Jsem poskytovatel telekomunikací podle NIS 2?
NIS 2 uvádí telekomunikace v sektoru 8 přílohy I (Digitální infrastruktura). Článek 2 odst. 2 písm. a) pak odstraňuje práh velikosti, takže povinnosti platí pro každého poskytovatele s veřejnou působností, velkého i malého. Definice pocházejí z evropského kodexu pro elektronické komunikace, ne z hovorového užití.
Krátká verze
Pokud provozujete veřejnou síť elektronických komunikací nebo poskytujete veřejně dostupnou službu elektronických komunikací, jste v působnosti NIS 2. Sektor 8 přílohy I vás jmenuje přímo pod Digitální infrastrukturou.
Článek 2 odst. 2 písm. a) směrnice pak pro telekomunikace odstraňuje běžný práh velikosti. Nezáleží na tom, zda máte 5 zaměstnanců nebo 500. Spouštěčem je role veřejné služby, ne počet zaměstnanců. Malý regionální ISP, malý prodejce VoIP i celostátní mobilní operátor jsou v působnosti na stejném základě.
Německo to zakotvuje do národního práva skrze § 28 BSIG spolu s Telekommunikationsgesetz (TKG). Některé provozní povinnosti běží přes Bundesnetzagentur (BNetzA), ne přímo přes BSI. Tato stránka prochází směrnici, sektorové definice EU a německou transpozici v tomto pořadí.
Směrnice NIS 2 (2022/2555), příloha I sektor 8 a čl. 2 odst. 2 písm. a)
Sektor 8 Digitální infrastruktura: poskytovatelé veřejných sítí elektronických komunikací; poskytovatelé veřejně dostupných služeb elektronických komunikací. Tato směrnice se vztahuje rovněž na subjekty bez ohledu na jejich velikost, které splňují kterékoli z následujících kritérií: a) poskytovatelé veřejných sítí elektronických komunikací nebo poskytovatelé veřejně dostupných služeb elektronických komunikací.
Dvě části je třeba číst společně. Sektor 8 přílohy I jmenuje telekomunikace jako klíčovou infrastrukturu. Článek 2 odst. 2 písm. a) pak činí ze stejných poskytovatelů telekomunikací zahrnutí bez ohledu na velikost. Běžný práh středního podniku (50 zaměstnanců nebo 10 mil. EUR obratu) se zde neuplatní.
Směrnice (EU) 2018/1972 (evropský kodex pro elektronické komunikace), čl. 2
'Veřejnou sítí elektronických komunikací' se rozumí síť elektronických komunikací používaná zcela nebo převážně k poskytování veřejně dostupných služeb elektronických komunikací. 'Veřejně dostupnou službou elektronických komunikací' se rozumí služba obvykle poskytovaná za úplatu prostřednictvím sítí elektronických komunikací, která zahrnuje službu přístupu k internetu, službu interpersonální komunikace a služby spočívající zcela nebo převážně v přenosu signálů.
NIS 2 tyto pojmy nově nedefinuje. Přebírá je z evropského kodexu pro elektronické komunikace (EECC). 'Veřejně dostupná' je klíčové slovní spojení: služba, kterou prodáváte široké veřejnosti, se počítá, interní firemní VoIP, který provozujete jen pro vlastní zaměstnance, ne.
§ 28 BSIG a Telekommunikationsgesetz (TKG), Německo
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Německo transponuje telekomunikační povinnosti skrze § 28 BSIG v kombinaci s TKG. BSI je centrálním úřadem pro NIS 2, ale Bundesnetzagentur (BNetzA) řeší provozní sektorovou regulaci pro poskytovatele telekomunikací (bezpečnostní opatření podle bývalého § 109 TKG, hlášení incidentů, registrace služeb). Počítejte s jednáním s oběma.
Provozujete veřejnou síť?
