Dodavatelé subjektů NIS 2 nejsou automaticky subjekty NIS 2
Článek 2 NIS 2 rozhoduje o působnosti podle toho, co jste, ne podle toho, komu prodáváte. Vztahy se zákazníky vás dovnitř nevtáhnou. Povinnosti vašeho zákazníka přistanou ve vaší schránce přes jeho smlouvu o zadávání zakázek podle čl. 21 odst. 2 písm. d).
Stručná verze
O tom, zda se na vaši společnost vztahuje NIS 2, rozhoduje výhradně článek 2 směrnice. Dva testy. Váš sektor musí být uveden v příloze I nebo II. A musíte splnit velikostní práh (střední podnik podle doporučení Komise 2003/361/ES, s několika výjimkami bez ohledu na velikost v čl. 2 odst. 2 až 4). Kdo jsou vaši zákazníci, není součástí testu.
Prodej zákazníkovi spadajícímu pod NIS 2 vás tedy do působnosti nedostává. Subjektem NIS 2 se stanete pouze tehdy, když váš vlastní sektor plus vaše vlastní velikost samy o sobě projdou článkem 2. Pokud neprojdou, jste mimo působnost, i kdyby každý zákazník na vašem seznamu byl uvnitř.
Co dodavatelským řetězcem skutečně putuje, je smluvní, nikoli zákonné. Článek 21 odst. 2 písm. d) ukládá subjektům NIS 2, aby řídily bezpečnost svých přímých dodavatelů. Nástrojem, který používají, je smlouva o zadávání zakázek: ustanovení, dotazníky, žádosti o doklady. Tlak cítíte proto, že odpověď chce váš zákazník, ne proto, že s vámi mluví regulátor.
Směrnice NIS 2 (EU) 2022/2555, čl. 2 odst. 1
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Působnost je vázána na dvě skutečnosti o samotném subjektu: sektor v příloze I nebo II a velikostní práh. Vztahy se zákazníky, smlouvy a vazby v dodavatelském řetězci v textu nejsou a působnost nerozšiřují. Čl. 2 odst. 2 až 4 přidává několik výjimek bez ohledu na velikost pro konkrétní typy subjektů, ale žádnou z nich nespouští to, že jste něčím dodavatelem.
NIS 2 čl. 21 odst. 2 písm. d) + prováděcí nařízení Komise (EU) 2024/2690 §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
Článek 21 odst. 2 písm. d) ukládá povinnost subjektu NIS 2 (kupujícímu), nikoli dodavateli. CIR 2024/2690 §5 z toho dělá politiku bezpečnosti dodavatelů s písemnými kritérii výběru a registr rizik dodavatelů. Dodavatel dělá to, co říká smlouva. Regulátor mluví jen s kupujícím.
BSIG §30 (Německo)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
Německo přepisuje čl. 21 odst. 2 písm. d) téměř doslova do §30 BSIG. Povinnost dopadá na subjekt v působnosti. Neprohlašuje jeho dodavatele za subjekty v působnosti. Ostatní členské státy provádějí týž článek 21 se stejnou mechanikou na straně kupujícího (NL Cyberbeveiligingswet, AT NISG, francouzský nástupce LPM).
Je váš sektor v příloze I nebo II?
Příloha I (vysoce kritická): energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, řízení služeb IKT, veřejná správa, vesmír. Příloha II (kritická): poštovní služby, odpady, chemické látky, potraviny, výroba zdravotnických prostředků a strojů, poskytovatelé digitálních služeb, výzkum. Pokud vaše podnikání do žádné z nich nespadá, jste venku, ať prodáváte komukoli. Malá tiskárna dodávající nemocnici je stále jen tiskárna.
Jste střední podnik nebo větší?
Prahem je definice malých a středních podniků v doporučení Komise 2003/361/ES: alespoň 50 zaměstnanců a alespoň 10 milionů EUR obratu nebo bilanční sumy, nebo více. Pokud jste pod tím, jste venku, ledaže vás přesto zachytí některá z výjimek bez ohledu na velikost v čl. 2 odst. 2 až 4 (např. jste jediným poskytovatelem základní služby, kvalifikovaným poskytovatelem služeb vytvářejících důvěru nebo poskytovatelem služby DNS).
Vylučuje vás některá výjimka?
