Anhang I Sektor 8 + Art. 2(2)(b)

Jsme poskytovatel služeb vytvářejících důvěru podle NIS 2?

Poskytovatelé služeb vytvářejících důvěru spadají do přílohy I, sektoru 8 NIS 2. Kvalifikovaní TSP jsou vázáni bez ohledu na velikost podle článku 2 odst. 2 písm. b). Nekvalifikovaní TSP se řídí standardním testem velikosti podle článku 2 odst. 1. eIDAS běží souběžně a upravuje samotnou službu vytvářející důvěru.

Simon OrzelSimon Orzel·

Stručně

Poskytovatelem služeb vytvářejících důvěru je každý, kdo poskytuje jednu nebo více služeb vytvářejících důvěru ve smyslu článku 3 odst. 16 nařízení eIDAS (EU) 910/2014: elektronické podpisy, elektronické pečeti, elektronická časová razítka, elektronické doporučené doručování, certifikáty pro autentizaci internetových stránek nebo uchovávání kteréhokoli z nich. Příloha I, sektor 8 NIS 2 jmenuje poskytovatele služeb vytvářejících důvěru výslovně jako součást digitální infrastruktury.

Článek 2 odst. 2 písm. b) NIS 2 poté zatáhne za páku, která se na většinu ostatních sektorů nevztahuje. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru, jak jsou vymezeni v článku 3 odst. 17 eIDAS, jsou v působnosti bez ohledu na velikost. Dvoučlenný kvalifikovaný TSP, který vydává kvalifikované certifikáty pro elektronické podpisy, je vázán stejně jako pětisetčlenná certifikační autorita. Práh středního podniku z článku 2 odst. 1 je nepodmiňuje.

Nekvalifikovaní TSP se řídí běžným testem velikosti: nejméně 50 zaměstnanců, nebo roční obrat či bilanční suma nad 10 milionů eur je staví do působnosti. Pod tím jsou mimo NIS 2, ačkoli článek 19 eIDAS je stále zavazuje bezpečnostním základem. Tak jako tak běží souběžně dva režimy: eIDAS pro samotnou službu vytvářející důvěru, NIS 2 pro mezisubjektové kybernetické povinnosti (školení vedení podle článku 20, hlášení významných incidentů podle §32 BSIG, opatření k řízení rizik podle článku 21).

Právní zdroj
Tři vrstvy. Příloha I, sektor 8 NIS 2 jmenuje sektor. Článek 2 odst. 2 písm. b) NIS 2 plus článek 3 odst. 16 a 3 odst. 17 eIDAS stanoví definici a výjimku bez ohledu na velikost. Německá transpozice probíhá prostřednictvím §28 BSIG a Vertrauensdienstegesetz (VDG).

Směrnice NIS 2 (2022/2555), příloha I, sektor 8 (digitální infrastruktura)

Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.

Doslovně z OJ L 333/146. Sektor 8 je digitální infrastruktura. Poskytovatelé služeb vytvářejících důvěru jsou první uvedenou podkategorií. Seznam sektoru neodděluje kvalifikované od nekvalifikovaných; toto rozdělení činí článek 2 odst. 2 písm. b) a eIDAS.

Článek 2 odst. 2 písm. b) NIS 2 + článek 3 odst. 16 a 3 odst. 17 eIDAS

Článek 2 odst. 2 písm. b) NIS 2: Tato směrnice se rovněž vztahuje na subjekty typu uvedeného v příloze I nebo II bez ohledu na jejich velikost, je-li subjekt kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Článek 3 odst. 16 eIDAS: „službou vytvářející důvěru“ se rozumí elektronická služba, která je obvykle poskytována za úplatu a která spočívá v: a) vytváření, ověřování platnosti a validaci elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami, nebo b) vytváření, ověřování platnosti a validaci certifikátů pro autentizaci internetových stránek, nebo c) uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami. Článek 3 odst. 17: „kvalifikovanou službou vytvářející důvěru“ se rozumí služba vytvářející důvěru, která splňuje příslušné požadavky stanovené v tomto nařízení.

Dvě naskládané definice. Článek 3 odst. 16 eIDAS vám říká, co se počítá za službu vytvářející důvěru. Článek 3 odst. 17 říká, kdy je kvalifikovaná (splňuje požadavky přílohy eIDAS a je uvedena na vnitrostátním důvěryhodném seznamu). Článek 2 odst. 2 písm. b) NIS 2 pak říká: jste-li kvalifikovaní, jste v NIS 2 bez ohledu na počet zaměstnanců či obrat.

§28 BSIG + Vertrauensdienstegesetz (Německo)

§28 BSIG transponuje působnost přílohy I do německého práva a výslovně zachycuje kvalifikované poskytovatele služeb vytvářejících důvěru jako „besonders wichtige Einrichtungen“ bez ohledu na velikost. Vertrauensdienstegesetz (VDG) je vnitrostátní doprovodný zákon k nařízení eIDAS; určuje Bundesnetzagentur jako dohledový orgán pro služby vytvářející důvěru a provozuje německý důvěryhodný seznam.

Nařízení eIDAS se uplatní přímo bez německé transpozice. VDG pouze doplňuje dohledový aparát. NIS 2 stojí samostatně navrch obou: §28 BSIG umisťuje kvalifikované TSP do nejvyšší úrovně (besonders wichtige Einrichtung), bez ohledu na velikost, s BSI jako kybernetickým regulátorem.

Tři testy, které rozhodují vaši odpověď
Projděte je v pořadí. První rozhoduje, zda vůbec poskytujete službu vytvářející důvěru. Druhý rozhoduje, zda to děláte jako poskytovatel (nikoli jen jako interní uživatel). Třetí vám říká, zda na vás velikost má vliv.
Test 1

Poskytujete službu vytvářející důvěru?

Porovnejte svou nabídku s článkem 3 odst. 16 eIDAS. Uzavřený seznam zní: elektronické podpisy, elektronické pečeti, elektronická časová razítka, služby elektronického doporučeného doručování, certifikáty pro autentizaci internetových stránek a uchovávání kteréhokoli z nich. Služba je obvykle poskytována za úplatu. Pokud se vaše nabídka nehodí do žádné z těchto kategorií, nejste TSP podle eIDAS, ať dodáváte kryptografie sebevíc.

Test 2

Jste poskytovatel, nebo jen uživatel?

TSP vydává nebo provozuje službu vytvářející důvěru pro jiné. Společnost, která podepisuje vlastní faktury externí kvalifikovanou podpisovou službou, je uživatelem této služby, nikoli TSP. Poradenství, které pomáhá klientovi nasadit podpisové pracovní postupy, je rovněž uživatelem. Status poskytovatele závisí na tom, zda vytváříte, validujete, doručujete nebo uchováváte samotnou službu vytvářející důvěru pro někoho jiného za úplatu.

Test 3

Kvalifikovaný, nebo nekvalifikovaný?

Zkontrolujte vnitrostátní důvěryhodný seznam (v Německu: důvěryhodný seznam Bundesnetzagentur podle VDG). Jste-li tam uvedeni jako kvalifikovaný poskytovatel, článek 2 odst. 2 písm. b) NIS 2 vás zavazuje bez ohledu na velikost. Nejste-li uvedeni, jste nekvalifikovaní a uplatní se standardní test velikosti podle článku 2 odst. 1: střední podnik nebo větší. Dvou- a tříčlenní kvalifikovaní TSP jsou v tomto sektoru běžní a všichni jsou v působnosti.

Dvě zásady, které utvářejí každý hovor o působnosti TSP
Obě jsou oproti zbytku NIS 2 neobvyklé. Kvalifikovaní TSP jsou jedním z mála sektorů, kde velikost skutečně nehraje roli, a spadají pod dva regulátory zároveň.

Kvalifikovaný znamená bez ohledu na velikost

Článek 2 odst. 2 písm. b) NIS 2 je jednou ze sedmi výjimek bez ohledu na velikost ve směrnici. Služby vytvářející důvěru se na seznam dostaly, protože škoda z kompromitovaného kvalifikovaného certifikátu je strukturální: každý podpis, pečeť nebo časové razítko vydané pod ním ztrácí právní účinky. Velikost poskytovatele nemá vliv na velikost škody na navazujícím článku. Dvoučlenná certifikační autorita může zlomit celý podpisový řetězec členského státu. Proto je test velikosti vypnut.

