Art. 22 NIS 2

Skoordynowane oceny ryzyka na podstawie art. 22 NIS 2

Artykuł 22 to sposób, w jaki UE ocenia strategiczne ryzyko łańcucha dostaw dla takich rzeczy jak 5G, chmura i dostawcy usług zarządzanych. Grupa Współpracy wykonuje ocenę. ENISA i Komisja ją wspierają. Podmioty następnie muszą uwzględnić wyniki przy wyborze dostawców na podstawie art. 21 ust. 2 lit. d).

Simon OrzelSimon Orzel·

Wersja skrócona

Artykuł 22 NIS 2 daje Grupie Współpracy, wraz z Komisją i ENISA, uprawnienie do prowadzenia skoordynowanych ocen ryzyka bezpieczeństwa łańcuchów dostaw określonych krytycznych usług, systemów lub produktów ICT. Zestaw narzędzi 5G z 2020 r. był pierwszym przepracowanym przykładem. Chmura, dostawcy usług zarządzanych, dostawcy tożsamości i inni mogą być oceniani w ten sam sposób.

Te oceny są na poziomie UE i strategiczne. Obejmują techniczne czynniki ryzyka oraz, w razie potrzeby, również nietechniczne. Nietechniczne oznacza geopolitykę, otoczenie regulacyjne, własność i kontrolę dostawców. Zestaw narzędzi 5G traktował ryzyko dostawców wysokiego ryzyka spoza UE dokładnie pod tym hasłem.

Artykuł 22 nie wiąże podmiotów bezpośrednio. Artykuł 21 ust. 3 wiąże. Podmioty w zakresie muszą uwzględnić wyniki skoordynowanych ocen przy wyborze swoich środków bezpieczeństwa dostawców na podstawie art. 21 ust. 2 lit. d). To jest pomost od strategii na poziomie UE do zamówień na poziomie podmiotu.

Źródło prawne
Trzy warstwy. Dyrektywa ustanawia mechanizm oceny (art. 22) oraz obowiązek na poziomie podmiotu uwzględnienia wyników (art. 21 ust. 3). CIR ustala szczegóły operacyjne bezpieczeństwa dostawców na poziomie podmiotu. Niemiecka transpozycja przenosi oba do prawa krajowego.

Artykuł 22 ust. 1 i 2 dyrektywy NIS 2 (2022/2555)

(1) Grupa Współpracy, we współpracy z Komisją i ENISA, może przeprowadzać skoordynowane oceny ryzyka bezpieczeństwa łańcuchów dostaw określonych krytycznych usług ICT, systemów ICT lub produktów ICT, uwzględniając techniczne oraz, w stosownych przypadkach, nietechniczne czynniki ryzyka. (2) Komisja, po konsultacji z Grupą Współpracy i ENISA oraz, w stosownych przypadkach, z odpowiednimi zainteresowanymi stronami, określa konkretne krytyczne usługi ICT, systemy ICT lub produkty ICT, które mogą podlegać skoordynowanej ocenie ryzyka bezpieczeństwa, o której mowa w ust. 1.

Artykuł 22 ustanawia mechanizm. Grupa Współpracy prowadzi ocenę. Komisja wybiera, które produkty, systemy i usługi ICT zostaną ocenione. ENISA wspiera oba. Oceny są ogólnounijne i strategiczne, a nie podmiot po podmiocie.

Artykuł 21 ust. 3 NIS 2 + CIR (UE) 2024/2690 § 5

Artykuł 21 ust. 3: Państwa członkowskie zapewniają, aby przy rozważaniu, które środki, o których mowa w ust. 2 lit. d) niniejszego artykułu, są odpowiednie, podmioty uwzględniały podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa swoich dostawców i usługodawców, w tym ich procedury bezpiecznego rozwoju. Państwa członkowskie zapewniają również, aby przy rozważaniu, które środki, o których mowa w tym punkcie, są odpowiednie, podmioty były zobowiązane do uwzględnienia wyników skoordynowanych ocen ryzyka bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonych zgodnie z art. 22 ust. 1.

Artykuł 21 ust. 3 to skutek na poziomie podmiotu. Jeśli jesteś w zakresie i wybierasz dostawców na podstawie art. 21 ust. 2 lit. d), musisz uwzględnić wyniki z art. 22. CIR § 5 następnie ustala szczegóły operacyjne bezpieczeństwa dostawców na poziomie podmiotu, a głębokość dowodów zakupowych jest regulowana klauzulą proporcjonalności z art. 21 ust. 1.

§ 30 ust. 2 pkt 4 BSIG oraz udział w Grupie Współpracy (Niemcy)

Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie.

