Jsem poskytovatel cloud computingu podle NIS 2?
NIS 2 uvádí služby cloud computingu v odvětví 8 Přílohy I (digitální infrastruktura). Čl. 6 bod 30 stanoví právní definici pokrývající IaaS, PaaS i SaaS. Čl. 2 odst. 1 pak uplatní běžný test velikosti středního podniku. CIR (EU) 2024/2690 zařazuje poskytovatele cloudu do své přílohy, což znamená, že části tohoto nařízení vás vážou přímo napříč celou EU.
Stručná verze
Pokud poskytujete zákazníkům službu cloud computingu, jste v působnosti NIS 2, jakmile překročíte práh velikosti středního podniku. Odvětví 8 Přílohy I jmenuje poskytovatele služeb cloud computingu přímo pod digitální infrastrukturou. Definice v čl. 6 bodě 30 je široká: IaaS, PaaS, SaaS, veřejný cloud, privátní cloud prodávaný jako služba, hybridní nabídky, vše se počítá.
Na rozdíl od telekomunikací nebo DNS nejsou poskytovatelé cloudu na seznamu „bez ohledu na velikost“ podle čl. 2 odst. 2. Uplatní se běžný test podle čl. 2 odst. 1: střední podnik podle doporučení 2003/361/ES znamená 50 a více zaměstnanců nebo roční obrat nad 10 milionů EUR. Překročte kterýkoli práh a spadnete do působnosti. Zůstaňte pod oběma a jste obvykle mimo, s omezenými výjimkami v čl. 2 odst. 2 a 3, které se na cloud jako takový nevztahují.
Německo to převádí do národního práva prostřednictvím §28 BSIG. BSI je vaším orgánem. Nad rámec směrnice prováděcí nařízení Komise (EU) 2024/2690 zařazuje poskytovatele cloudu do své přílohy, takže jeho technické a metodické požadavky vás vážou přímo bez potřeby dalšího německého zákona. Tato stránka projde směrnici, unijní definici a německou transpozici v tomto pořadí.
Směrnice NIS 2 (2022/2555), Příloha I odvětví 8 a čl. 6 bod 30
Odvětví 8 Digitální infrastruktura: poskytovatelé služeb cloud computingu. „Službou cloud computingu“ se rozumí digitální služba umožňující správu na vyžádání a široký vzdálený přístup ke škálovatelnému a elastickému souboru sdílených výpočetních prostředků, a to i v případě, že jsou tyto prostředky rozmístěny na několika místech.
Dvě pasáže je nutné číst společně. Odvětví 8 Přílohy I jmenuje poskytovatele služeb cloud computingu jako klíčovou infrastrukturu. Čl. 6 bod 30 definuje, co se za službu cloud computingu počítá. Formulace je technologicky neutrální a pokrývá IaaS, PaaS i SaaS. Neexistuje žádné další unijní nařízení, které by tento pojem nově definovalo, takže rozhoduje vlastní definice směrnice.
Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha
Toto nařízení se vztahuje na subjekty uvedené v čl. 3 směrnice (EU) 2022/2555 vyjmenované v příloze tohoto nařízení, totiž: poskytovatele služeb DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí a poskytovatele služeb vytvářejících důvěru.
CIR (EU) 2024/2690 zařazuje poskytovatele služeb cloud computingu do své přílohy. To je ten právní trik, na kterém záleží: nařízení je přímo použitelné, není třeba národní transpozice. CIR stanoví podrobný rámec řízení rizik (§2), požadavky na řízení incidentů, bezpečnost dodavatelského řetězce, řešení zranitelností a prahy „významného incidentu“ pro tato odvětví. Poskytovatelé cloudu se proto potýkají s vrstvou směrnice (transponovanou v BSIG) plus vrstvou nařízení, která je váže stejným zněním napříč všemi členskými státy.
§28 BSIG, Německo
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
Německo transponuje cloudové povinnosti prostřednictvím §28 BSIG. BSI je ústředním orgánem NIS 2 pro registraci, rámec řízení rizik a hlášení incidentů. Poskytovatelé cloudu nad prahem velikosti se zařazují jako „besonders wichtige Einrichtungen“ (klíčové subjekty). Pod prahem se povinnosti neuplatní, ledaže je spuštěna některá z omezených výjimek podle čl. 2 odst. 2 nebo 3. Cloud jako takový na těchto seznamech není.
Poskytujete službu cloud computingu?
