Art. 26 NIS 2

NIS 2, když máte sídlo mimo EU

NIS 2 sleduje službu, ne hlavičkový papír. Pokud prodáváte do EU v jednom z pokrytých sektorů, článek 26 směrnice rozhoduje, který členský stát na vás dohlíží a zda potřebujete určeného zástupce uvnitř Unie.

Simon OrzelSimon Orzel·

Stručná verze

Mnoho zakladatelů předpokládá, že je mateřská společnost z USA, Spojeného království nebo Švýcarska dostává mimo NIS 2. Tak to ale směrnice nefunguje. Článek 26 NIS 2 váže jurisdikci na to, kde je služba nabízena a kde se přijímají kyberbezpečnostní rozhodnutí, ne na to, kde je společnost zapsána.

Pokud jste běžný sektorový subjekt (energetika, voda, doprava, výroba, potraviny, zdravotnictví, odpady, veřejná správa a tak dále), dohled sleduje provozovny, které v Unii skutečně provozujete. Pokud máte německou dceřinou společnost, BSI na tuto dceřinou společnost dohlíží. Pokud máte kanceláře ve třech členských státech, na každou se dohlíží lokálně.

Pokud sedíte v jednom z digitálních sektorů uvedených v čl. 26 odst. 3 (DNS, registry TLD, poskytovatelé cloudu, poskytovatelé datových center, sítě pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, online tržiště, internetové vyhledávače, služby sociálních sítí), jsou pravidla přísnější. Na vás dohlíží jedna hlavní provozovna pro celou Unii, a pokud máte sídlo mimo EU, musíte určit zástupce uvnitř Unie podle čl. 26 odst. 4.

Právní zdroj
Dvě vrstvy. Směrnice stanoví jurisdikci (článek 26) a registrační povinnost (článek 27). Německé provedení (§28 BSIG) zrcadlí směrnici pro subjekty, na něž se dohlíží v Německu.

Čl. 26 odst. 2 směrnice NIS 2 (2022/2555)

For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.

Toto je kaskáda, která rozhoduje, kdo na vás dohlíží, když by si jurisdikci mohlo věrohodně nárokovat více než jeden členský stát. Uplatní se na subjekty v digitálních sektorech jmenovaných v čl. 26 odst. 3. Kyberbezpečnostní rozhodnutí jsou první, kyberbezpečnostní provozy druhé, počet zaměstnanců třetí.

Čl. 26 odst. 4 směrnice NIS 2 (2022/2555)

Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.

Čte se jako povinnost pro subjekty mimo EU v digitálních sektorech čl. 26 odst. 3. Zástupce se stává kontaktním místem a ukotvuje jurisdikci. Článek 27 pak přidává registrační povinnost: zástupce přihlásí subjekt do registru provozovaného ENISA jménem subjektu.

§28 BSIG (Německo)

Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.

BSIG zrcadlí směrnici: BSI na vás dohlíží v Německu, pokud článek 26 NIS 2 umístí jurisdikci tam. Žádný samostatný vnitrostátní test jurisdikce neexistuje. Testem je kaskáda směrnice.

Jak článek 26 skutečně funguje
Tři stavební kameny. Obecné pravidlo pro běžné sektory. Zvláštní pravidlo pro digitální sektory jmenované v čl. 26 odst. 3. Povinnost zástupce pro poskytovatele mimo EU v těchto digitálních sektorech.
Čl. 26 odst. 1 až 2

Obecné pravidlo: jurisdikce sleduje provozovnu

Mimo digitální sektory na vás dohlíží každý členský stát, kde máte právní provozovnu. Skupina z USA s německou GmbH a rakouskou GmbH má pro německý subjekt dohled od BSI a pro rakouský subjekt od rakouského orgánu. Čl. 26 odst. 2 řeší pouze rozuzlení mezi členskými státy pro digitální sektory pokryté čl. 26 odst. 3.

Čl. 26 odst. 3

Zvláštní pravidlo pro digitální sektory

Poskytovatelé služeb DNS, registry TLD, služby cloud computingu, služby datových center, sítě pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, online tržiště, internetové vyhledávače a platformy sociálních sítí mají jednu hlavní provozovnu v Unii. Tento jediný členský stát na vás dohlíží napříč celou EU. Kaskáda v čl. 26 odst. 2 rozhoduje, který členský stát to je.