Veřejná síť elektronických komunikací je síť používaná zcela nebo převážně k poskytování služeb veřejnosti: optika, kabel, mobilní, satelit, pevný bezdrát. Pokud provozujete podkladový přenos pro zákazníky někoho jiného, jste v působnosti na noze provozovatele sítě.
Poskytujete veřejnou službu?
Veřejně dostupná služba elektronických komunikací je taková, kterou prodáváte veřejnosti: přístup k internetu (ISP), interpersonální komunikace (telefon, SMS, e-mail, VoIP, messaging) nebo čistý přenos signálu. Přeprodej cizí sítě pod vlastní značkou se počítá.
Velikost vás nedostane ven
Čl. 2 odst. 2 písm. a) pro telekomunikace odstraňuje běžný práh 50 zaměstnanců / 10 mil. EUR. Pětičlenný regionální optický ISP a malý přeprodejce IP telefonie jsou v působnosti na stejném právním základě jako Deutsche Telekom. Pro tento sektor neexistuje žádná výjimka pro malé podniky.
Zahrnutí bez ohledu na velikost (čl. 2 odst. 2 písm. a))
U většiny sektorů NIS 2 spadnete do působnosti jen tehdy, když překročíte práh středního podniku. Telekomunikace jsou jednou z výjimek. Směrnice se výslovně vztahuje bez ohledu na velikost, protože samotná role veřejné služby vytváří společenskou závislost. Malý neznamená mimo.
Definice jsou ty z EECC
Co se počítá jako 'veřejně dostupná' služba, je právní test z evropského kodexu pro elektronické komunikace, ne ten hovorový. Služba, kterou prodáváte veřejnosti, je dovnitř. Síť nebo služba, kterou provozujete jen pro vlastní organizaci, nebo jen jako uzavřenou uživatelskou skupinu, obvykle ne. V případě pochybností jsou referencí definice, recitály EECC a pokyny národního regulátora.
BSI / § 28 BSIG
BSI je centrálním úřadem pro NIS 2. Registrace, rámec řízení rizik, hlášení incidentů podle NIS 2, to vše běží přes BSI. Pro telekomunikace § 28 BSIG jmenuje provozovatele veřejných sítí a poskytovatele veřejných služeb jako 'besonders wichtige Einrichtungen' přímo, bez ohledu na velikost.
Bundesnetzagentur (BNetzA) / TKG
BNetzA je sektorový regulátor pro telekomunikace. Řeší provozní povinnosti z TKG (bezpečnost sítí a služeb, hlášení incidentů na telekomunikační koleji, registrace služeb). NIS 2 sedí navrch existujícího režimu TKG, nenahrazuje ho. Většina poskytovatelů telekomunikací hlásí oběma kanály.
ENISA
ENISA, agentura EU pro kybernetickou bezpečnost, koordinuje napříč členskými státy a vydává technické implementační pokyny podle CIR (EU) 2024/2690. Provozovatelé veřejných sítí a poskytovatelé veřejných služeb jsou uvedeni v příloze CIR, což znamená, že části CIR jsou pro poskytovatele telekomunikací přímo závazné, aniž by bylo potřeba další národní transpozice.
Národní telekomunikační regulátoři
Každý členský stát má vlastního telekomunikačního regulátora, který provozuje tuto vrstvu: ACM v Nizozemsku, ARCEP ve Francii, RTR v Rakousku, AGCOM v Itálii. Povinnost podle NIS 2 je stejná v celé EU, protože směrnice stanoví jedno minimum. Liší se: u koho se registrujete, který formulář pro incidenty používáte a jak si protějšek BSI a telekomunikační regulátor rozdělí práci.
Máme jen 5 zaměstnanců, takže nás práh velikosti dostane ven.
Ne u telekomunikací. Čl. 2 odst. 2 písm. a) NIS 2 uvádí provozovatele veřejných sítí a poskytovatele veřejných služeb jako kategorii bez ohledu na velikost. Práh 50 zaměstnanců / 10 mil. EUR, který filtruje většinu ostatních sektorů, se zde neuplatní. Pětičlenný regionální ISP je v působnosti NIS 2 na stejné úrovni jako celostátní operátor.