Použijte definici z čl. 6 bodu 30. Služba musí být digitální, na vyžádání, široce vzdáleně přístupná a běžet na škálovatelném a elastickém souboru sdílených prostředků. IaaS (výpočetní výkon, úložiště, síť), PaaS (řízená běhová prostředí, databáze jako služba) i SaaS (vícenájemní podnikové aplikace prodávané po síti) všechny splňují definici. Jednonájemní hostovaná aplikace prodávaná jako služba ji obvykle splňuje také, protože podkladový soubor prostředků je na úrovni poskytovatele sdílený.
Překračujete práh velikosti?
Poskytovatelé cloudu se řídí běžným testem podle čl. 2 odst. 1. Podle doporučení 2003/361/ES začíná střední podnik na 50 zaměstnancích nebo ročním obratu nad 10 milionů EUR (s roční bilanční sumou nad 10 milionů EUR jako alternativou). Při 250 zaměstnancích nebo obratu nad 50 milionů EUR se stáváte velkým podnikem a zařazujete se jako „klíčový“. Pod 50 zaměstnanci a obratem pod 10 milionů EUR jste jako poskytovatel cloudu obvykle mimo působnost.
CIR vás váže přímo
Jakmile jste v působnosti, naskládají se dvě vrstvy. BSIG (v Německu) transponuje směrnici. CIR (EU) 2024/2690 vás zařazuje do své přílohy a váže přímo. To znamená, že rámec řízení rizik podle §2 CIR, pravidla dodavatelského řetězce v §6 a prahy významnosti incidentu platí stejným zněním v každém členském státě. Neexistuje žádná národní varianta CIR, kterou by bylo třeba konzultovat.
Počítají se všechny tři vrstvy služeb
Čl. 6 bod 30 je neutrální vůči vrstvě. IaaS, PaaS i SaaS všechny splňují definici, protože všechny tři spočívají na škálovatelném a elastickém sdíleném souboru prostředků. Častou chybou je předpokládat, že „cloud“ znamená pouze IaaS od hyperscalerů. Text zachytí německého dodavatele SaaS prodávajícího vícenájemní HR nástroj stejně, jako zachytí AWS, Azure a GCP. Práh velikosti pak filtruje, kdo skutečně má povinnosti.
Elastický a sdílitelný je tou hranicí
Pokud soubor prostředků není škálovatelný a elastický nebo není sdílitelný, není služba podle čl. 6 bodu 30 službou cloud computingu. Jednozákaznický vyhrazený server s pevnou kapacitou, který provozujete jménem zákazníka, je hosting, nikoli cloud. Zákaznicky vyhrazená klec v datovém centru je kolokace, nikoli cloud. Oba mohou stále spadat pod jiné řádky odvětví 8 Přílohy I (služba datového centra, řízená služba), ale ne pod řádek cloudu. Filtrování dělá definice.
BSI / §28 BSIG
BSI je ústředním orgánem NIS 2. Registrace, rámec řízení rizik, časový rámec hlášení incidentů (24 h včasné varování, 72 h oznámení, závěrečná zpráva do 1 měsíce) vše běží přes BSI. §28 BSIG zařazuje poskytovatele cloudu v působnosti jako „besonders wichtige Einrichtungen“. Jakmile překročíte práh velikosti, registrujete se u BSI.
BSI C5 (provozní reference)
C5 je katalog cloudové bezpečnosti od BSI. Není to povinnost NIS 2, ale v praxi mnoho německých zákazníků cloudu ve smlouvách požaduje atestaci C5 typu 2. Soubor kontrol se silně překrývá s rámcem řízení rizik podle §2 CIR, takže poskytovatelé, kteří již atestaci C5 mají, mohou většinu důkazů znovu použít pro svou dokumentaci řízení rizik podle NIS 2.
ENISA / příloha CIR
ENISA, agentura EU pro kybernetickou bezpečnost, zveřejňuje technický prováděcí návod pro CIR. Protože poskytovatelé cloudu jsou uvedeni v příloze CIR, je tento návod každodenní referencí pro řízení rizik podle §2, očekávání ohledně dodavatelského řetězce a model prahu „významného incidentu“. Text je celounijně shodný, takže poskytovatel cloudu obsluhující DE, NL, FR a IT uplatňuje stejné znění CIR v každém trhu.
Národní orgány pro kybernetickou bezpečnost
Každý členský stát má vlastní orgán NIS 2 vedoucí vrstvu registrace a dohledu: RDI v Nizozemsku, ANSSI ve Francii, ACN v Itálii, INCIBE ve Španělsku. Povinnosti směrnice se transponují místně, CIR váže stejné znění všude. Pro poskytovatele cloudu prodávajícího napříč EU jsou registrace národní, rámec řízení rizik je jeden dokument používaný všude.
Pronajímáme vyhrazené servery, takže jsme poskytovatel cloudu podle NIS 2.