I když jsou testy 1 a 2 splněny, čl. 2 odst. 7 až 11 vás může vyjmout (národní bezpečnost, veřejná bezpečnost, obrana, vymáhání práva) nebo může mít přednost specifičtější právo EU (finanční subjekty podle DORA přeskakují článek 21 a článek 23, ale stále se registrují podle článku 27). To, že jste dodavatelem subjektu NIS 2, není nikdy výjimkou, která vás vtáhne dovnitř. A není ani nikdy spouštěčem, který vás vtáhne dovnitř.
Působnost na úrovni subjektu
Článek 2 váže směrnici na konkrétní subjekt podle jeho vlastních vlastností. Žádná odvozená působnost neexistuje. DORA funguje stejně (finanční subjekty podle typu a velikosti). Směrnice CER funguje stejně (kritické subjekty podle sektoru). CRA funguje stejně (výrobci produktů s digitálními prvky). Každý nástroj vymezuje působnost podle toho, čím regulovaná strana je, ne podle toho, komu prodává.
Kaskádují smlouvy, ne zákon
Článek 21 odst. 2 písm. d) činí kupujícího odpovědným za řízení rizika bezpečnosti svých dodavatelů. Nástrojem kupujícího je smlouva. Dodavatelé tedy cítí obchodní tlak, ne regulatorní tlak. Ustanovení o přiměřenosti v čl. 21 odst. 1 určuje, kolik dokladů může kupující požadovat: vysoce rizikový dodavatel softwaru dostane hlubší dotazník, nízkorizikový kancelářský SaaS dostane lehčí. Vaším úkolem jako dodavatele je číst tyto žádosti jako obchodní podmínky, ne jako příkazy od regulátora.
BSI / BMI: §28 a §30 BSIG rozdělují kupujícího a dodavatele
BSIG §28 vyjmenovává typy subjektů v působnosti a aplikuje velikostní test na samotný subjekt. §30 BSIG (povinnost k dodavatelskému řetězci) činí konkrétní besonders wichtige nebo wichtige Einrichtung odpovědným za své dodavatelské vztahy. Žádné z těchto ustanovení nevtahuje nekvalifikujícího se dodavatele do působnosti. Kontrola použitelnosti BSI (Betroffenheitsprüfer) testuje sektor plus velikost toho, kdo kontrolu provádí, ne jeho zákazníků.
ENISA: působnost podle článku 2, riziko dodavatelů podle článku 21
Implementační vodítka ENISA pojednávají o působnosti a opatřeních pro dodavatelský řetězec jako o dvou samostatných otázkách. Působnost je příloha I nebo II plus velikost. Bezpečnost dodavatelů je jedním z opatření, které subjekt v působnosti provádí jako součást vlastního řízení rizik. Dodavatele to do NIS 2 nevtahuje. Registr ENISA podle článku 27 uvádí jen subjekty, které jsou samy v působnosti.
Ostatní členské státy uplatňují stejný test na úrovni subjektu
Nizozemský Cyberbeveiligingswet, rakouský NISG i francouzské provedení (nahrazující LPM pro civilní sektory) čtou článek 2 stejně. Nizozemská firma na nakládání s odpady dodávající belgickému provozovateli energetiky je v působnosti pouze tehdy, je-li nakládání s odpady jednou z jejích vlastních činností a splňuje-li velikostní práh v Nizozemsku. Vnitrostátní orgány nemohou vnitrostátním právem natahovat směrnici tak, aby pokrývala společnosti, které nesplňují podmínky samy o sobě.
Náš zákazník je v působnosti, takže jsme i my.
Ne. Čl. 2 odst. 1 aplikuje směrnici na vás podle vašeho sektoru a vaší velikosti. Postavení vašeho zákazníka v testu není. Možná budete přesto muset dodržet smluvní bezpečnostní ustanovení, která vám zákazník předloží. To z vás subjekt NIS 2 nedělá. Dělá to z vás smluvní stranu.
NIS 2 kaskáduje dolů dodavatelským řetězcem.
Ne. Kaskádují smlouvy. Směrnice ne. Čl. 21 odst. 2 písm. d) činí kupujícího odpovědným za řízení bezpečnosti svých přímých dodavatelů. Kupující to přenáší do smluv o zadávání zakázek. Dlužíte kupujícímu (na základě smlouvy), ne regulátorovi (na základě NIS 2). Stejná logika platí pro subdodavatele: do působnosti čl. 21 odst. 2 písm. d) spadá pouze přímý vztah, ne dodavatel vašeho dodavatele.
