Výpadek poskytovatele cloudu podle NIS 2
Výpadek vašeho poskytovatele je testem vašeho plánu kontinuity, ne výjimkou z něj.
Co je tato stránka
Velký poskytovatel cloudu má výpadek. Produkce se zastaví. Otázka na stole zní, zda povinnosti podle NIS 2 leží na poskytovateli, nebo na vašem subjektu. Odpověď směrnice je, že obě vrstvy nesou vlastní povinnosti a jedna druhou nevyřizuje. Vaše povinnosti podle čl. 21 odst. 2 písm. c) NIS 2 udržovat kontinuitu provozu, zálohy a obnovu a podle čl. 23 hlásit významné incidenty platí pro váš subjekt bez ohledu na to, co váš poskytovatel dělá na svých vlastních hodinách.
Tato stránka je psána pro vedoucího IT nebo jednatele ve firmě s 50 až 250 lidmi, která provozuje většinu produkce na hyperscaleru nebo regionálním cloudu. Není to právní poradenství. Je to mechanika toho, která doložka se na koho vztahuje, když se stavová stránka poskytovatele zbarví do červena.
Jediná nejužitečnější věta: výpadek cloudu je živým testem vašeho plánu obnovy podle čl. 21 odst. 2 písm. c). Pokud plán funguje, žádný významný incident u vašeho subjektu nenastal. Pokud plán nefunguje, čl. 23 začíná běžet na vašich hodinách, ne na hodinách poskytovatele.
Směrnice (EU) 2022/2555 (NIS 2)
Čl. 21 odst. 2 písm. c): politiky a postupy týkající se kontinuity provozu, jako je správa záloh a obnova po havárii, a řízení krizí. Čl. 21 odst. 2 písm. d): bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb.
Čl. 21 odst. 2 písm. c) klade povinnost kontinuity, záloh a obnovy na subjekt. Směrnice neumožňuje delegovat tuto povinnost na poskytovatele cloudu prostřednictvím smlouvy. Čl. 21 odst. 2 písm. d) je noha rizika dodavatelů: musíte posuzovat a řídit bezpečnost svých přímých poskytovatelů, což zahrnuje smluvní doložky o oznamování výpadků a incidentů u poskytovatele. Čl. 23 pak stanoví kaskádu hlášení s včasným varováním do 24 hodin, oznámením incidentu do 72 hodin, průběžnou aktualizací na vyžádání a závěrečnou zprávou do jednoho měsíce.
Prováděcí nařízení Komise (EU) 2024/2690
Čl. 23 odst. 3 NIS 2: Incident se považuje za významný, pokud způsobil nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztrátu dotčenému subjektu, nebo pokud zasáhl nebo je schopen zasáhnout jiné fyzické nebo právnické osoby způsobením značné majetkové nebo nemajetkové újmy.
CIR kvantifikuje, co se počítá za významné pro 11 kategorií digitální infrastruktury a digitálních služeb, které pokrývá, což zahrnuje poskytovatele služeb cloud computingu podle odvětví 8 Přílohy I NIS 2. Oddíl 11 přílohy CIR vyjmenovává scénáře, které představují významný incident na úrovni poskytovatele. Pro subjekty mimo působnost CIR platí test významnosti podle čl. 23 odst. 3 a kaskádový výpadek, který zastaví produkci, jej téměř vždy splňuje.
BSIG (Německo)
§30 BSIG: technická a organizační opatření přiměřená riziku. §32 BSIG: oznámení významných incidentů BSI prostřednictvím Meldeportal na bsi.bund.de. §31 BSIG: povinnosti bezpečnosti dodavatelského řetězce pro subjekt.
BSIG je německým transpozičním příkladem. Nizozemsko (Cyberbeveiligingswet) a Rakousko (NISG 2024) mají vlastní. Kaskáda 24 / 72 hodin / průběžně / jeden měsíc je na úrovni směrnice a je shodná napříč členskými státy. Poskytovatel cloudu, který je sám subjektem NIS 2 v EU, má vlastní povinnost hlášení podle §32 BSIG nebo ekvivalentního národního práva. Tato povinnost vaši neruší.
Posuďte vůči svému plánu podle čl. 21 odst. 2 písm. c)
Otevřete plán kontinuity provozu a obnovy po havárii a spusťte jej. Otázka nezní, zda je poskytovatel mimo provoz. Otázka zní, zda vaše služby mohou pokračovat v provozu podle plánu, který jste napsali. Přepnutí na záložní region, přechod na zdokumentovaný offline postup nebo obnova ze zálohy uložené mimo zasažený region poskytovatele. Čl. 21 odst. 2 písm. c) NIS 2 klade povinnost kontinuity na váš subjekt. Pokud výpadek odhalí, že žádný plán neexistoval, je to první zjištění, ne ten výpadek.
