Art. 21(2)(d) + Art. 23 NIS 2

Dodavatel je napaden. Co NIS 2 vyžaduje od subjektu?

Článek 21(2)(d) NIS 2 klade zabezpečení dodavatelského řetězce na subjekt. Článek 23 upravuje hlášení incidentů. Oba platí, když zasažený dodavatel vystaví riziku vlastní služby subjektu.

Simon OrzelSimon Orzel·

Co tato stránka pokrývá

Článek 21(2)(d) NIS 2 vyžaduje, aby subjekty přijaly vhodná a přiměřená opatření k řešení rizik zabezpečení dodavatelského řetězce pro své vlastní sítě a informační systémy. Povinnost je na subjektu, ne na dodavateli. Směrnice neupravuje dodavatele, kteří jsou sami mimo působnost; upravuje, jak je subjekt v působnosti řídí.

Když je napaden přímý dodavatel, vyvstávají dvě samostatné otázky. Za prvé, zda byla zasažena vlastní dodávka služeb subjektu, což může spustit hlášení incidentu podle článku 23 na úrovni subjektu. Za druhé, zda funguje smluvní oznamovací řetězec podle článku 21(2)(d), tedy aby se subjekt o napadení dozvěděl v dohodnutém čase a dohodnutým kanálem.

Napadení u zasaženého dodavatele není samo o sobě ohlašovatelným incidentem pro subjekt. Stává se jím, když napadení způsobí významný incident u subjektu ve smyslu článku 23(3) NIS 2.

Právní ukotvení
Situaci řídí tři vrstvy. Směrnice klade povinnost, prováděcí nařízení ji upřesňuje pro subjekty digitální infrastruktury, národní zákon ji transponuje.

Článek 21(2)(d) NIS 2

zabezpečení dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb.

Článek se zabývá vztahem k přímým dodavatelům, ne dodavatelem samotným. Subjekt zůstává odpovědný za řízení tohoto vztahu, včetně incidentů, které se z něj šíří.

Recitál 90 NIS 2

subjekty by měly posuzovat a zohledňovat celkovou kvalitu a odolnost produktů a služeb, opatření řízení rizik kybernetické bezpečnosti v nich obsažená a postupy kybernetické bezpečnosti jejich dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.

Recitál 90 vysvětluje politickou logiku za článkem 21(2)(d). Rámuje zabezpečení dodavatelského řetězce jako průběžné posuzování stavu dodavatele, ne jednorázovou vstupní kontrolu.

Článek 23(3) NIS 2

incident se považuje za významný, pokud: (a) způsobil nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztrátu pro dotčený subjekt; (b) zasáhl nebo je schopen zasáhnout jiné fyzické či právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou škodu.

Článek 23(3) definuje práh významnosti na úrovni subjektu. Incident u dodavatele se posuzuje touto optikou, jakmile dosáhne vlastních služeb subjektu.

Tři věci, které subjekt musí udělat
Detekce, posouzení závislosti a rozhodnutí o hlášení. V tomto pořadí.
Detekce

Dozvědět se o napadení včas

Článek 21(2)(d) se operacionalizuje do smluvní doložky. Zasažený dodavatel musí subjekt vyrozumět v určeném čase a určeným kanálem. Bez této doložky se subjekt dozví z tiskových zpráv, což je pro lhůtu podle článku 23 příliš pozdě.

Závislost

Posoudit vlastní expozici subjektu

Otázkou není, zda má dodavatel potíže. Otázkou je, zda jsou zasaženy vlastní sítě a informační systémy subjektu, nebo služby, které poskytuje. To je faktické cvičení: která data, které rozhraní, která závislost, který záložní mechanismus.

Hlášení

Rozhodnout o vlastním hlášení subjektu

Pokud vlastní služby subjektu překročí práh článku 23(3), subjekt podá včasné varování do 24 hodin, hlášení incidentu do 72 hodin a závěrečnou zprávu do jednoho měsíce. Hlášení podává subjekt za subjekt, i když prvotní příčina leží u dodavatele.

Dvě zásady, které lidé chápou špatně
Toto nejsou právní názory. Jsou to popisy toho, co směrnice kam klade.

Povinnost je na subjektu

Článek 21 vyjmenovává opatření, která musí subjekt přijmout. Neupravuje dodavatele. Pokud je zasažený dodavatel sám v působnosti NIS 2, má vlastní povinnosti. Tyto povinnosti nenahrazují povinnosti subjektu; běží souběžně.