Kvalifikovaní TSP provozují dva souběžné režimy

Článek 19 eIDAS zavazuje bezpečnost samotné služby vytvářející důvěru, s audity každých 24 měsíců podle článku 24 pro kvalifikované TSP. NIS 2 přidává mezisubjektové kybernetické povinnosti: školení vedení podle článku 20, opatření k řízení rizik podle článku 21, hlášení významných incidentů podle článku 23. Článek 4 NIS 2 zde NIS 2 nevypíná. Oba režimy se uplatní v plném rozsahu. Dohledový orgán eIDAS a příslušný orgán NIS 2 mohou být odlišné (v Německu: Bundesnetzagentur pro eIDAS, BSI pro NIS 2).

Jak to regulátoři v praxi provádějí
Dva německé orgány vlastní různé části téže služby vytvářející důvěru. Vrstva EU (eIDAS) je jednotná. Vnitrostátní dohledové orgány jsou rozděleny.
Německo

BSI / §28 BSIG (strana NIS 2)

BSI je příslušným orgánem pro NIS 2. Provozuje registrační portál podle §33 BSIG, přijímá oznámení o významných incidentech podle §32 BSIG a dohlíží na opatření k řízení rizik podle §30 BSIG. Kvalifikovaní TSP spadají do úrovně „besonders wichtige Einrichtung“ prostřednictvím §28 BSIG, což znamená přísnější dohled a stejné lhůty pro hlášení incidentů jako u provozovatelů KRITIS.

Německo

Bundesnetzagentur (strana eIDAS)

Bundesnetzagentur je dohledovým orgánem pro služby vytvářející důvěru podle Vertrauensdienstegesetz. Provozuje německý důvěryhodný seznam, akredituje kvalifikovaný status, přijímá zprávy o posouzení shody podle článku 20 eIDAS a vede 24měsíční auditní cyklus podle článku 24. Je-li incident zároveň významným incidentem podle §32 BSIG i narušením podle článku 19 odst. 2 eIDAS, hlásíte obojí, oběma orgánům.

Celá EU

Technické pokyny k implementaci od ENISA + práce na EUDI Wallet

ENISA vydává technické pokyny pro služby vytvářející důvěru podle článku 19 eIDAS a píše základní úroveň kybernetické bezpečnosti, která vstupuje do očekávání vnitrostátních dohledových orgánů. Tentýž orgán nyní píše pracovní balíček služeb vytvářejících důvěru pro evropskou peněženku digitální identity, který od roku 2026 rozšiřuje perimetr kvalifikovaných TSP.

Ostatní členské státy

Vnitrostátní transpoziční zákony

eIDAS je nařízení, takže pravidla pro služby vytvářející důvěru jsou v celé EU jednotná. NIS 2 je směrnice, takže každý členský stát ji transponuje: NL prostřednictvím Cyberbeveiligingswet, AT prostřednictvím NISG, FR prostřednictvím Ordonnance 2024-1093. Příloha I, sektor 8 a pravidlo bez ohledu na velikost podle článku 2 odst. 2 písm. b) jsou ve všech identické. Příslušný orgán pro stranu NIS 2 se liší zemi od země.

Tři výklady, které vidíme téměř při každém hovoru o působnosti
Všechny tři jsou běžné, všechny tři jsou chybné a všechny tři vedou ke stejnému výsledku: TSP, který se domnívá, že je mimo působnost, a není.

  • Nekvalifikované služby vytvářející důvěru jsou mimo NIS 2.

    Chyba. Nekvalifikovaní TSP jsou stále v příloze I, sektoru 8. Nedostávají zvednutí bez ohledu na velikost podle článku 2 odst. 2 písm. b), takže rozhoduje standardní test podle článku 2 odst. 1. Poskytovatel časových razítek s 60 zaměstnanci a nekvalifikovaným statusem je plně v NIS 2 jako důležitý subjekt. Pouze kvalifikační status mění, zda se uplatní test velikosti, nikoli zda se uplatní sektor.

  • eIDAS už kybernetickou bezpečnost pokrývá, takže NIS 2 nic nepřidává.