Náš zákazník nám řekl, abychom se zaregistrovali u vnitrostátního orgánu, takže musíme.
Ne. Registrace podle článku 27 je vyžadována pouze pro subjekty, které jsou samy v působnosti podle článku 2 (s dalšími pravidly pro poskytovatele DNS, poskytovatele cloudu, MSP a několik dalších). Zákazník vám nemůže vymyslet registrační povinnost. Pokud kupující trvá na svém, zeptejte se ho, pod kterou položku přílohy a který velikostní práh si myslí, že spadáte. Pokud odpověď není v článku 2, povinnost neexistuje.
Pokud jste kupující (subjekt NIS 2), vaším úkolem podle čl. 21 odst. 2 písm. d) a CIR §5 je sepsat politiku bezpečnosti dodavatelů s kritérii výběru, vést registr rizik dodavatelů a vložit přiměřená bezpečnostní ustanovení do smluv svých přímých dodavatelů. Posuzujete a řídíte. Nedelegujete to na regulátora. CIR §5 výslovně říká, že si můžete vybrat doklady přiměřené riziku: certifikaci ISO 27001, zprávy SOC 2, shrnutí penetračních testů, prohlášení o bezpečném vývoji. Čl. 21 odst. 1 vám umožňuje škálovat hloubku dokladů podle skutečného rizika dodavatele. Vysoce rizikový dodavatel softwaru dostane hlubší žádost než firma, která vám tiskne vizitky.
Pokud jste dodavatel a váš zákazník je v působnosti, proveďte nejprve test podle článku 2 na sobě. Pokud jím neprojdete, nejste subjektem NIS 2. Váš zákazník vám přesto pošle smluvní bezpečnostní povinnosti. Čtěte je jako obchodní podmínky: vyjednávejte rozsah, hloubku dokladů, práva na audit, lhůty pro oznámení narušení. Pokud projdete článkem 2 sami, registrujte se podle článku 27 a splňte článek 21 a článek 23 sami za sebe, bez ohledu na to, co žádá kterýkoli jednotlivý zákazník.
Pro kupující mění platforma povinnost podle čl. 21 odst. 2 písm. d) a CIR §5 ve funkční nástroj: registr dodavatelů s rizikovými stupni, knihovnu ustanovení, pracovní postup pro doklady a portál pro dodavatele, kde vaši dodavatelé odpovídají na dotazník. Registr máte vy. Váš dodavatel vidí jen otázky určené jemu.
Pro dodavatele umožňuje portál pro dodavatele odpovědět na bezpečnostní dotazník jednou a odpověď znovu použít napříč zákazníky. Portál zviditelňuje obchodní povahu žádosti: reagujete na politiku zadávání zakázek svého zákazníka, ne na regulátora. Pokud se ukáže, že jste v působnosti sami podle článku 2, stejná platforma zvládne i váš vlastní registr povinností NIS 2 z pohledu kupujícího.
- Směrnice (EU) 2022/2555 (NIS 2), článek 2 (působnost), příloha I a příloha II (sektory), čl. 21 odst. 2 písm. d) (bezpečnost dodavatelského řetězce) a čl. 21 odst. 3 (zohlednění zranitelností specifických pro dodavatele).
- Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, §5 (bezpečnost dodavatelského řetězce): politika zadávání zakázek s kritérii výběru, registr rizik dodavatelů, smluvní bezpečnostní povinnosti.
- Doporučení Komise 2003/361/ES, článek 2 přílohy (definice středního podniku: alespoň 50 zaměstnanců a alespoň 10 milionů EUR obratu nebo bilanční sumy).
- BSIG (Německo) §28 (Einrichtungsarten und Größenkriterien) a §30 (Risikomanagementmaßnahmen, včetně Lieferkettensicherheit), provádějící čl. 2 a 21 NIS 2.
- Implementační vodítka ENISA k NIS 2 a specifikace registru subjektů podle čl. 27: působnost podle čl. 2 rozhoduje o tom, zda je subjekt registrován; opatření pro dodavatelský řetězec podle čl. 21 rozhodují o tom, co subjekt v působnosti dělá ohledně svých dodavatelů.