Koordinovaná posouzení rizik podle článku 22 NIS 2
Článek 22 je způsob, jakým EU posuzuje strategické riziko dodavatelského řetězce pro věci jako 5G, cloud a poskytovatele řízených služeb. Posouzení dělá skupina pro spolupráci. ENISA a Komise ho podporují. Subjekty pak musí výstupy zohlednit, když si vybírají dodavatele podle článku 21 odst. 2 písm. d).
Krátká verze
Článek 22 NIS 2 dává skupině pro spolupráci spolu s Komisí a ENISA pravomoc provádět koordinovaná posouzení rizik bezpečnosti dodavatelských řetězců pro konkrétní kritické služby, systémy nebo produkty IKT. 5G Toolbox z roku 2020 byl prvním rozpracovaným příkladem. Cloud, poskytovatele řízených služeb, poskytovatele identit a další lze posoudit stejným způsobem.
Tato posouzení jsou na úrovni EU a strategická. Pokrývají technické rizikové faktory a v případě potřeby i netechnické. Netechnické znamená geopolitiku, regulační prostředí, vlastnictví a kontrolu nad dodavateli. 5G Toolbox řešil riziko vysoce rizikových dodavatelů mimo EU přesně pod touto hlavičkou.
Článek 22 subjekty přímo neváže. Článek 21 odst. 3 ano. Subjekty v působnosti musí zohlednit výsledky koordinovaných posouzení, když vybírají svá opatření pro bezpečnost dodavatelů podle článku 21 odst. 2 písm. d). To je most od strategie na úrovni EU k zadávání zakázek na úrovni subjektu.
Článek 22 odst. 1 a 2 směrnice NIS 2 (2022/2555)
(1) Skupina pro spolupráci může ve spolupráci s Komisí a ENISA provádět koordinovaná posouzení bezpečnostních rizik konkrétních kritických služeb IKT, systémů IKT nebo dodavatelských řetězců produktů IKT, přičemž zohlední technické a v relevantních případech netechnické rizikové faktory. (2) Komise po konzultaci se skupinou pro spolupráci a ENISA a v relevantních případech s relevantními zúčastněnými stranami určí konkrétní kritické služby IKT, systémy IKT nebo produkty IKT, které mohou být předmětem koordinovaného posouzení bezpečnostních rizik uvedeného v odstavci 1.
Článek 22 zřizuje mechanismus. Skupina pro spolupráci provádí posouzení. Komise vybírá, které produkty, systémy a služby IKT se posoudí. ENISA podporuje obojí. Posouzení jsou celoevropská a strategická, ne subjekt po subjektu.
Článek 21 odst. 3 NIS 2 + CIR (EU) 2024/2690 § 5
Článek 21 odst. 3: Členské státy zajistí, aby při zvažování, která opatření uvedená v písmenu d) odstavce 2 tohoto článku jsou vhodná, subjekty zohlednily zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Členské státy rovněž zajistí, aby při zvažování, která opatření uvedená v daném písmenu jsou vhodná, byly subjekty povinny zohlednit výsledky koordinovaných posouzení bezpečnostních rizik kritických dodavatelských řetězců prováděných v souladu s článkem 22 odst. 1.
Článek 21 odst. 3 je dopad na úrovni subjektu. Pokud jste v působnosti a vybíráte dodavatele podle článku 21 odst. 2 písm. d), musíte zohlednit výstupy článku 22. CIR § 5 pak stanoví provozní detail bezpečnosti dodavatelů na úrovni subjektu a hloubku důkazů o zadávání zakázek řídí doložka přiměřenosti podle článku 21 odst. 1.
§ 30 odst. 2 bod 4 BSIG a účast ve skupině pro spolupráci (Německo)
Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně řešení a zveřejňování zranitelností.
Německo kopíruje povinnost bezpečnosti dodavatelů do § 30 odst. 2 bod 4 BSIG. BMI a BSI se účastní skupiny pro spolupráci za Německo, takže výstupy článku 22 napájejí národní pokyny. BSI vydává shrnutí ve svých Infopakete a sektorových pokynech. Pro samotný článek 22 neexistuje samostatný německý předpis: jde o mechanismus skupiny pro spolupráci a dopad na úrovni subjektu už běží skrze § 30 BSIG.
Kdo ho provádí
Skupina pro spolupráci, ve spolupráci s Komisí a ENISA. Skupina pro spolupráci je stálé fórum úřadů členských států podle článku 14 NIS 2. ENISA přináší technickou podporu a píše velkou část podkladové analýzy. Komise svolává a řídí.
Co pokrývá
Komise vybírá konkrétní kritické produkty, systémy a služby IKT, které se posoudí. Po konzultaci se skupinou pro spolupráci, ENISA a v relevantních případech dalšími zúčastněnými stranami. 5G byl první. Cloud, poskytovatelé identit, poskytovatelé řízených služeb a další mohou následovat. Nic v textu to neomezuje na jednu technologii.
Jak dopadá na úrovni subjektu
Subjekty v působnosti musí zohlednit výstupy posouzení, když vybírají dodavatele podle článku 21 odst. 2 písm. d). To je provozní úchyt. Ne 'splňte článek 22'. 'Zohledněte výstupy článku 22 při výběru a řízení svých dodavatelů'.
Strategické na úrovni EU, provozní na úrovni subjektu
Článek 22 sedí ve strategické vrstvě EU. Provádí ho skupina pro spolupráci, Komise a ENISA. Výstupem je koordinované čtení konkrétního dodavatelského řetězce. Subjekty pak toto čtení operacionalizují skrze článek 21 odst. 2 písm. d) a CIR § 5, škálované doložkou přiměřenosti podle článku 21 odst. 1. Tyto dvě vrstvy se neslévají v jednu.