Čl. 26 odst. 4

Povinnost zástupce pro poskytovatele mimo EU

Pokud sedíte v jednom z digitálních sektorů čl. 26 odst. 3 a nejste usazeni v Unii, musíte určit zástupce uvnitř Unie. Zástupce musí být v členském státě, kde službu skutečně nabízíte. Jurisdikce pak sleduje zástupce. Bez něj může kterýkoli členský stát, kde obsluhujete zákazníky, podniknout právní kroky podle směrnice.

Dvě zásady za kaskádou
Článek 26 dělá dvě věci naráz. Předchází roztříštěnosti u přeshraničních digitálních služeb. A uzavírá mezeru, kde zahraniční společnost prodává do EU bez jakéhokoli místního subjektu, který by nesl odpovědnost.

Jeden dozorový orgán, ne pět

Pro digitální sektory v čl. 26 odst. 3 znamená pravidlo hlavní provozovny jeden dozorový orgán pro celou Unii. To brání situaci, kdy je poskytovatel cloudu se zákazníky v každém členském státě auditován dvacetsedmkrát na tytéž kontroly. Kaskáda v čl. 26 odst. 2 vybírá dozorový orgán v předvídatelném pořadí: kyberbezpečnostní rozhodnutí první, kyberbezpečnostní provozy druhé, počet zaměstnanců v EU třetí.

Žádná úniková cesta přes zahraniční sídlo

Čl. 26 odst. 4 uzavírá smyčku. Poskytovatel mimo EU v pokrytých digitálních sektorech nemůže nabízet služby do Unie bez určeného zástupce uvnitř ní. Bez něj může kterýkoli členský stát, kde se služba prodává, podniknout právní kroky. Zápis v USA, Spojeném království nebo Švýcarsku vás z působnosti nedostává, pokud se služba dotýká Unie.

Jak to vypadá v praxi
Směrnice stanoví kaskádu. Každý členský stát provádí dohled přes svůj vnitrostátní orgán. ENISA provozuje jednotné registrační vstupní místo. Mechanika je jednotná; místní kontakt je vnitrostátní.
Německo

BSI / §28 a §33 BSIG

BSI je dozorovým orgánem pro subjekty, jejichž hlavní provozovna nebo německá dceřiná společnost je umísťuje pod německou jurisdikci. Registrace probíhá přes národní portál BSI, který napájí registr ENISA podle článku 27. Pro subjekty digitálního sektoru s hlavní provozovnou v Německu je BSI jednotným kontaktním místem pro celou Unii.

Celounijně

Registr ENISA podle článku 27

ENISA provozuje centrální registr pro digitální sektory jmenované v čl. 27 odst. 2: poskytovatelé DNS, registry TLD, cloud, datová centra, sítě pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, online tržiště, internetové vyhledávače, služby sociálních sítí. Členské státy do něj napájejí data o subjektech. Registr je to, co činí přeshraniční dohled praktickým.

Ostatní členské státy

Vnitrostátní prováděcí zákony

Každý členský stát má prováděcí zákon (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet) a vnitrostátní příslušný orgán. Kaskáda článku 26 je napříč Unií totožná, protože sedí ve směrnici. Liší se portál, jazyk a místní dozorový orgán, se kterým skutečně mluvíte.

Tři pasti, které vídáme neustále
Tři předpoklady, které se objevují téměř v každém přeshraničním hovoru o působnosti. Všechny tři vytvářejí mezery, které orgán najde.

  • Jsme americká společnost, takže se na nás NIS 2 nevztahuje.

    NIS 2 sleduje službu do Unie, ne hlavičkový papír. Pokud jste v jednom z digitálních sektorů jmenovaných v čl. 26 odst. 3 a nabízíte službu zákazníkům v EU, čl. 26 odst. 4 vyžaduje, abyste určili zástupce v Unii. Pokud působíte přes dceřinou společnost v EU v jakémkoli jiném pokrytém sektoru, sama dceřiná společnost je v působnosti. Zápis mateřské společnosti není testem.

  • Máme kanceláře v šesti členských státech, takže se registrujeme šestkrát.

    Pro digitální sektory v čl. 26 odst. 3 máte jednu hlavní provozovnu a jeden dozorový orgán napříč celou Unií. Kaskáda čl. 26 odst. 2 ji vybírá: kde se přijímají kyberbezpečnostní rozhodnutí první, kde sedí kyberbezpečnostní provozy druhé, provozovna v EU s nejvíce zaměstnanci třetí. Mimo tyto digitální sektory se registrujete za každý členský stát, kde jste usazeni, ale uvnitř nich ne.

  • Sídlíme ve Švýcarsku, takže jsme mimo NIS 2, protože Švýcarsko není v EU.

    Švýcarsko není členským státem EU, ale směrnice přesto dosáhne na švýcarské společnosti, které prodávají do Unie v pokrytém sektoru. Švýcarský MSP obsluhující německé zákazníky buď působí přes dceřinou společnost v EU, která se stává regulovaným subjektem, nebo pro digitální sektory čl. 26 odst. 3 musí určit zástupce v EU podle čl. 26 odst. 4. Stejná logika platí pro poskytovatele ze Spojeného království, USA a dalších třetích zemí.

Jak to vídáme řešené v praxi

Čistý vzorec: nejprve zjistěte, zda je váš sektor na seznamu čl. 26 odst. 3, než cokoli uděláte. Pokud je, vaším úkolem je vybrat jednu hlavní provozovnu, písemně zdokumentovat kaskádu čl. 26 odst. 2 (rozhodnutí, provozy, počet zaměstnanců) a buď se zaregistrovat přes portál onoho členského státu, nebo určit zástupce, pokud jste mimo EU. Pokud není, zmapujete své provozovny v EU a každou zaregistrujete u jejího vnitrostátního orgánu.

Nepořádný vzorec, který vídáme nejčastěji, jsou mateřské společnosti, které se snaží udržet veškeré kyberbezpečnostní rozhodování v sídle mimo Unii a přitom tvrdí, že dceřiná společnost v EU je samostatná. Kaskádu čl. 26 odst. 2 organigramy nezajímají. Dívá se na to, kde se rozhodnutí skutečně přijímají. Pokud je odpověď 'v sídle v Bostonu', je dceřiná společnost v EU stále v působnosti přes svou vlastní provozovnu a subjekty digitálního sektoru stále potřebují zástupce podle čl. 26 odst. 4. Nejčistší cestou je rozhodnout, kde v Unii rozhodnutí sedí, zdokumentovat to a přestat provozovat paralelní řídicí struktury.

Jak to řešíme na platformě

Kaskádu článku 26 zachycujeme jako součást pracovního postupu použitelnosti a registrace. Platforma klade otázky ve vlastním pořadí směrnice: který sektor, které členské státy s provozovnami, kde se přijímají kyberbezpečnostní rozhodnutí, kde sedí kyberbezpečnostní provozy, počet zaměstnanců v EU. Výstupem je zdokumentovaná hlavní provozovna se zdůvodněním sepsaným jednou, ne znovu odvozovaným při každém auditu.

Pro skupiny mimo EU v sektorech čl. 26 odst. 3 platforma sleduje určeného zástupce jako samostatný subjekt s vlastními kontaktními údaji a zemí usazení. Registrační data podle článku 27 vytékají ze stejného záznamu, takže podání na národní portál a napájení registru ENISA čerpají ze stejného zdroje, ne z paralelní tabulky.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), články 26 a 27. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Zákon o BSI (BSIG), §28 a §33 ve znění zákona o provedení NIS2 a posílení kyberbezpečnosti
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR) o sektorově specifických technických a metodických požadavcích. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Registr ENISA podle čl. 27 odst. 2 NIS 2. enisa.europa.eu
  • Informační balíčky BSI k působnosti a registraci NIS 2. bsi.bund.de/dok/nis-2-infopakete
Vyřešte působnost a registraci jednou provždy
Použitelnost, hlavní provozovna, zástupce a registrační data podle článku 27 na jedné platformě. Zdarma, open source, žádný lock-in.
Otevřít platformu zdarma