Anhang I Sektor 10 NIS 2

Jsme subjektem veřejné správy podle NIS 2?

Veřejná správa sedí v sektoru 10 přílohy I NIS 2 a v článku 2 odst. 2 písm. f). Ústřední vláda je v působnosti bez ohledu na velikost. Regionální vláda je v působnosti, pokud váš členský stát provedl posouzení založené na riziku. Vynětí v článku 2 odst. 5 až odst. 7 jsou úzká a funkční, nikoli institucionální.

Simon OrzelSimon Orzel·

Krátká verze

Veřejná správa je v sektoru 10 přílohy I NIS 2. Test velikosti, který vyřazuje malé soukromé společnosti, se zde neuplatní. Článek 2 odst. 2 písm. f) říká, že subjekty veřejné správy ústřední vlády jsou v působnosti bez ohledu na velikost a subjekty veřejné správy na regionální úrovni jsou v působnosti, pokud je členský stát určil na základě posouzení založeného na riziku.

Směrnice pak vyjímá konkrétní činnosti, nikoli konkrétní instituce. Článek 2 odst. 5 ponechává mimo národní bezpečnost, obranu, veřejnou bezpečnost, vymáhání práva a soudní činnosti. Článek 2 odst. 7 ponechává mimo parlamenty a centrální banky. Policejní orgán, který provozuje vnitřní IT pro HR a finance, je v působnosti pro toto IT. Stejný orgán je mimo pro své operační systémy vymáhání práva. Rozhoduje funkce, ne cedule na dveřích.

V Německu § 28 BSIG provádí pravidlo pro Bundesverwaltung. § 29 BSIG dává spolkovým zemím právní základ pro vtažení jejich Landes- a Kommunalverwaltung do působnosti. Dokud spolková země § 29 BSIG nevyužije, jsou obce v této spolkové zemi formálně mimo, i když je každý program konference o NIS 2 považuje za v působnosti. Než se zařadíte, přečtěte si svůj Landes-Cybersicherheitsgesetz.

Právní zdroj
Tři vrstvy. Směrnice stanoví pravidlo a vynětí. Německá transpozice rozděluje pravidlo mezi spolkovou a zemskou úroveň. Doslovné citace níže, pak provozní výklad.

Článek 2 odst. 2 písm. f) směrnice NIS 2 (2022/2555)

Tato směrnice se vztahuje na subjekty typu uvedeného v příloze I nebo II bez ohledu na jejich velikost, pokud je subjekt subjektem veřejné správy (i) ústřední vlády, jak je definována členským státem v souladu s vnitrostátním právem; nebo (ii) na regionální úrovni, jak je definována členským státem v souladu s vnitrostátním právem, který na základě posouzení založeného na riziku poskytuje služby, jejichž narušení by mohlo mít významný dopad na kritické společenské nebo hospodářské činnosti.

Doslovně z Úř. věst. L 333/110. Dvě poloviny. Ústřední vláda je v působnosti automaticky. Regionální vláda je v působnosti pouze poté, co členský stát provedl posouzení založené na riziku a subjekty určil. Test velikosti v článku 2 odst. 1 se na žádnou z nich neuplatní.

Článek 2 odst. 5 směrnice NIS 2 (vynětí)

Tato směrnice se nevztahuje na subjekty veřejné správy, které vykonávají své činnosti v oblastech národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

Vynětí je funkční. Vyloučení sleduje činnost, nikoli instituci. Spolkový policejní orgán je mimo pro své systémy vymáhání práva a v působnosti pro své firemní IT. Článek 2 odst. 7 přidává parlamenty a centrální banky. Článek 2 odst. 6 umožňuje členským státům vyjmout subjekty, které vykonávají činnosti podle článku 2 odst. 5 pouze v těchto oblastech.

§ 28 a § 29 BSIG (Německo)

§ 28 BSIG transponuje pravidlo pro ústřední vládu a zavazuje Einrichtungen der Bundesverwaltung. § 29 BSIG zmocňuje spolkové země k tomu, aby do působnosti vtáhly Einrichtungen der Landes- und Kommunalverwaltung prostřednictvím vlastních Landes-Cybersicherheitsgesetze, na základě posouzení založeného na riziku požadovaného článkem 2 odst. 2 písm. f) bodem ii) NIS 2.

Dvě německé kotvy, ne jedna. Bundesverwaltung je v působnosti podle spolkového práva. Landesverwaltung a Kommunalverwaltung čekají na zemskou legislativu. Některé spolkové země již zveřejnily návrhy Landes-Cybersicherheitsgesetze; jiné ne. Právní status Kommune závisí na tom, ve které spolkové zemi se nachází.

