrează în această categorie. Munca de conformitate pe care trebuie să o faceți este exact aceeași cu ce face o entitate esențială mare sau chiar un operator KRITIS. Singura diferență practică: BSI nu vă va audita proactiv decât dacă are un motiv (un incident, o plângere sau un pont).
Acesta nu este un motiv pentru a face mai puțin. Dacă BSI vă auditează reactiv, după un incident, și vă găsește neconformi, se aplică amenzi de până la 7 milioane EUR sau 1,4% din cifra de afaceri globală. Iar conducerea dvs. răspunde personal conform §38. Poziția cea mai sigură este conformitatea deplină, indiferent de categorie. NISD2 vă oferă același proces de conformitate folosit de entitățile esențiale și KRITIS, deoarece cerințele sunt identice.
Întrebări frecvente
Poate compania mea să fie atât importantă, cât și esențială?
Nu. Categoriile se exclud reciproc conform §28 BSIG. Dacă îndepliniți pragul esențial (250+ angajați sau >50 mil. cifră de afaceri într-un sector din Anexa I), sunteți esențială. Dacă îndepliniți pragul important, dar nu pe cel esențial, sunteți importantă. KRITIS este o submulțime a celor esențiale. Operatorii KRITIS sunt clasificați automat ca esențiali, cu obligații suplimentare pe deasupra.
Sunt o entitate importantă. Trebuie să fac mai puțină muncă de conformitate?
Nu. Cele 10 categorii de măsuri de securitate din §30(2) BSIG se aplică în mod identic atât entităților importante, cât și celor esențiale. Singura diferență este aplicarea: BSI supraveghează entitățile esențiale proactiv (audituri aleatorii) și entitățile importante reactiv (doar după dovezi de neconformitate). Dar măsurile în sine, termenele de raportare a incidentelor și răspunderea conducerii sunt toate aceleași.
Cum știu dacă sunt KRITIS?
Clasificarea KRITIS este definită în regulamentul BSI-KritisV, pe baza unor praguri specifice de aprovizionare: 500.000 de persoane deservite pentru apă, 104 MW capacitate instalată pentru energie, 30.000 de cazuri de spitalizare pe an pentru spitale etc. Dacă avaria infrastructurii dvs. nu ar perturba direct aprovizionarea publică la aceste scări, nu sunteți KRITIS. Majoritatea companiilor de pe piața mijlocie nu sunt KRITIS. Sunt entități importante sau esențiale.
Ce se întâmplă dacă îmi clasific greșit entitatea?
Clasificarea determină intensitatea supravegherii și plafoanele sancțiunilor, nu ce trebuie să implementați. Dacă implementați toate cele 10 categorii de măsuri (prin care NISD2 vă ghidează), sunteți conformi indiferent de clasificare. Riscul clasificării greșite este subestimarea expunerii la supraveghere, adică să credeți că BSI nu vă va audita, când de fapt poate.
CIR 2024/2690 face distincție între entitățile importante și esențiale?
Nu. CIR se aplică unor tipuri specifice de entități (furnizori de cloud, furnizori DNS, furnizori de servicii gestionate etc.) indiferent dacă sunt clasificate ca importante sau esențiale. Cerințele tehnice din CIR sunt identice pentru ambele categorii.
- §28 BSIG. Clasificarea entităților (entități esențiale și importante)
- §30 BSIG. Măsuri de management al riscului (10 categorii, identice pentru toate tipurile de entități)
- §31 BSIG. Sisteme de detectare a atacurilor (doar KRITIS)
- §32 BSIG. Obligații de raportare a incidentelor (termene identice pentru toate tipurile de entități)
- §33 BSIG. Obligații de înregistrare (extinse pentru KRITIS)
- §38 BSIG. Răspunderea conducerii (identică pentru toate tipurile de entități)
- §39 BSIG. Dovadă de conformitate (doar KRITIS, la fiecare 3 ani)
- §61 BSIG. Supravegherea entităților esențiale (proactivă)
- §62 BSIG. Supravegherea entităților importante (reactivă)
- §65 BSIG. Sancțiuni și amenzi
- CIR 2024/2690. Regulament de punere în aplicare al UE (fără distincție pe tipuri de entități)
- BSI-KritisV. Regulamentul privind pragurile KRITIS