Jsme poskytovatel datového centra podle NIS 2?
NIS 2 uvádí služby datových center v příloze I, sektoru 8 (digitální infrastruktura). Článek 6 odst. 31 vymezuje službu tak, aby zahrnovala napájení a chlazení. Standardní test velikosti z článku 2 odst. 1 a doporučení 2003/361/ES poté rozhoduje, zda se povinnosti uplatní. Německo transponuje prostřednictvím §28 BSIG. KRITIS-V (zátěž IT 3,5 MW) je samostatná vnitrostátní nadstavba, nikoli vstupní bod do NIS 2.
Stručně
Pokud prodáváte službu datového centra třetím stranám, jste v působnosti, jakmile splníte standardní práh velikosti NIS 2. Příloha I, sektor 8 jmenuje poskytovatele služeb datových center přímo pod digitální infrastrukturou. Článek 6 odst. 31 vám říká, co se za službu počítá: IT a síťový majetek plus podpůrná distribuce energie a regulace prostředí. Střecha, UPS, chladiče a dieselový generátor jsou součástí služby, nikoli vedlejší k ní.
Test velikosti je pro NIS 2 standardní. Článek 2 odst. 1 směrnice váže působnost na doporučení 2003/361/ES: střední subjekty (50 a více zaměstnanců, nebo roční obrat a bilanční suma nad 10 milionů eur) spadají pod režim, velké subjekty jsou „basic“, tedy „essential“ („nezbytné“), nikoli „important“ („důležité“). Pro datová centra neexistuje žádné zahrnutí bez ohledu na velikost, na rozdíl od telekomunikací nebo DNS.
Německo transponuje prostřednictvím §28 BSIG. Práh KRITIS-Verordnung (zátěž IT 3,5 MW) je samostatná německá nadstavba, která rozhoduje, zda je totéž datové centrum navíc KRITIS, s dalšími povinnostmi. Nerozhoduje, zda se NIS 2 uplatní. CIR (EU) 2024/2690 uvádí poskytovatele služeb datových center ve své příloze, takže části prováděcího nařízení zavazují datová centra přímo bez další vnitrostátní transpozice.
Směrnice NIS 2 (2022/2555), příloha I, sektor 8 a článek 6 odst. 31
„službou datového centra“ se rozumí služba, která zahrnuje struktury nebo skupiny struktur určené k centralizovanému umístění, propojení a provozu informačních technologií a síťových zařízení poskytujících služby ukládání, zpracování a přenosu dat společně se všemi zařízeními a infrastrukturami pro distribuci energie a regulaci prostředí.
Dvě věci je třeba číst společně. Příloha I, sektor 8 jmenuje poskytovatele služeb datových center jako digitální infrastrukturu. Článek 6 odst. 31 vám říká, že službou nejsou jen IT racky. Distribuce energie a regulace prostředí jsou součástí právní definice. To je to, co zamyká technické vybavení budovy (UPS, generátory, chlazení, hašení) do rámce řízení rizik NIS 2.
Prováděcí nařízení Komise (EU) 2024/2690, příloha
Toto nařízení stanoví technické a metodické požadavky na opatření uvedená v článku 21 odst. 2 směrnice (EU) 2022/2555, pokud jde o poskytovatele služeb DNS, registry jmen TLD, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a platforem služeb sociálních sítí a poskytovatele služeb vytvářejících důvěru.
Poskytovatelé služeb datových center jsou v příloze CIR uvedeni jmenovitě. To znamená, že technické požadavky na řízení rizik v CIR (správa aktiv, řízení přístupu, kryptografie, dodavatelský řetězec, řešení incidentů) zavazují datová centra přímo. Pro vrstvu CIR není vnitrostátní transpozice nutná. Vrstva směrnice stále potřebuje §28 BSIG, aby v Německu nabyla účinnosti.
§28 BSIG (Německo) a KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
§28 BSIG transponuje povinnosti NIS 2 pro datová centra. Test velikosti podle článku 2 odst. 1 (50 zaměstnanců / obrat 10 mil. eur) rozhoduje, zda je subjekt „wichtig“ nebo „besonders wichtig“. KRITIS-Verordnung je samostatná německá vrstva s vlastním prahem zátěže IT 3,5 MW pro datová centra. KRITIS přidává povinnosti navrch, není vstupní podmínkou pro NIS 2. Provozovatel kolokace s 25 MW je v obou režimech. Kolokační lokalita s 200 zaměstnanci při zátěži IT 1 MW je v působnosti NIS 2, ale ne KRITIS.
Prodáváte službu datového centra?