Tři prvky, které rozhodují vaši odpověď
Projděte je v pořadí. Ústřední vláda je automatická. Regionální vláda závisí na vnitrostátním určení. Pak zkontrolujte, zda činnost, kterou zařazujete, spadá pod funkční vynětí.
Prvek 1

Ústřední vláda

Subjekty veřejné správy ústřední vlády, jak jsou definovány vnitrostátním právem, jsou v působnosti bez ohledu na velikost. Spolková ministerstva, spolkové agentury, spolkové úřady. Žádný práh velikosti. V Německu je to Bundesverwaltung podle § 28 BSIG. Označení 'ústřední' stanoví vnitrostátní právo, takže seznam se mezi členskými státy liší, ale strukturální pravidlo je stejné.

Prvek 2

Regionální vláda

Subjekty veřejné správy na regionální úrovni jsou v působnosti pouze tehdy, pokud je členský stát určil na základě posouzení založeného na riziku. Směrnice je neoznačuje automaticky. V Německu spolkové země používají § 29 BSIG a své Landes-Cybersicherheitsgesetze k provedení tohoto určení a zavázání Landesverwaltung a Kommunalverwaltung. Dokud příslušná spolková země nejednala, jsou regionální subjekty formálně mimo směrnici.

Prvek 3

Funkční vynětí

Článek 2 odst. 5 vylučuje činnosti v národní bezpečnosti, veřejné bezpečnosti, obraně a vymáhání práva. Článek 2 odst. 7 vylučuje parlamenty a centrální banky. Vyloučení se váže na činnost, nikoli na instituci. Obecné administrativní IT ministerstva zůstává v působnosti. Systém správy případů policejního sboru je mimo. Zdokumentujte, které systémy sedí na které straně hranice.

Dvě pravidla, která lidi zaskočí
Dva strukturální body, které jednatelé a vedoucí úřadů při prvním čtení přehlédnou. Oba se objevují téměř v každém hovoru o použitelnosti ve veřejném sektoru.

Velikost se neuplatní

Test velikosti podle článku 2 odst. 1 (50 zaměstnanců, 10 milionů eur) se na veřejnou správu neuplatní. Článek 2 odst. 2 písm. f) je výjimkou bez ohledu na velikost. Spolkový úřad s 12 zaměstnanci je v působnosti. Bundesoberbehörde se 4 zaměstnanci je v působnosti. Jedinými filtry jsou 'je to ústřední vláda', 'je to regionální vláda, kterou členský stát určil' a 'je tato činnost vyňata článkem 2 odst. 5 nebo odst. 7'.

Vynětí sledují funkci, ne instituci

Bod odůvodnění 8 to výslovně objasňuje. Vyloučení v článku 2 odst. 5 nejsou plošnou propustkou pro policii, obranu a zpravodajské služby. Pokrývají činnosti v těchto oblastech. Stejný orgán může být mimo pro své operační systémy a v působnosti pro své firemní IT, HR systémy, finanční systémy a systémy směřující k dodavatelům. Zmapujte své činnosti, pak zmapujte své systémy proti nim.

Jak to vnitrostátní regulátoři skutečně vedou
EU stanoví jedno pravidlo a jeden soubor vynětí. Každý členský stát je vkládá do vnitrostátního práva a rozhoduje, které regionální subjekty se počítají. Podstata je stejná po celé Unii; mechanika se liší.
Německo (spolek)

BSI / § 28 BSIG

BSI je příslušným orgánem pro Bundesverwaltung podle § 28 BSIG. Spolková ministerstva a agentury jsou v působnosti podle spolkového práva, bez testu velikosti, bez přihlášení. BSI vydává konkrétní Verwaltungsvorschriften a profily IT-Grundschutz pro spolkové úřady (Mindeststandards nach § 8 BSIG).

Německo (spolkové země)

Landes-Cybersicherheitsgesetze

§ 29 BSIG zmocňuje každou spolkovou zemi k tomu, aby legislativně určila, které subjekty Landes- a Kommunalverwaltung jsou v působnosti. Spolková země provádí posouzení založené na riziku, které vyžaduje článek 2 odst. 2 písm. f) bod ii). Dokud taková legislativa neexistuje, spolkový BSIG regionální subjekty nezavazuje. Než zařadíte Kommune, zkontrolujte, zda vaše spolková země zveřejnila návrh Cybersicherheitsgesetz.

Celounijní

Nástroj sledování transpozice NIS 2 od ENISA

ENISA zveřejňuje stránku transpozice NIS 2, která uvádí vnitrostátní zákony, příslušné orgány za každý členský stát a vnitrostátní rozhodnutí o rozsahu pro veřejnou správu. Je to nejčistší jediný zdroj pro přeshraniční orgány nebo organizace sdílených služeb řešící, u kterého regulátora v každé zemi podávají.

Ostatní členské státy

Vnitrostátní transpoziční zákony

Článek 2 odst. 2 písm. f) zavazuje veřejnou správu po celé EU. NL to pokrývá prostřednictvím Cyberbeveiligingswet, FR prostřednictvím Ordonnance n° 2024-1093, AT prostřednictvím NISG, CZ prostřednictvím zákona č. 264/2025 Sb. Pravidlo směrnice bez ohledu na velikost je všude stejné. Každý členský stát rozhoduje, co se počítá jako ústřední a které regionální subjekty projdou posouzením založeným na riziku.