Technické a netechnické rizikové faktory
Článek 22 odst. 1 výslovně jmenuje obojí. Technické faktory jsou obvyklý povrch kybernetické bezpečnosti: známé zranitelnosti, postupy bezpečného vývoje, chování při záplatování. Netechnické faktory jsou geopolitika, regulační expozice, vlastnictví a kontrola nad dodavatelem. 5G Toolbox řešil profily vysoce rizikových dodavatelů mimo EU přesně pod touto hlavičkou. Článek 22 je jediným článkem NIS 2, kde je netechnické riziko jmenováno v textu.
BMI a BSI prostřednictvím skupiny pro spolupráci
BMI a BSI zastupují Německo ve skupině pro spolupráci. Když je zveřejněno koordinované posouzení, BSI začlení podstatu do svých Infopakete a sektorových pokynů. § 30 odst. 2 bod 4 BSIG nese povinnost bezpečnosti dodavatelů na úrovni subjektu. Výstup článku 22 je jedním ze vstupů do toho, jak německý auditor čte 'vhodné' podle § 30.
Technická podpora ENISA
ENISA je v článku 22 odst. 1 jmenována jako technický partner. Dělá velkou část analytické práce pro koordinovaná posouzení a předává ji skupině pro spolupráci. ENISA také udržuje technické implementační pokyny pro CIR, které subjekty pak používají k operacionalizaci povinností bezpečnosti dodavatelů podle článku 21 odst. 2 písm. d).
Národní transpozice článku 21 odst. 3
Každý členský stát transponuje článek 21 odst. 3 do svého zákona o NIS 2 (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost zohlednit výstupy koordinovaného posouzení je stejná v celé EU. Liší se to, který národní úřad vydává pokyny a jak pravidla zadávání zakázek přebírají výsledky posouzení.
Článek 22 je jen pravidlo pro 5G.
5G byl prvním rozpracovaným příkladem, ne jediným. Článek 22 odst. 2 dává Komisi otevřenou pravomoc vybrat, které kritické produkty, systémy a služby IKT se posoudí. Cloud, poskytovatele řízených služeb, poskytovatele identit a další lze pod něj zařadit. Brát článek 22 jako článek jen o 5G podceňuje rozsah o velký kus.
Jsme pod prahem velikosti, takže se na nás článek 22 nevztahuje.
Samotný článek 22 se na subjekty přímo nevztahuje. Vztahuje se na úroveň EU. Co se na vás vztahuje, pokud jste subjektem v působnosti NIS 2, je článek 21 odst. 3: musíte zohlednit výsledky koordinovaných posouzení při výběru dodavatelů podle článku 21 odst. 2 písm. d). Vaše velikost tuto povinnost nemění, jakmile jste v působnosti.
Článek 22 je způsob, jakým EU vymáhá NIS 2 vůči dodavatelům.
Článek 22 je mechanismus posouzení rizik, ne nástroj vymáhání. Neukládá dodavatelům povinnosti. Vytváří koordinované čtení EU, které subjekty pak musí zohlednit podle článku 21 odst. 3. Vymáhání vůči subjektům běží skrze národní dozorové orgány podle článků 31 až 37. Vymáhání vůči dodavatelům nepřímo běží skrze doložky o zadávání zakázek na úrovni subjektu podle článku 21 odst. 2 písm. d).
Sledujte výstupy skupiny pro spolupráci. BSI je shrnuje v Infopakete. ENISA na ně odkazuje v aktualizacích TIG. Pokud koordinované posouzení dopadne na technologii, na které závisíte (5G, cloud, poskytovatelé řízených služeb), aktualizujte odpovídajícím způsobem svou politiku bezpečnosti dodavatelů a svůj registr dodavatelů. Citujte posouzení v záznamu, aby auditor viděl tu vazbu.
5G Toolbox je rozpracovaný příklad. Některá omezení vysoce rizikových dodavatelů se přelila do národních pravidel zadávání zakázek a odtud do výběru dodavatelů na úrovni subjektu. Očekávejte stejný vzorec, až budou zveřejněna nová posouzení. Nemusíte číst celý dokument skupiny pro spolupráci. Shrnutí od BSI plus jednořádkový záznam o dotčených dodavatelích ve vašem registru stačí k prokázání, že jste výstupy zohlednili.
Registr dodavatelů propojuje každého dodavatele s relevantními výstupy článku 22, kde je to použitelné. Pokud koordinované posouzení klasifikuje dodavatele nebo kategorii dodavatelů, označíte dodavatele touto klasifikací. Váš auditor vidí jak odkaz na posouzení, tak vaše rozhodnutí o zacházení na jednom místě.
Registr rizik přebírá stejné štítky. Dodavatel v rámci koordinovaného posouzení se objeví jako rizikový záznam s posouzením jako svým zdrojem. Zacházení, schválení a průběžný přezkum běží skrze standardní tok CIR § 2. Žádný samostatný pracovní postup pro vstupy z článku 22. Stejný tvar jako u každého jiného rizika dodavatele, jen se silnější externí citací.
- Směrnice (EU) 2022/2555 (NIS 2), články 21 a 22. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 5. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- EU Cybersecurity Toolbox of risk mitigating measures for 5G networks (2020). digital-strategy.ec.europa.eu
- Zákon o BSI (BSIG), § 30 odst. 2 bod 4 ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
- Technické implementační pokyny ENISA pro CIR (EU) 2024/2690 (stav k květnu 2026)