Niemcy kopiują obowiązek bezpieczeństwa dostawców do § 30 ust. 2 pkt 4 BSIG. BMI i BSI uczestniczą w Grupie Współpracy w imieniu Niemiec, więc wyniki z art. 22 zasilają krajowe wytyczne. BSI publikuje podsumowania w swoich Infopakete i wytycznych sektorowych. Nie istnieje odrębna niemiecka ustawa dla samego art. 22: jest to mechanizm Grupy Współpracy, a skutek na poziomie podmiotu przebiega już przez § 30 BSIG.

Trzy elementy, które sprawiają, że art. 22 działa
Artykuł 22 ma ustaloną strukturę. Kto go prowadzi. Co obejmuje. Jak osadza się na poziomie podmiotu. Wszystkie trzy są istotne dla zrozumienia mechanizmu od początku do końca.
Art. 22 ust. 1

Kto go prowadzi

Grupa Współpracy, działająca z Komisją i ENISA. Grupa Współpracy to stałe forum organów państw członkowskich na podstawie art. 14 NIS 2. ENISA zapewnia wsparcie techniczne i pisze znaczną część analizy bazowej. Komisja zwołuje i kieruje.

Art. 22 ust. 2

Co obejmuje

Komisja wybiera konkretne krytyczne produkty, systemy i usługi ICT, które zostaną ocenione. Po konsultacji z Grupą Współpracy, ENISA oraz, w stosownych przypadkach, z innymi zainteresowanymi stronami. 5G było pierwsze. Chmura, dostawcy tożsamości, dostawcy usług zarządzanych i inni mogą nastąpić. Nic w tekście nie ogranicza tego do jednej technologii.

Art. 21 ust. 3

Jak osadza się na poziomie podmiotu

Podmioty w zakresie muszą uwzględnić wyniki oceny przy wyborze dostawców na podstawie art. 21 ust. 2 lit. d). To jest operacyjny uchwyt. Nie "przestrzegaj art. 22". "Uwzględnij wyniki art. 22 przy wyborze i zarządzaniu swoimi dostawcami".

Dwie reguły poprawnego czytania art. 22
Dwie reguły interpretacyjne kształtują, jak art. 22 osadza się w szerszej architekturze NIS 2. Zrozum je poprawnie, a reszta wynika sama.

Strategiczny na poziomie UE, operacyjny na poziomie podmiotu

Artykuł 22 znajduje się na strategicznej warstwie UE. Grupa Współpracy, Komisja i ENISA go prowadzą. Wynikiem jest skoordynowany odczyt konkretnego łańcucha dostaw. Podmioty następnie operacjonalizują ten odczyt poprzez art. 21 ust. 2 lit. d) i CIR § 5, skalowane klauzulą proporcjonalności z art. 21 ust. 1. Te dwie warstwy nie zlewają się w jedną.

Techniczne i nietechniczne czynniki ryzyka

Artykuł 22 ust. 1 wyraźnie wymienia oba. Czynniki techniczne to zwykła powierzchnia cyberbezpieczeństwa: znane podatności, praktyki bezpiecznego rozwoju, zachowanie w zakresie łatania. Czynniki nietechniczne to geopolityka, ekspozycja regulacyjna, własność i kontrola dostawcy. Zestaw narzędzi 5G traktował profile dostawców wysokiego ryzyka spoza UE dokładnie pod tym hasłem. Artykuł 22 to jedyny artykuł NIS 2, w którym ryzyko nietechniczne jest nazwane w tekście.

Jak krajowe organy regulacyjne to obsługują
Mechanizm jest na poziomie UE. Skutek na poziomie podmiotu osadza się w każdym kraju poprzez transpozycję krajową. Ta sama treść, inna lokalna mechanika.
Niemcy

BMI i BSI poprzez Grupę Współpracy

BMI i BSI reprezentują Niemcy w Grupie Współpracy. Gdy publikowana jest skoordynowana ocena, BSI włącza jej treść do swoich Infopakete i wytycznych sektorowych. § 30 ust. 2 pkt 4 BSIG przenosi obowiązek bezpieczeństwa dostawców na poziomie podmiotu. Wynik z art. 22 jest jednym z czynników wpływających na to, jak niemiecki audytor odczytuje "odpowiednie" na podstawie § 30.

Cała UE

Wsparcie techniczne ENISA

ENISA jest wymieniona w art. 22 ust. 1 jako partner techniczny. Wykonuje znaczną część pracy analitycznej dla skoordynowanych ocen i zasila nią Grupę Współpracy. ENISA prowadzi również Technical Implementation Guidance dla CIR, którą podmioty następnie wykorzystują do operacjonalizacji obowiązków bezpieczeństwa dostawców na podstawie art. 21 ust. 2 lit. d).

Inne państwa członkowskie

Krajowe transpozycje art. 21 ust. 3

Każde państwo członkowskie transponuje art. 21 ust. 3 do własnego prawa NIS 2 (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązek uwzględnienia wyników skoordynowanych ocen jest taki sam w całej UE. Różni się to, który organ krajowy publikuje wytyczne i jak reguły zamówień podejmują wyniki oceny.