Tři výklady, které vedou k chybnému rozsahu
Tři pasti, které se objevují téměř v každém hovoru o použitelnosti ve veřejném sektoru. Všechny tři vedou k chybnému ano nebo chybnému ne.

  • Jsme Kommune, takže jsme automaticky v NIS 2.

    Nikoli pouze podle spolkového práva. § 28 BSIG zavazuje Bundesverwaltung. Landes- a Kommunalverwaltung vstupují do působnosti prostřednictvím § 29 BSIG a příslušného Landes-Cybersicherheitsgesetz, poté co spolková země provedla posouzení založené na riziku, které vyžaduje článek 2 odst. 2 písm. f) bod ii). Než budete předpokládat, zkontrolujte status své spolkové země.

  • Děláme práci ve vymáhání práva, takže jsme mimo NIS 2.

    Vynětí podle článku 2 odst. 5 je funkční. Pokrývá činnosti vymáhání práva, nikoli celou instituci. Policejní orgán je mimo pro své systémy správy případů a sledování a v působnosti pro své HR, finanční, nákupní a obecné administrativní IT. Stejný orgán, dva rozsahy. Zdokumentujte hranici po systémech.

  • Náš Stadtwerk je v obecním vlastnictví, takže spadá pod veřejnou správu v sektoru 10.

    Vlastnictví nepřesouvá Stadtwerk do sektoru 10. Obecně vlastněná technická služba je v NIS 2 prostřednictvím sektorů 1 (energetika), 6 (pitná voda), 7 (odpadní vody) nebo 8 (digitální infrastruktura) přílohy I, s obvyklým testem velikosti v článku 2 odst. 1. Sektor 10 je pro subjekty veřejné správy, jak je definuje členský stát, nikoli pro státem vlastněné komerční provozovatele.

Jak to reální provozovatelé veřejného sektoru dělají

Typický případ: spolkový úřad s 90 zaměstnanci. Uplatní se článek 2 odst. 2 písm. f) bod i) (Bundesverwaltung), takže test velikosti nikdy neproběhne. Úřad provozuje obecné administrativní IT a jednu specializovanou platformu, která podporuje spolkovou koordinaci vymáhání práva. Článek 2 odst. 5 vyjímá platformu vymáhání práva. Administrativní IT zůstává v působnosti. Výsledek: jediná Anwendbarkeitsprüfung, která uvádí, které systémy spadají pod § 30 BSIG a které sedí za vynětím, s podpisem řídicího orgánu.

Typický případ na regionální úrovni: Kommune s 220 zaměstnanci ve spolkové zemi, která dosud nepřijala svůj Landes-Cybersicherheitsgesetz. Dnes formálně mimo NIS 2. Provozovatelé přesto budují základ (registr rizik, seznam dodavatelů, proces incidentů), protože návrh zákona je v konzultaci a povinnosti dopadnou v roce 2026 nebo 2027. S přechodným rokem zacházejte jako s přípravou, ne jako s prázdninami.

Jak to řešíme na platformě

Kontrola použitelnosti prochází tři prvky v pořadí: jste ústřední vláda, jste regionální subjekt, který váš členský stát určil, a které z vašich činností sedí za vynětím podle článku 2 odst. 5 nebo odst. 7. Otázky zodpovíte jednou a získáte písemnou Anwendbarkeitsprüfung, která jmenuje právní oporu (§ 28 BSIG, § 29 BSIG plus váš zemský zákon, nebo mimo působnost) a vyňaté systémy.

Výstupem není ano/ne. Je to odůvodnění: které ustanovení se uplatní, jak členský stát rozhodl o regionálních subjektech a které systémy sedí na které straně funkčního vynětí. Podepsáno řídicím orgánem, uloženo s auditní stopou, verzově navázáno na text EU a BSIG, který citujeme.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 2 odst. 2 písm. f), článek 2 odst. 5 až odst. 7, body odůvodnění 7 a 8, příloha I sektor 10. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Zákon o BSI (BSIG), § 28 (Bundesverwaltung) a § 29 (Länder) ve znění NIS2-Umsetzungsgesetz
  • Nástroj sledování transpozice NIS 2 od ENISA. enisa.europa.eu/topics/nis-directive
  • Landes-Cybersicherheitsgesetze (za spolkovou zemi, návrhy a přijaté zákony)
Spusťte kontrolu použitelnosti pro váš úřad
Testy ústřední, regionální a funkčního vynětí v jednom průchodu. Výstupem je podepsaná Anwendbarkeitsprüfung, kterou můžete založit. Zdarma, open source, žádné uzamčení.
Spustit kontrolu použitelnosti