Jsme poskytovatel řízených služeb podle NIS 2?
NIS 2 zařadila poskytovatele řízených služeb (MSP) jako nový sektor, který v NIS 1 neexistoval. Pokud vzdáleně provozujete IT zákazníků, velmi pravděpodobně spadáte do působnosti. Příloha I, sektor 9 pojmenovává tuto činnost. Článek 6 odst. 39 vymezuje, co se započítává. Test velikosti stále platí, s jednou úzkou výjimkou, která se na většinu MSP nevztahuje.
Stručně
NIS 1 vůbec neměla MSP jako kategorii. Směrnice z roku 2022 je doplnila. Příloha I, sektor 9 uvádí správu služeb v oblasti IKT na bázi vztahu mezi podniky a článek 6 odst. 39 přináší právní definici: subjekt, který poskytuje služby související s instalací, správou, provozem nebo údržbou produktů, sítí, infrastruktury, aplikací IKT nebo jakýchkoli jiných sítí a informačních systémů, prostřednictvím asistence nebo aktivní administrace prováděné buď v prostorách zákazníka, nebo na dálku. Pokud vás to popisuje, jste s největší pravděpodobností MSP v působnosti.
MSP a MSSP jsou dvě samostatné kategorie. Článek 6 odst. 39 vymezuje MSP. Článek 6 odst. 40 vymezuje MSSP jako poskytovatele řízených služeb, který provádí nebo poskytuje asistenci u činností souvisejících s řízením kybernetických bezpečnostních rizik. Oba jsou v příloze I, sektoru 9. Subjekt může být obojím zároveň. Většina obecných IT firem jsou MSP, nikoli MSSP. Čisté SOC nebo firma na penetrační testy je MSSP.
Test velikosti stále platí. NIS 2 se obvykle vztahuje na střední a větší podniky: nejméně 50 zaměstnanců, nebo obrat a bilanční suma vyšší než 10 milionů eur, podle článku 2 odst. 1 a doporučení 2003/361/ES. Článek 2 odst. 2 písm. g) vyčleňuje úzký okruh sektorů, kde velikost působnost nepodmiňuje, ale tato výjimka se týká DNS, registrů TLD, kvalifikovaných poskytovatelů služeb vytvářejících důvěru a několika dalších typů digitální infrastruktury. Malé MSP do působnosti bez ohledu na velikost nevtahuje. Malý MSP pod prahem velikosti je mimo působnost NIS 2.
Směrnice NIS 2 (2022/2555), příloha I, sektor 9
Správa služeb v oblasti IKT (mezi podniky): poskytovatelé řízených služeb; poskytovatelé řízených bezpečnostních služeb.
NIS 1 tento sektor vůbec neobsahovala. NIS 2 jej zavedla jako novou kategorii, což je jedno z největších praktických rozšíření působnosti ve směrnici. MSP i MSSP spadají do téhož koše přílohy I, sektoru 9. Upřesnění „mezi podniky“ má význam: obsluha spotřebitelů sektorem 9 pokryta není, obsluha jiných podniků ano.
Článek 6 odst. 39 směrnice NIS 2 (definice MSP)
Poskytovatelem řízených služeb se rozumí subjekt, který poskytuje služby související s instalací, správou, provozem nebo údržbou produktů, sítí, infrastruktury, aplikací IKT nebo jakýchkoli jiných sítí a informačních systémů, prostřednictvím asistence nebo aktivní administrace prováděné buď v prostorách zákazníka, nebo na dálku.
Článek 6 odst. 40 doplňuje definici MSSP: poskytovatel řízených služeb, který provádí nebo poskytuje asistenci u činností souvisejících s řízením kybernetických bezpečnostních rizik. Směrnice volí slovesa záměrně: instalace, správa, provoz, údržba, aktivní administrace. Prodej produktu bez průběžného provozu definici nesplňuje. Help desk, který resetuje hesla, aniž by systémy provozoval, ji rovněž nesplňuje.
§28 BSIG (Německo), Anlage 1, sektor „Digitale Infrastruktur“
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG společně s Anlage 1 k BSIG pojmenovává výslovně „Anbieter von verwalteten Diensten“ (MSP) a „Anbieter von verwalteten Sicherheitsdiensten“ (MSSP) pod sektorem Digitale Infrastruktur, což odpovídá příloze I, sektoru 9 NIS 2. Sektorově specifická FAQ BSI přidává užitečné pracovní upřesnění: čistý webhosting z vás MSP nedělá a jednorázové předání projektu rovněž ne. Rozhoduje průběžná aktivní administrace.