Trzy pułapki, które widzimy w praktyce
Trzy interpretacje art. 22, które pojawiają się regularnie na rozmowach przygotowawczych do audytu i w rozmowach z partnerami. Wszystkie trzy łamią mechanizm.

  • Artykuł 22 to tylko reguła 5G.

    5G było pierwszym przepracowanym przykładem, a nie jedynym. Artykuł 22 ust. 2 daje Komisji otwarte uprawnienie do wyboru, które krytyczne produkty, systemy i usługi ICT zostaną ocenione. Chmura, dostawcy usług zarządzanych, dostawcy tożsamości i inni mogą zostać objęci. Traktowanie art. 22 jako artykułu wyłącznie o 5G znacznie zaniża zakres.

  • Jesteśmy poniżej progu wielkości, więc art. 22 nie ma do nas zastosowania.

    Sam artykuł 22 nie ma zastosowania do podmiotów bezpośrednio. Ma zastosowanie na poziomie UE. To, co ma zastosowanie do ciebie, jeśli jesteś podmiotem NIS 2 w zakresie, to art. 21 ust. 3: musisz uwzględnić wyniki skoordynowanych ocen w swoich wyborach dostawców na podstawie art. 21 ust. 2 lit. d). Twoja wielkość nie zmienia tego obowiązku, gdy już jesteś w zakresie.

  • Artykuł 22 to sposób, w jaki UE egzekwuje NIS 2 wobec dostawców.

    Artykuł 22 to mechanizm oceny ryzyka, a nie narzędzie egzekwowania. Nie nakłada obowiązków na dostawców. Tworzy skoordynowany odczyt UE, który podmioty następnie muszą uwzględnić na podstawie art. 21 ust. 3. Egzekwowanie wobec podmiotów przebiega przez krajowych nadzorców na podstawie art. 31 do 37. Egzekwowanie wobec dostawców przebiega pośrednio przez klauzule zamówień na poziomie podmiotu na podstawie art. 21 ust. 2 lit. d).

Jak rzeczywiści operatorzy Mittelstand to obsługują

Monitoruj wyniki Grupy Współpracy. BSI podsumowuje je w Infopakete. ENISA odwołuje się do nich w aktualizacjach TIG. Jeśli skoordynowana ocena dotknie technologii, od której zależysz (5G, chmura, dostawcy usług zarządzanych), zaktualizuj odpowiednio swoją politykę bezpieczeństwa dostawców i rejestr dostawców. Powołaj się na ocenę w zapisie, aby audytor widział to powiązanie.

Zestaw narzędzi 5G to przepracowany przykład. Pewne ograniczenia dotyczące dostawców wysokiego ryzyka przeniknęły do krajowych reguł zamówień, a stamtąd do wyborów dostawców na poziomie podmiotu. Spodziewaj się tego samego wzorca, gdy publikowane są nowe oceny. Nie musisz czytać pełnego dokumentu Grupy Współpracy. Podsumowanie BSI plus jednolinijkowy wpis o dotkniętych dostawcach w twoim rejestrze wystarczy, aby wykazać, że uwzględniłeś wyniki.

Jak obsługujemy to na platformie

Rejestr dostawców łączy każdego dostawcę z odpowiednimi wynikami art. 22, tam gdzie ma to zastosowanie. Jeśli skoordynowana ocena klasyfikuje dostawcę lub kategorię dostawców, oznaczasz dostawcę tą klasyfikacją. Twój audytor widzi w jednym miejscu zarówno odniesienie do oceny, jak i twoją decyzję o postępowaniu.

Rejestr ryzyka podejmuje te same oznaczenia. Dostawca objęty skoordynowaną oceną pojawia się jako wpis ryzyka z oceną jako jego źródłem. Postępowanie, zatwierdzenie i bieżący przegląd przebiegają przez standardowy przepływ CIR § 2. Brak osobnego przepływu pracy dla danych wejściowych z art. 22. Ta sama struktura co każde inne ryzyko dostawcy, tylko z silniejszym zewnętrznym powołaniem.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuły 21 i 22 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik § 5 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Unijny zestaw narzędzi cyberbezpieczeństwa środków ograniczających ryzyko dla sieci 5G (2020) — digital-strategy.ec.europa.eu
  • Ustawa BSI (BSIG), § 30 ust. 2 pkt 4 w brzmieniu nadanym przez NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  • ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690 (stan na maj 2026)
Przenieś wyniki skoordynowanych ocen do swojego rejestru dostawców
Oznacz dostawców klasyfikacjami z art. 22, powiąż ich z rejestrem ryzyka i pokaż ścieżkę audytu w jednym miejscu. Bezpłatnie, otwarte oprogramowanie, bez lock-in.
Otwórz bezpłatną platformę