Spusťte svůj proces dodavatelů podle čl. 21 odst. 2 písm. d)
Čl. 21 odst. 2 písm. d) NIS 2 vyžaduje, abyste řídili bezpečnost svých přímých poskytovatelů. V praxi to při výpadku znamená tři věci: otevřít smlouvu a přečíst doložky o oznamování a SLA, zaznamenat referenční číslo incidentu poskytovatele a jakýkoli časový plán, který zveřejní, a zachytit důkazy ve své auditní stopě. Pokud smlouva nevyžaduje, aby poskytovatel oznamoval incidenty, které vás zasahují, je to druhé zjištění, oddělené od samotného výpadku.
Hlaste, pokud má váš subjekt významný incident
Test podle čl. 23 odst. 3 se uplatňuje na váš subjekt, ne na poskytovatele. Pokud výpadek způsobí závažné narušení provozu vašich služeb, finanční ztrátu vám nebo značnou újmu jiným, kteří na vás závisejí, pak čl. 23 NIS 2 začíná běžet na vašich hodinách. Včasné varování národnímu CSIRT nebo příslušnému orgánu do 24 hodin od okamžiku, kdy se o tom dozvíte, oznámení incidentu do 72 hodin, průběžná zpráva na vyžádání, závěrečná zpráva do jednoho měsíce. V Německu to jde přes BSI Meldeportal podle §32 BSIG. Vlastní hlášení poskytovatele v rámci jeho vlastního statusu NIS 2 je samostatné a za vás nepodává.
Kontinuita je povinnost subjektu, ne poskytovatele
Čl. 21 odst. 2 písm. c) NIS 2 klade povinnost kontinuity, záloh a obnovy na subjekt. Smlouva s hyperscalerem, která slibuje cíl dostupnosti 99,99 procenta, není plánem kontinuity ve smyslu směrnice. Plán musí popisovat, co váš subjekt dělá, když je poskytovatel nedostupný. Auditor příští rok testuje, zda takový plán existuje a zda byl procvičen, ne zda byla dodržena SLA.
Zálohy musí být obnovitelné, nejen existující
Postoj BSI je, že existence zálohy není testem. Tím je obnovitelnost za podmínek skutečného incidentu. Záloha uložená ve stejném cloudovém regionu jako produkční systém, vůči stejnému poskytovateli identit, není zálohou ve smyslu čl. 21 odst. 2 písm. c), když selže právě ten region nebo vrstva identity. Povinnost obnovitelné zálohy vyžaduje oddělení napříč doménou selhání, kterou se snažíte přežít.
BSI Meldeportal (Německo), národní CSIRT (ostatní členské státy)
Pokud výpadek způsobí významný incident u vašeho subjektu podle čl. 23 odst. 3, hlášení jde vaším národním kanálem. V Německu je to BSI Meldeportal podle §32 BSIG. V Nizozemsku National Cyber Security Centre, v Rakousku GovCERT. Hlášení je vaše k podání, i když hlavní příčina sedí u poskytovatele. Stavová stránka poskytovatele není podáním.
Poskytovatel cloudu jako subjekt NIS 2, odvětví 8 Přílohy I
Poskytovatel služeb cloud computingu usazený v EU je klíčovým nebo významným subjektem podle odvětví 8 Přílohy I NIS 2 (digitální infrastruktura). Dluží vlastní hlášení podle čl. 23 na svých vlastních hodinách svému vlastnímu příslušnému orgánu nebo CSIRT. CIR 2024/2690 stanoví prahy významnosti pro poskytovatele digitální infrastruktury. Hlášení poskytovatele není vaším hlášením. Poskytovatel mimo EU je mimo působnost směrnice, v takovém případě je řízení rizik dodavatelů podle čl. 21 odst. 2 písm. d) vaším jediným nástrojem k jeho ošetření.
ENISA a síť CSIRT
Přeshraniční výpadky velkých poskytovatelů cloudu se koordinují prostřednictvím sítě CSIRT koordinované ENISA podle čl. 15 NIS 2. ENISA zveřejňuje situační přehled napříč členskými státy. Pro jednotlivý subjekt je to spíše referenční materiál než kanál hlášení. Kanál hlášení je národní. ENISA je tam, kde čtete, co se děje na úrovni EU, když je poskytovatel mimo provoz v několika zemích.
Cloud je problém poskytovatele. NIS 2 sedí u něj.
Čl. 21 odst. 2 písm. c) NIS 2 klade povinnost kontinuity, záloh a obnovy na váš subjekt. Čl. 21 odst. 2 písm. d) klade povinnost rizika dodavatelů na váš subjekt. Poskytovatel má vlastní povinnosti podle směrnice, pokud je poskytovatelem cloudu usazeným v EU podle odvětví 8 Přílohy I, ale tyto povinnosti běží paralelně s vašimi a nevyřizují je. Audit příští rok testuje váš plán, ne SLA poskytovatele.
Před podáním nebo přezkumem počkejte na poincidentní zprávu SLA poskytovatele.