Testem je článek 6 odst. 31. Poskytujete struktury určené k centralizovanému umístění, propojení a provozu IT a síťových zařízení společně s infrastrukturou pro distribuci energie a regulaci prostředí. Kolokace, hosting i dedikované sály vše kvalifikují. Zátěž IT a technické vybavení budovy jsou v právu jednou službou.
Jste nad prahem velikosti?
Článek 2 odst. 1 NIS 2 odkazuje na doporučení 2003/361/ES. Střední subjekty (50 a více zaměstnanců, nebo roční obrat a bilanční suma celkem nad 10 milionů eur) spadají pod režim jako „důležité“. Velké subjekty (nad 250 zaměstnanců nebo obrat nad 50 milionů eur) pod něj spadají jako „nezbytné“. Pro datová centra neexistuje žádné zahrnutí bez ohledu na velikost.
Uplatní se německá nadstavba KRITIS?
KRITIS-V stanoví pro datová centra v Německu práh zátěže IT 3,5 MW. Jeho překročení činí lokalitu KRITIS navíc k NIS 2, s dalšími povinnostmi (auditní cyklus, sektorově specifické minimální standardy). KRITIS není vstupní podmínkou pro NIS 2. Provozovatel kolokace s 1 MW a 200 zaměstnanci je v NIS 2, ale mimo KRITIS.
Kolokace, hosting i dedikovaná řešení vše kvalifikují
Definice podle článku 6 odst. 31 mezi modely poskytování nerozlišuje. Ať pronajímáte racky (kolokace), pronajímáte servery (řízený hosting), nebo provozujete jednonájemnické zařízení pro platícího zákazníka, služba je v právu táž: centralizované umístění IT a síťových zařízení plus podpůrná distribuce energie a regulace prostředí. Povinnosti se vážou ke službě, nikoli k obchodnímu obalu.
Vnitropodniková datová centra nejsou službou datového centra
Pokud provozujete datové centrum čistě pro vlastní skupinu, neposkytujete službu datového centra ve smyslu NIS 2. Neexistuje žádná služba třetí straně. Zařízení může stále vést do jiné cesty zařazení do působnosti (vaše skupina může být v působnosti na jiném sektoru s vlastními aktivy), ale nezachytí vás pod přílohou I, sektorem 8 jako poskytovatele datového centra. Test závisí na tom, zda je služba prodávána.
BSI / §28 BSIG
BSI je ústředním orgánem pro NIS 2. Registrace, rámec řízení rizik a hlášení incidentů podle NIS 2 probíhají vše přes BSI. §28 BSIG jmenuje poskytovatele služeb datových center nad prahem středního podniku jako „wichtige Einrichtungen“ a nad prahem velkého podniku jako „besonders wichtige Einrichtungen“.
BSI C5 a IT-Grundschutz
BSI rovněž vlastní sektorově relevantní základní úrovně. Katalog C5 (Cloud Computing Compliance Criteria) pokrývá cloudovou a hostingovou stranu. Stavební bloky IT-Grundschutz INF.1 (obecná budova) a INF.2 (počítačové centrum / serverovna) jsou německou implementační referencí pro fyzická a environmentální opatření, která článek 6 odst. 31 začleňuje do služby. Auditoři očekávají, že je uvidí namapované do vašeho rámce CIR.
ENISA
ENISA, agentura EU pro kybernetickou bezpečnost, koordinuje napříč členskými státy a vydává technické pokyny k implementaci podle CIR (EU) 2024/2690. Poskytovatelé služeb datových center jsou v příloze CIR uvedeni jmenovitě, což znamená, že části prováděcího nařízení jsou pro datová centra přímo závazné, aniž by byla potřeba další vnitrostátní transpozice.
Vnitrostátní orgány pro kybernetickou bezpečnost
Každý členský stát má vlastní orgán pro NIS 2: NCSC-NL v Nizozemsku, ANSSI ve Francii, NCSC.AT v Rakousku, ACN v Itálii. Řádek přílohy I, sektoru 8 a definice podle článku 6 odst. 31 jsou v celé EU stejné, protože směrnice stanoví jednu spodní hranici. Liší se: u koho se registrujete, jaký formulář incidentu používáte a zda země navrch vrství vnitrostátní režim kritické infrastruktury (Německo má KRITIS-V, jiné používají odlišné prahy).
Provozujeme serverovnu pro vlastní firmu, takže jsme poskytovatel datového centra.
Ne na noze datového centra. Článek 6 odst. 31 popisuje službu. Pokud je IT majetek provozován pouze pro vlastní skupinu a neprodává se třetím stranám, neposkytujete službu datového centra ve smyslu NIS 2. Vaše skupina může stále být v působnosti NIS 2 prostřednictvím vlastního sektoru (výroba, energetika, odpady, zdravotnictví apod.), ale řádek datového centra v příloze I, sektoru 8 vnitropodnikovou serverovnu nezachytí.
Jsme hluboko pod prahem KRITIS 3,5 MW, takže se NIS 2 neuplatní.
KRITIS-V a NIS 2 jsou dva režimy se dvěma prahy. Práh zátěže IT 3,5 MW je německá nadstavba KRITIS. NIS 2 má vlastní test velikosti z článku 2 odst. 1: střední, jakmile překročíte 50 zaměstnanců nebo obrat a bilanční sumu celkem 10 mil. eur. Provozovatel kolokace s 200 zaměstnanci při zátěži IT 1 MW je v působnosti NIS 2, ale ne v KRITIS. Zjištění mimo KRITIS není zjištěním mimo NIS 2.
Děláme jen kolokaci, servery vlastní zákazník, takže neposkytujeme službu datového centra.
Kolokace je jedním z učebnicových modelů poskytování služby podle článku 6 odst. 31. Definice pokrývá struktury určené k centralizovanému umístění IT a síťových zařízení plus distribuci energie a regulaci prostředí. Nevyžaduje, aby racky patřily vám. Prodej prostoru v racku, energie a chlazení je tou službou. Argument o serverech vlastněných zákazníkem právní klasifikaci nemění.
Regionální provozovatel kolokace s 60 zaměstnanci, dvěma sály a zhruba 2 MW kombinované zátěže IT je jednoznačně v působnosti NIS 2 jako „wichtige Einrichtung“. Příloha I, sektor 8 jmenuje sektor. Článek 6 odst. 31 zachycuje službu od začátku do konce, včetně technického vybavení budovy. Test velikosti podle článku 2 odst. 1 staví společnost nad práh středního podniku. KRITIS-V při zátěži IT 3,5 MW není překročen, takže nadstavba KRITIS se neuplatní. Provozovatel provozuje plný rámec řízení rizik NIS 2, ale nepřebírá auditní cyklus KRITIS.
Co vidíme v praxi: registr rizik začíná technickým vybavením budovy (přívod od dodavatele energie, řetězce UPS, doba běhu a palivo generátoru, redundance chlazení, hašení, fyzický přístup) a poté navrch vrství IT a síťový majetek (jádrové přepínání, klece zákazníků, OOB správa, monitoring). Rámec řízení rizik podle §2 CIR běží proti tomuto kombinovanému inventáři. Uplatní se proporcionalita podle článku 21 odst. 1, takže regionální provozovatel s 60 zaměstnanci neimplementuje do hloubky hyperscale regionu. Fázování je zapsáno, odůvodněno rizikovým obrazem a podepsáno vedením.
Naše kontrola působnosti prochází cestu datového centra krok za krokem. Ptá se, zda službu prodáváte třetím stranám, jak je strukturován model poskytování (kolokace, hosting, dedikované), jaký je váš počet zaměstnanců a obrat a kde se nacházíte vůči německému prahu KRITIS-V. Výstup pojmenuje řádek přílohy I, klasifikaci podle BSIG („wichtig“ nebo „besonders wichtig“) a zda se nadstavba KRITIS uplatní navrch.
Inventář aktiv vám umožňuje modelovat technické vybavení budovy (přívod od dodavatele energie, UPS, generátor, chlazení, hašení, fyzický přístup) a IT a síťový majetek na jednom seznamu. Rámec řízení rizik podle §2 CIR běží proti tomuto inventáři, takže tentýž seznam aktiv napájí jak cestu NIS 2, tak, pokud překročíte zátěž IT 3,5 MW, audit KRITIS bez dvojí údržby.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I, sektor 8 a definice služby datového centra podle článku 6 odst. 31. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), test velikosti podle článku 2 odst. 1 odkazující na doporučení Komise 2003/361/ES. eur-lex.europa.eu/eli/reco/2003/361/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha (poskytovatelé služeb datových center uvedeni jmenovitě). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), §28 ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
- KRITIS-Verordnung (BSI-KritisV), sektor Informationstechnik und Telekommunikation, práh zátěže IT 3,5 MW pro datová centra
- BSI IT-Grundschutz, stavební bloky INF.1 (Allgemeines Gebäude) a INF.2 (Rechenzentrum sowie Serverraum); cloudový katalog BSI C5. bsi.bund.de