Nejsme MSP, takže nás sektor 8 nezachytí.
Jiný sektor, jiný test. Poskytovatelé řízených služeb sedí v sektoru 8 přílohy I pod 'správa služeb IKT (B2B)' a ti se prahem velikosti řídí. Provozovatelé veřejných sítí a poskytovatelé veřejných služeb jsou samostatný řádek ve stejném sektoru s vlastními definicemi z EECC, plus pravidlo bez ohledu na velikost z čl. 2 odst. 2 písm. a). Přečtěte si oba řádky.
Provozujeme síť pro naši firemní skupinu, takže jsme v působnosti jako poskytovatel telekomunikací.
Obvykle ne, na telekomunikační noze. Test EECC se točí kolem 'veřejně dostupná'. Soukromá firemní síť používaná jen vaší vlastní organizací nebo uzavřenou uživatelskou skupinou je obecně mimo definice EECC, a tedy mimo sektor 8 přílohy I pro telekomunikace. Stále můžete spadat pod NIS 2 v jiném sektoru nebo jako subjekt v působnosti, ale ne jako poskytovatel telekomunikací.
Malý regionální optický ISP s 8 zaměstnanci je jednoznačně v působnosti NIS 2. Sektor 8 přílohy I jmenuje provozovatele veřejných sítí a poskytovatele veřejných služeb; čl. 2 odst. 2 písm. a) odstraňuje práh velikosti; test EECC pro 'veřejně dostupná' je splněn, protože služba je prodávána široké veřejnosti. Stejná logika zachytí i malého přeprodejce IP telefonie obsluhujícího veřejné zákazníky. Neexistuje žádné poctivé čtení textu, které by kohokoli z nich dostalo ven.
Co vidíme v praxi: provozovatel sepíše rámec řízení rizik podle § 2.1 kolem služeb s veřejnou působností a podpůrné infrastruktury (přenosová síť, jádrové směrování, přístupové uzly, OSS/BSS, ověřování zákazníků). Uplatní se přiměřenost podle čl. 21 odst. 1, takže osmičlenný ISP neimplementuje do hloubky operátora první úrovně. Fázování musí být sepsáno, ospravedlněno rizikovým obrazem a schváleno řídicím orgánem. Povinnosti z TKG vůči BNetzA běží paralelně a napájejí stejný registr rizik.
Naše kontrola použitelnosti prochází definice EECC krok za krokem. Ptá se, co provozujete, komu prodáváte a zda je služba 'veřejně dostupná' ve smyslu EECC. Výstup vám řekne, který řádek přílohy se uplatní, zda vás čl. 2 odst. 2 písm. a) zachytí bez ohledu na velikost a s kterým národním regulátorem (BSI vs BNetzA v Německu, protějšek BSI vs telekomunikační regulátor jinde) jednat nejprve.
Modul aktiv pokrývá síťovou stranu (přenos, jádro, přístup, OSS/BSS) i stranu obrácenou ke službám (správa účastníků, ověřování, hlasové a messagingové platformy) v jednom inventáři. Rámec řízení rizik podle § 2 CIR pak běží proti tomuto inventáři, takže stejný seznam aktiv napájí kolej BSIG / NIS 2 i kolej TKG bez zdvojené údržby.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 8 a článek 2 odst. 2 písm. a). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2018/1972 (evropský kodex pro elektronické komunikace), definice v článku 2. eur-lex.europa.eu/eli/dir/2018/1972/oj
- Zákon o BSI (BSIG), § 28 ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
- Telekommunikationsgesetz (TKG), § 165 a násl. (bezpečnost sítí a služeb)
- Bundesnetzagentur, sektorové pokyny k bezpečnosti a hlášení podle TKG. bundesnetzagentur.de
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha (pokrývá DNS, TLD, cloud, datová centra, MSP a další kategorie sektoru 8). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj