IT společnosti ve skupině jako poskytovatelé řízených služeb podle NIS 2
Když centrální IT vaší skupiny slouží dceřiným společnostem, může být tato IT společnost v působnosti NIS 2 sama o sobě. Příloha I sektor 9 (řízení služeb ICT mezi podniky) jmenuje MSP a MSSP. Článek 6 odst. 40 a 41 je definuje. Němečtí praktici začali tento výklad uplatňovat na skupinové struktury.
Stručná verze
Řada německých a evropských skupin sdružuje své IT do jednoho centrálního oddělení nebo jedné servisní společnosti, která pro zbytek skupiny provozuje infrastrukturu, aplikace a bezpečnost. Otázka NIS 2 zní, zda se tato IT společnost sama o sobě počítá jako poskytovatel řízených služeb (MSP), odděleně od toho, co dělá mateřská společnost nebo dceřiné společnosti.
Záleží na tom, protože MSP a MSSP spadají do přílohy I sektoru 9 směrnice (řízení služeb ICT mezi podniky). Pokud zde sedíte jako MSP nebo MSSP a dosahujete prahu střední velikosti podniku, jste důležitým subjektem. Sami o sobě. S vlastní registrací, vlastním řízením rizik a vlastní povinností hlásit incidenty. Příslušnost ke skupině nic z toho nepohlcuje.
Stránka prochází tři vrstvy. Zaprvé, co směrnice skutečně říká v příloze I sektoru 9 a v článku 6 odst. 40 a 41. Zadruhé, třídílný test, který vám řekne, zda IT společnost ve skupině spadá do působnosti. Zatřetí, německý výklad praxe a chybné výklady, které slýcháme nejčastěji.
Příloha I sektor 9 směrnice NIS 2 (2022/2555)
Řízení služeb ICT (mezi podniky): poskytovatelé řízených služeb; poskytovatelé řízených bezpečnostních služeb.
Příloha I sektor 9 ('Verwaltung von IKT-Diensten, Business-to-Business' v německém znění) jmenuje MSP a MSSP jako typy subjektů v působnosti. Sedí ve svém vlastním sektoru, odděleně od přílohy I sektoru 8 (digitální infrastruktura: cloud, datová centra, DNS, CDN, služby vytvářející důvěru).
Článek 6 odst. 40 a 41 směrnice NIS 2
Poskytovatelem řízených služeb se rozumí subjekt, který poskytuje služby týkající se instalace, řízení, provozu nebo údržby produktů ICT, sítí, infrastruktury, aplikací nebo jakýchkoli jiných sítí a informačních systémů prostřednictvím asistence nebo aktivní správy prováděné buď v prostorách zákazníků, nebo na dálku. Poskytovatelem řízených bezpečnostních služeb se rozumí poskytovatel řízených služeb, který provádí činnosti související s řízením kybernetických bezpečnostních rizik nebo poskytuje k těmto činnostem asistenci.
Článek 6 odst. 40 definuje MSP. Článek 6 odst. 41 definuje MSSP. Testem je to, co subjekt dělá (instalace, řízení, provoz, údržba, aktivní správa), nikoli to, zda fakturuje externím zákazníkům.
Německý výklad praxe (Piltz Legal)
Společnosti, které výhradně provozují centrální IT provoz podnikové skupiny, obvykle spadají pod definici MSP.
Piltz Legal přečetli německou transpozici a dospěli k tomuto závěru: centrální IT servisní společnosti, které slouží dceřiným společnostem skupiny, spadají pod definici MSP. Německé legislativní materiály, které citují, ukazují stejným směrem: služby pro právně samostatné subjekty skupiny jsou řízenými službami.
Vlastní právní subjekt
Je centrální IT zřízeno jako vlastní právní subjekt (GmbH, AG nebo ekvivalent v jiných členských státech)? Pokud ano, NIS 2 jej posuzuje samostatně. Pokud je IT jen interním nákladovým střediskem bez právní subjektivity, působnost běží přes mateřskou společnost, která jej provozuje.
Řízené služby pro jiné strany
Instaluje, řídí, provozuje, udržuje nebo aktivně spravuje subjekt produkty ICT, sítě, infrastrukturu, aplikace nebo systémy pro jiné strany? Dceřiné společnosti jsou právně oddělené od IT servisní společnosti, a to i uvnitř téže skupiny. Služby pro ně se podle čl. 6 odst. 40 počítají jako služby pro jiné strany.
Splněn práh velikosti
Dosahuje IT subjekt prahu střední velikosti podniku (50 nebo více zaměstnanců, nebo obrat nad 10 milionů EUR s bilanční sumou nad 10 milionů EUR)? Pozor na pravidlo propojených podniků podle doporučení Komise 2003/361/ES: počítá zaměstnance a finanční ukazatele za celou skupinu. IT společnost s 30 lidmi uvnitř skupiny se 400 lidmi se počítá na úrovni skupiny.
Každý právní subjekt se posuzuje samostatně
Působnost NIS 2 se určuje pro každý právní subjekt zvlášť. To, že je v působnosti mateřská společnost (řekněme jako výrobce), automaticky nevtahuje dovnitř IT dceřinou společnost. To, že je v působnosti IT dceřiná společnost, nevtahuje dovnitř mateřskou společnost. Každý subjekt se registruje, řídí rizika a hlásí incidenty z titulu vlastní povinnosti.
Působnost rozhoduje funkce, nikoli účel
Článek 6 odst. 40 popisuje, co subjekt dělá, nikoli proč. Služby nemusejí být komerční, oceněné za tržních podmínek ani prodávané externím zákazníkům. IT společnost, která existuje pouze pro obsluhu vlastní skupiny, stále poskytuje řízené služby podle definice. Působnost rozhoduje to, co děláte. To, proč to děláte, nikoli.
Analýza praxe Piltz Legal
Zveřejněný výklad Piltz Legal: německé IT společnosti ve skupinách obvykle spadají pod definici MSP, když provozují centrální IT pro zbytek skupiny. Německé legislativní materiály kolem implementačního zákona NIS2 ukazují stejným směrem: služby pro právně samostatné dceřiné společnosti skupiny jsou řízenými službami pro účely čl. 6 odst. 40.
Článek 6 je v celé EU stejný
Článek 6 směrnice je jeden soubor definic, který zavazuje každý členský stát. Vnitrostátní zákony přebírají znění téměř doslova. Německá, nizozemská, rakouská a belgická transpozice všechny zrcadlí čl. 6 odst. 40 a 41, takže třídílný test vám dá všude stejnou odpověď.
Zrcadlové transpozice
Nizozemsko (Cyberbeveiligingswet), Rakousko (NISG) a Belgie (NIS2-Wet) vložily definice MSP a MSSP do vnitrostátního práva. IT společnost ve skupině, která působí přes hranice, může být v působnosti v několika členských státech naráz, s oddělenou registrací u každého vnitrostátního příslušného orgánu.
Interní IT se nepočítá jako MSP.
Záleží na tom, jak je nastaveno. Pokud je centrální IT vlastním právním subjektem a slouží jiným, právně samostatným společnostem skupiny, jsou to řízené služby pro jiné strany podle čl. 6 odst. 40. Čisté interní nákladové středisko bez právní subjektivity v působnosti samo o sobě není. Servisní GmbH uvnitř skupiny obvykle ano.
Počítají se jen komerční MSP s externími zákazníky.
Článek 6 odst. 40 popisuje funkci (instalace, řízení, provoz, údržba, aktivní správa produktů ICT, sítí, infrastruktury, aplikací nebo systémů), nikoli komerční účel. Spřízněné IT společnosti, které slouží pouze vlastním dceřiným společnostem, definici stále splňují, pokud tuto funkci vykonávají. Výklad Piltz Legal a německé legislativní materiály říkají totéž.
Působnost mateřské společnosti automaticky pokrývá IT dceřinou společnost.
NIS 2 se dívá na každý právní subjekt samostatně. Mateřská společnost může být v působnosti jako výrobce podle přílohy II, zatímco IT dceřiná společnost je v působnosti podle přílohy I sektoru 9 jako MSP. Registrace, řízení rizik a hlášení incidentů se vážou ke každému subjektu zvlášť. Jediné místo, kde se skupina posuzuje jako celek, je test velikosti.
Dvě desetiletí slučovaly německé skupiny své IT do jedné servisní společnosti. Čistší provoz, lepší zacházení s DPH, méně duplicit. NIS 2 tento motiv zčásti obrací. Konsolidovaná IT GmbH skupiny, která dříve létala pod regulatorním radarem, může nyní být důležitým subjektem NIS 2 sama o sobě, s vlastní registrací, vlastním rámcem řízení rizik a vlastní linkou pro hlášení incidentů na BSI.
Co to v praxi znamená: strukturální rozhodnutí, která jste učinili z daňových nebo provozních důvodů, potřebují druhý pohled s NIS 2 před sebou. Pokud je IT subjekt v působnosti jako MSP, přebírá také povinnosti k dodavatelskému řetězci podle čl. 21 odst. 2 písm. d) vůči svým zákazníkům ve skupině. Tito zákazníci mohou sami být v působnosti podle přílohy I nebo II. Tatáž interní smlouva pak spadá pod NIS 2 z obou stran.
Kontrola použitelnosti prochází třídílný test nahlas: právní subjekt ano nebo ne, služby pro jiné právní subjekty (uvnitř nebo vně skupiny), velikost včetně pravidla propojených podniků. Odpověď se promítne do registračního modulu, takže se IT subjekt registruje samostatně tam, kde musí.
Dodavatelský portál pokrývá druhou stranu smlouvy. Dceřiné společnosti, které nakupují řízené služby od sesterské IT společnosti, proti ní mohou spustit dodavatelský dotazník jako proti kterémukoli jinému dodavateli. Oba konce obchodu nakonec skončí zdokumentovány stejnými důkazy podle čl. 21 odst. 2 písm. d).
- Směrnice (EU) 2022/2555 (NIS 2), čl. 6 odst. 40, čl. 6 odst. 41 a příloha I sektor 9 (řízení služeb ICT mezi podniky). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie'. piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (německá transpozice NIS2), §2 č. 26 (definice MSP) a §28 (působnost). gesetze-im-internet.de
- Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků (pravidlo propojených podniků). eur-lex.europa.eu/eli/reco/2003/361/oj
- BSI. Sektorově specifické FAQ k typům subjektů NIS 2. bsi.bund.de