Aktivně provozujete IT zákazníků?
Článek 6 odst. 39 uvádí slovesa, která se počítají: instalace, správa, provoz, údržba, aktivní administrace. Prováděná v prostorách zákazníka nebo na dálku. Vztah se zákazníkem musí být průběžný, nikoli jednorázová instalace. Čistý webhosting bez administrace je mimo. Prodej softwarové licence a odchod je mimo. Provoz řízeného firewallu, záplatování serverů zákazníka, provoz jejich tenanta Microsoft 365, vzdálená správa koncových zařízení: vše v působnosti.
Jste střední nebo větší?
Článek 2 odst. 1 plus doporučení 2003/361/ES: nejméně 50 zaměstnanců, nebo obrat a bilanční suma vyšší než 10 milionů eur. Test se uplatňuje na právnickou osobu. Článek 2 odst. 2 písm. g) uvádí úzké sektorové výjimky, kde velikost působnost nepodmiňuje, ale MSP na tomto seznamu výjimek není. Výjimka se vztahuje na poskytovatele služeb DNS, registry jmen TLD, kvalifikované poskytovatele služeb vytvářejících důvěru a několik dalších typů digitální infrastruktury. Malý MSP, který je pod prahem velikosti, je mimo působnost, tečka.
Poskytujete také bezpečnostní služby?
Článek 6 odst. 40 vymezuje MSSP jako poskytovatele řízených služeb, který provádí nebo poskytuje asistenci u činností souvisejících s řízením kybernetických bezpečnostních rizik. SOC, řízená služba detekce a reakce, penetrační testování s průběžnou podporou nápravy, služba řízení zranitelností: to jsou činnosti MSSP. Obecná IT firma, která provozuje servery a koncová zařízení, je MSP. Firma, která navrch provozuje bezpečnostní stack, je obojím. Příloha I s oběma standardně zachází jako s „wichtige Einrichtung“ podle §28 odst. 2 BSIG.
„Řízené“ je široký seznam sloves, ne marketingová nálepka
Některé subjekty si neříkají MSP, a přesto definici splňují. Některé si MSP říkají, a nesplňují ji. Právním testem je seznam sloves v článku 6 odst. 39: instalace, správa, provoz, údržba, aktivní administrace produktů, sítí, infrastruktury, aplikací nebo systémů IKT pro jiné strany. Pokud tato slovesa popisují, co opakovaně děláte, jste MSP podle NIS 2 bez ohledu na to, zda to váš web uvádí, či nikoli.
Vaše vlastní interní IT z vás MSP nedělá
Provozování IT pro sebe není řízenou službou. Zákazník musí být někdo jiný. Interní IT oddělení obsluhující svého vlastního zaměstnavatele nejsou v působnosti jako MSP. Samostatná servisní společnost uvnitř skupiny, která provozuje IT pro sesterské subjekty, je jiná otázka a obvykle se započítává, protože sesterské subjekty jsou právně samostatné strany. Pro tento případ viz stránku o IT ve skupině.
BSI / §28 BSIG a Anlage 1
BSI je kybernetickým orgánem pro MSP v Německu. Anlage 1 k BSIG uvádí „Anbieter von verwalteten Diensten“ a „Anbieter von verwalteten Sicherheitsdiensten“ pod Digitale Infrastruktur, což přímo odpovídá příloze I, sektoru 9 NIS 2. Sektorově specifická FAQ BSI má nejužitečnější pracovní text: čistý webhosting není MSP, jednorázový projekt není MSP, průběžná aktivní administrace ano. Registrační portál podle §33 BSIG je místo, kde se registrují MSP nad prahem velikosti.
Technické pokyny k implementaci od ENISA
TIG od ENISA pokrývá činnosti MSP a MSSP pod kapitolou přílohy I, sektoru 9 a mapuje opatření z článku 21 na operace, které typický MSP provozuje. Mapovací tabulka TIG provádí převod na ISO 27001, NIST CSF 2.0 a ETSI 319 401, takže MSP, kteří již provozují ISMS nebo operaci zarovnanou s ETSI, mohou většinu této práce znovu využít.
MSP v NL, AT, BE a jinde
Článek 6 směrnice je jednou sadou definic pro celou EU. Ostatní transpozice znění přejímají: Rakousko prostřednictvím NISG, Nizozemsko prostřednictvím Cyberbeveiligingswet, Belgie prostřednictvím NIS2-Wet. MSP, který obsluhuje zákazníky přeshraničně, je v působnosti všude, kde má provozovnu, a registruje se v každém členském státě, kde službu poskytuje. Věcná definice se mezi zeměmi nemění.
My jen reagujeme na tickety, ve skutečnosti systémy zákazníků nespravujeme.
Pokud tickety zahrnují instalaci, konfiguraci, záplatování nebo provoz systémů zákazníka na průběžné bázi, jde o aktivní administraci podle článku 6 odst. 39. Reaktivnost neznamená mimo působnost. Help desk, který pouze resetuje hesla, aniž by se dotýkal podkladových systémů, je úzkou výjimkou. Help desk, který záplatuje Windows, restartuje služby nebo posílá konfiguraci koncových zařízení, dělá řízené služby.
Jsme příliš malí na působnost, výjimka nás stejně vtáhne.
Článek 2 odst. 2 písm. g) malé MSP bez ohledu na velikost nevtahuje. Výjimka se vztahuje na poskytovatele služeb DNS, registry jmen TLD, kvalifikované poskytovatele služeb vytvářejících důvěru, poskytovatele veřejných sítí a služeb elektronických komunikací a několik dalších typů digitální infrastruktury. MSP na tomto seznamu nejsou. Malý MSP pod prahem velikosti (méně než 50 zaměstnanců a nepřekračující prahy obratu a bilanční sumy) je mimo působnost samotné NIS 2, i když smlouvy se zákazníky po vás mohou stále vyžadovat prokázání opatření podle článku 21 v rámci ustanovení o dodavatelském řetězci.
Obsluhujeme pouze vlastní skupinu, takže jsme interní IT oddělení.
Pokud jsou subjekty, které obsluhujete, právně samostatné od vaší servisní společnosti, byť uvnitř téže skupiny, jde o služby jiným stranám podle článku 6 odst. 39. Centrální IT servisní GmbH, která provozuje infrastrukturu pro sesterské GmbH, je v pojetí NIS 2 MSP. Samostatná stránka o IT ve skupině tento případ rozebírá podrobněji.
Typický MSP středního trhu se 70 zaměstnanci, asi 80 zákazníky z řad malých a středních podniků a skladbou služeb zahrnující řízená koncová zařízení, administraci Microsoft 365, řízené firewally a správu záplat pro servery zákazníků jednoznačně spadá do působnosti NIS 2. Příloha I, sektor 9 zachycuje činnost. Článek 6 odst. 39 zachycuje slovesa. Test velikosti je při 70 zaměstnancích pohodlně splněn. Standardní klasifikace podle §28 odst. 2 BSIG je „wichtige Einrichtung“.
Registr rizik podle §30 musí pokrýt správní infrastrukturu, která se dotýká systémů zákazníků: nástroje RMM, jump hosty, SOC stack, pokud nějaký provozujete, a stack privilegovaného přístupu. Kaskáda hlášení incidentů podle §32 se uplatní, když incident postihne vaši vlastní infrastrukturu nebo, potažmo, zákazníky, které spravujete. Registrace podle §33 je jediné podání u BSI za celou právnickou osobu. Smlouvy se zákazníky pak potřebují ustanovení podle článku 21 odst. 2 písm. d) odkazující na tatáž opatření, což je místo, kde se shoda v dodavatelském řetězci potkává se shodou MSP.
Kontrola působnosti provádí MSP případem přílohy I, sektoru 9 výslovně. Zaškrtnete slovesa služeb, která provozujete, platforma uplatní test velikosti a řekne vám, do kterého koše podle §28 BSIG spadáte. Pokud provozujete i bezpečnostní služby, nabízí souběžně větev MSSP, aniž by vás nutila si jednu z nich vybrat.
Dodavatelský portál řeší druhou stranu smlouvy. Zákazníkům, kteří od vás kupují řízené služby, lze poskytnout strukturovaný dotazník a zveřejněný souhrn opatření podle článku 21, takže jediný doklad pokryje všechna smluvní ustanovení, která byste jinak rozesílali v PDF každému zákazníkovi zvlášť.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I, sektor 9 (správa služeb v oblasti IKT B2B). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), článek 6 odst. 39 (definice poskytovatele řízených služeb). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), článek 6 odst. 40 (definice poskytovatele řízených bezpečnostních služeb). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), článek 2 odst. 1 a článek 2 odst. 2. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků
- Zákon o BSI (BSIG), §28 a Anlage 1, sektor Digitale Infrastruktur, ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
- Sektorově specifická FAQ BSI k Anlage 1 Nr. 6.1.10 (Managed Services Provider). bsi.bund.de