Obvykle ne, na řádku cloudu. Čl. 6 bod 30 vyžaduje škálovatelný a elastický soubor sdílených prostředků. Bare-metal server pronajatý jednomu zákazníkovi s pevnou kapacitou je hosting. Může vás dostat pod řádek služby datového centra v odvětví 8 Přílohy I (jiná definice, stejné odvětví) nebo pod poskytovatele řízených služeb, pokud jej zákazníkovi i provozujete, ale ne pod službu cloud computingu. Čtěte definice, ne marketingový štítek na vlastním ceníku.
Jsme malý SaaS, takže cloudová pravidla se na nás nevztahují.
Právní test je dvoudílný. Nejprve čl. 6 bod 30: vícenájemní SaaS prodávaný po síti na sdílené infrastruktuře splňuje definici. Poté čl. 2 odst. 1: práh velikosti. Pokud máte pod 50 zaměstnanců a obrat pod 10 milionů EUR, jste na řádku cloudu mimo působnost. Pokud kterýkoli překročíte, jste uvnitř. „Niche“ není právní kategorie. Práci dělají čísla a definice.
Provozujeme privátní cloud pro vlastní skupinu, takže jsme poskytovatel cloudu v působnosti.
Obvykle ne. Služba podle čl. 6 bodu 30 musí být poskytována zákazníkům. Čistě interní privátní cloud obsluhující pouze vlastní organizaci není službou v regulačním smyslu, takže se na řádek cloudu nepočítá. Stále můžete být v působnosti NIS 2 v odvětví, ve kterém vaše skupina působí (energetika, zdravotnictví, doprava, výroba), ale ne jako poskytovatel služeb cloud computingu na základě interní platformy.
60členný německý dodavatel SaaS s vícenájemním produktem a ročním obratem 12 milionů EUR je na řádku cloudu v působnosti NIS 2. Odvětví 8 Přílohy I jmenuje poskytovatele služeb cloud computingu; čl. 6 bod 30 je splněn, protože soubor prostředků je sdílený, elastický a vzdáleně přístupný; čl. 2 odst. 1 je splněn, protože firma je středním podnikem. §28 BSIG ji zařazuje jako „besonders wichtige Einrichtungen“. Příloha CIR ji staví pod přímo závazný rámec řízení rizik podle §2. Nic z toho není na uvážení.
Co vídáme v praxi: poskytovatel napíše rámec řízení rizik podle §2 CIR vůči svému produkčnímu zásobníku (aplikace, běhové prostředí, datová vrstva, identita, podpůrné cloudové účty), namapuje témata čl. 21 odst. 2 na rámec a využije proporcionalitu podle čl. 21 odst. 1 ke škálování hloubky na 60člennou organizaci. Detekce incidentů, kadence oznamování 24 h / 72 h / 1 měsíc a povinnosti dodavatelského řetězce v §6 CIR všechny stojí na stejném seznamu aktiv. Atestace C5 typu 2, pokud ji poskytovatel má, pokryje velký díl důkazů podle §2 a znovu se použije jako dokumentace, nikoli se znovu nedělá.
Naše kontrola působnosti projde čl. 6 bod 30 krok za krokem. Zeptá se, co poskytujete, zda je soubor prostředků sdílený a elastický a zda je služba prodávána zákazníkům. Výstup vám řekne, který řádek Přílohy I platí (cloud, datové centrum, řízená služba, vše samostatné definice), zda vás zachytí práh velikosti podle čl. 2 odst. 1 a které kategorie přílohy CIR vás vážou přímo nad rámec BSIG.
Modul aktiv pokrývá produkční zásobník v jednom inventáři: hranice nájemců, poskytovatele identit, datová úložiště, podpůrné cloudové účty, zpracovatele třetích stran. Rámec řízení rizik podle §2 CIR pak běží vůči tomuto inventáři, takže tentýž seznam aktiv napájí registraci u BSI, posouzení dodavatelského řetězce podle §6 CIR a důkazy pro atestaci C5 bez dvojí údržby.
- Směrnice (EU) 2022/2555 (NIS 2), Příloha I odvětví 8 a definice služby cloud computingu v čl. 6 bodě 30. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), čl. 2 odst. 1 působnost dle velikosti a odvětví; čl. 2 odst. 2 výjimky bez ohledu na velikost. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků. eur-lex.europa.eu/eli/reco/2003/361/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha (uvádí poskytovatele služeb cloud computingu mezi přímo vázanými subjekty). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), §28 ve znění zákona o provádění NIS2 a posílení kybernetické bezpečnosti
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), aktuální vydání. bsi.bund.de