Smlouva před krizí

Recitál 90 očekává, že se dodavatelský vztah posoudí dříve, než dojde k incidentu. Oznamovací řetězec, povinnost součinnosti, právo obdržet důkazy: ty žijí ve smlouvě. Po napadení je špatný okamžik je sjednávat.

Národní pohled
Německo transponuje směrnici prostřednictvím BSIG. Věcná povinnost v článku 21(2)(d) je zavedena prostřednictvím §30 BSIG, lhůta hlášení prostřednictvím §32 BSIG.
Německo

§30 + §32 BSIG

§30 BSIG přenáší povinnost řízení rizik dodavatelského řetězce do německého práva. §32 BSIG přenáší strukturu hlášení 24h / 72h / jeden měsíc. Subjekt hlásí prostřednictvím BSI Meldeportal, bez ohledu na to, kde k původnímu napadení došlo.

EU

ENISA Threat Landscape for Supply Chain

ENISA každoročně zveřejňuje materiály o vzorcích útoků na dodavatelský řetězec a o oznamovací praxi. Je to referenční materiál pro metodiku rizik subjektu podle článku 21(2)(d), ne samostatná povinnost.

Sektor

Pokyny sektorového CSIRT

Pro subjekty digitální infrastruktury upřesňuje prováděcí nařízení Komise 2024/2690 požadavky na dodavatelský řetězec na další úrovni detailu. Ostatní sektory následují článek 21(2)(d) přímo, zpřesněný národními pokyny a sektorovými CSIRT.

Tři běžné chybné výklady
Každý se objevuje pravidelně. Každý je nesprávný z konkrétního důvodu.
  • "Je to problém dodavatele."

    Článek 21(2)(d) klade povinnost dodavatelského řetězce na subjekt. Dodavatel může, ale nemusí mít vlastní povinnosti podle NIS 2 podle toho, zda je v působnosti. Povinnost subjektu existuje tak jako tak.

  • "Dodavatel hlásí, takže subjekt nemusí."

    Dodavatel v působnosti NIS 2 hlásí svůj vlastní významný incident. Toto hlášení nenaplňuje článek 23 za subjekt. Pokud vlastní služby subjektu dosáhnou prahu článku 23(3), subjekt podá hlášení zvlášť na úrovni subjektu.

  • "IT sleduje dodavatele, vedení není třeba zapojovat."

    Článek 20 NIS 2 vyžaduje, aby řídicí orgán schválil opatření řízení rizik kybernetické bezpečnosti a dohlížel na jejich zavedení. Monitorování dodavatelského řetězce je jedním z těchto opatření. Tichý IT proces bez schválení řídicím orgánem článek 20 nenaplňuje.

Pohled z praxe

Tou těžkou částí je málokdy hlášení. Tou těžkou částí je posouzení závislosti pod časovým tlakem. Pokud subjekt už neví, který dodavatel se dotýká které služby, kterých dat a přes které rozhraní, první hodiny po napadení dodavatele se stráví rekonstrukcí této mapy místo jednáním podle ní.

Inventář aktiv a dodavatelů, který u každého dodavatele uvádí zasaženou službu, kategorii dat a smluvní oznamovací kanál, promění napadení dodavatele z mimořádné události v rutinu. Směrnice nepředepisuje formát tohoto inventáře. Vyžaduje však, aby existoval ve formě, kterou subjekt může skutečně použít.

Jak platforma zapadá

Platforma vede evidenci dodavatelů propojenou se službami subjektu a smluvní oznamovací pole u každého dodavatele. Když je napadení dodavatele zaznamenáno, zasažené služby se okamžitě objeví a časovač hlášení podle článku 23 může začít na čisté mapě závislostí.

Schválení přístupu k rizikům dodavatelského řetězce řídicím orgánem se zachycuje jako jednorázové schválení s verzovanou auditní stopou. Tatáž stopa zaznamenává každé napadení dodavatele a rozhodnutí o významnosti podle článku 23(3), které subjekt učinil, takže posouzení lze později přezkoumat.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 20, článek 21(2)(d), článek 23, recitál 90. EUR-Lex.
  • Prováděcí nařízení Komise (EU) 2024/2690, požadavky na dodavatelský řetězec pro subjekty digitální infrastruktury.
  • BSIG (Německo), §30 (opatření řízení rizik), §32 (hlášení incidentů).
  • ENISA Threat Landscape for Supply Chain Attacks, roční vydání.
Zjistěte, zda se NIS 2 na subjekt vztahuje
Pět minut. Kontrola sektoru podle přílohy I / II plus práh velikosti. K zobrazení výsledku není potřeba účet.