Čl. 23 odst. 4 NIS 2 vyžaduje včasné varování do 24 hodin od okamžiku, kdy se dozvíte o významném incidentu u vašeho subjektu. Zpráva poskytovatele může trvat týdny. Pokud výpadek způsobil závažné narušení provozu u vašeho subjektu, hodiny 24 hodin běží vůči vám bez ohledu na to, zda poskytovatel cokoli vydal. Čekání na zprávu SLA je jediným nejčastějším důvodem, proč subjekty zmeškají lhůtu v případech výpadku cloudu.
Poskytovatel se vrátil, vše zase funguje, incident je uzavřen.
Čl. 21 odst. 2 písm. c) NIS 2 očekává, že plán kontinuity a obnovy bude procvičen a zlepšen. Výpadek cloudu je živým cvičením tohoto plánu a poincidentní přezkum je to, co napájí další iteraci. Auditor se zeptá, co se v plánu obnovy po posledním výpadku změnilo. Pokud se nic nezměnilo a stejná mezera tam stále je, je to zjištění. Návrat k běžnému provozu není uzavřeným incidentem ve smyslu směrnice.
110členná logistická firma v Severním Porýní-Vestfálsku, zařazená jako wichtige Einrichtung podle NIS 2, protože odvětví a počet zaměstnanců ji staví do působnosti. Úterý 09:14: region EU central hyperscaleru degraduje a firemní systém řízení dopravy, poskytovatel identit i sdílené souborové úložiště se stávají nedostupnými. 09:20: vedoucí IT otevírá plán kontinuity, přepíná dispečink na zdokumentovaný offline postup na lokálních noteboocích a informuje jednatele. 09:35: řídicí orgán je informován, do auditní stopy se zaznamenává rozhodnutí považovat to za událost kontinuity podle čl. 21 odst. 2 písm. c) a sledovat vůči testu významnosti podle čl. 23 odst. 3. Stavová stránka poskytovatele je vyfocena a přiložena k záznamu o incidentu.
11:50: výpadek trvá přes dvě hodiny a nyní zasahuje závazky dodávek zákazníkům. Test podle čl. 23 odst. 3 se přehodnocuje: závažné narušení provozu služeb je splněno. Včasné varování do 24 hodin se podává přes BSI Meldeportal podle §32 BSIG s odkazem na referenční číslo incidentu poskytovatele a na vlastní dopad firmy. 14:30: poskytovatel region obnovuje. Firma provádí poincidentní přezkum příští ráno. Zjištění: záložní poskytovatel identit byl na papíře, ale nikdy nebyl procvičen, takže přepnutí trvalo o 40 minut déle, než plán předpokládal. Do plánu jdou dvě písemné změny: měsíční cvičení záložního poskytovatele identit a dodatek ke smlouvě s poskytovatelem cloudu vyžadující oznámení regionálních incidentů do 30 minut. Průběžná zpráva a závěrečná zpráva do jednoho měsíce podle čl. 23 se podávají z auditní stopy, ne z paměti.
Platforma ukládá čtyři písemné věci, které potřebujete před příštím výpadkem poskytovatele: plán kontinuity navázaný na čl. 21 odst. 2 písm. c), konfiguraci obnovitelné zálohy s důkazem jejího oddělení od primární domény selhání, registr dodavatelů s doložkami o oznamování a SLA navázaný na čl. 21 odst. 2 písm. d) a šablony hlášení a seznam kontaktů pro kaskádu podle čl. 23. Každá změna a každé cvičení se zachycuje v auditní stopě s časovými razítky, takže auditor příští rok vidí plán, který byl skutečně spuštěn, ne dokument, který byl kdysi napsán.
Platforma je zdarma a open source. Neexistuje žádná placená úroveň ani lock-in. Smyslem této stránky není nic prodávat. Je to zajistit, že když se stavová stránka poskytovatele zbarví do červena, váš řídicí orgán ví, zda na vás tikají hodiny směrnice a jaký je další písemný krok.
- Směrnice (EU) 2022/2555 (NIS 2): čl. 21 odst. 2 písm. c) (kontinuita provozu, zálohy, obnova, řízení krizí), čl. 21 odst. 2 písm. d) (bezpečnost dodavatelského řetězce), čl. 23 (kaskáda hlášení) a čl. 23 odst. 3 (test významnosti). Příloha I odvětví 8 (digitální infrastruktura, včetně poskytovatelů služeb cloud computingu). EUR-Lex.
- Prováděcí nařízení Komise (EU) 2024/2690: technické a metodické požadavky a prahy významnosti pro poskytovatele digitální infrastruktury a digitálních služeb, včetně poskytovatelů cloudu. Příloha oddíl 11. EUR-Lex.
- BSIG (Německo): §30 (opatření řízení rizik), §31 (bezpečnost dodavatelského řetězce), §32 (BSI Meldeportal). Gesetze im Internet.
- BSI: informační balíčky NIS 2 ke kontinuitě, obnovitelným zálohám a postoj, že existence zálohy není testem. bsi.bund.de.
- ENISA: koordinace sítě CSIRT podle čl. 15 NIS 2 pro přeshraniční incidenty. enisa.europa.eu.