    Článek 19 eIDAS stanoví bezpečnostní základ pro službu vytvářející důvěru. Články 20, 21 a 23 NIS 2 přidávají mezisubjektové povinnosti: školení řídícího orgánu, plný katalog řízení rizik od kryptografie po dodavatelský řetězec a hlášení významných incidentů podle §32 BSIG s 24hodinovým včasným varováním. Lex specialis podle článku 4 NIS 2 NIS 2 pro služby vytvářející důvěru nevypíná. Dva souběžné režimy, žádný z nich druhý nenahrazuje.

  • Jsme příliš malí na NIS 2.

    Jste-li kvalifikovaný TSP, velikost je špatná otázka. Článek 2 odst. 2 písm. b) vás staví dovnitř bez ohledu na počet zaměstnanců, obrat či bilanční sumu. Dvoučlenná kvalifikovaná certifikační autorita je ve stejné úrovni NIS 2 jako nadnárodní certifikační autorita. Důvod je na navazujícím článku: každý podpis vydaný pod kompromitovaným kvalifikovaným certifikátem ztrácí právní účinky bez ohledu na to, kdo jej vydal.

Jak to vypadá v praxi

Typický případ: 12členný kvalifikovaný TSP vydávající kvalifikované certifikáty pro elektronické podpisy, s 24měsíčním cyklem posouzení shody podle eIDAS a záznamem na vnitrostátním důvěryhodném seznamu prostřednictvím Bundesnetzagentur. Působnost NIS 2 je automatická prostřednictvím článku 2 odst. 2 písm. b). §28 BSIG staví společnost do úrovně „besonders wichtige Einrichtung“. Dva regulátoři, dva kanály hlášení, jedna společnost.

Co praktici skutečně dělají: vezmou auditní důkazy podle článku 24 eIDAS a znovu je využijí pro příslušná opatření podle článku 21 NIS 2 (kryptografie, řízení přístupu, řešení incidentů, kontinuita provozu). Provedou registraci podle §33 BSIG u BSI. Doplní položky, které eIDAS nepokrývá: školení vedení podle článku 20, dodavatelské riziko podle článku 21 odst. 2 písm. d), kanál pro významné incidenty podle §32 BSIG. Oba režimy se překrývají v kryptografii a reakci na incidenty; vše ostatní je navíc.

Jak to řešíme na platformě

Kontrola působnosti identifikuje kvalifikované TSP prostřednictvím článku 2 odst. 2 písm. b) a automaticky vypíná test velikosti. Výstupem je písemné posouzení použitelnosti (Anwendbarkeitsprüfung), které cituje přílohu I, sektor 8 a článek 2 odst. 2 písm. b), podepsané řídícím orgánem, navázané na konkrétní verzi textu směrnice.

Katalog opatření zrcadlí realitu dvou režimů. Opatření podle článku 19 eIDAS jsou označena tagy, takže můžete jednou připojit nejaktuálnější zprávu o posouzení shody a započítat ji proti příslušným opatřením podle článku 21 NIS 2. Registr dodavatelů označuje jakékoli subdodavatele, kteří jsou sami TSP, takže povinnosti dodavatelského řetězce podle článku 21 odst. 2 písm. d) zůstávají sledovatelné.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), příloha I, sektor 8 a článek 2 odst. 2 písm. b). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Nařízení (EU) 910/2014 (eIDAS), článek 3 odst. 16, článek 3 odst. 17, článek 19, článek 24. eur-lex.europa.eu/eli/reg/2014/910/oj
  • Zákon o BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) a §33 (Registrierung) ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
  • Vertrauensdienstegesetz (VDG). gesetze-im-internet.de/vdg
  • Německý důvěryhodný seznam Bundesnetzagentur podle článku 22 eIDAS
  • Technické pokyny k implementaci od ENISA pro služby vytvářející důvěru podle článku 19 eIDAS. enisa.europa.eu
Spusťte kontrolu působnosti pro svou službu vytvářející důvěru
Test podle článku 3 odst. 16 eIDAS, kontrola kvalifikovaného statusu a výjimka podle článku 2 odst. 2 písm. b) NIS 2 v jednom průchodu. Výstupem je podepsané posouzení použitelnosti (Anwendbarkeitsprüfung). Zdarma, open source, bez lock-inu.
Spustit kontrolu působnosti