Art. 21(2)(d) NIS 2

Klauzule umów z dostawcami NIS 2

Artykuł 21 ust. 2 lit. d) NIS 2 zobowiązuje podmioty do uwzględnienia bezpieczeństwa w relacjach z ich bezpośrednimi dostawcami i usługodawcami. Artykuł 21 ust. 1 decyduje, jak daleko sięga ten obowiązek.

Simon OrzelSimon Orzel·

Czego wymaga art. 21 ust. 2 lit. d)

Artykuł 21 ust. 2 lit. d) NIS 2 wymienia bezpieczeństwo łańcucha dostaw jako jeden z dziesięciu minimalnych środków zarządzania ryzykiem w cyberbezpieczeństwie. Dyrektywa jest precyzyjna co do zakresu: obejmuje aspekty związane z bezpieczeństwem relacji między podmiotem a jego bezpośrednimi dostawcami lub usługodawcami. Nie reguluje całego łańcucha dostaw i nie wymaga ogólnej klauzuli szablonowej.

Klauzulą towarzyszącą jest art. 21 ust. 1. Wszystkie środki z art. 21 ust. 2, w tym bezpieczeństwo relacji z dostawcami, muszą być odpowiednie i proporcjonalne do ryzyk, wobec których stoi podmiot. Koszt wdrożenia, wielkość podmiotu, prawdopodobieństwo incydentów i ich dotkliwość wchodzą do testu proporcjonalności. Od 60-osobowego zakładu gospodarki odpadami i od dostawcy chmury pierwszego rzędu nie oczekuje się tej samej głębokości umownej.

Praktyczne pytanie dla podmiotu w zakresie nie brzmi zatem, które klauzule skopiować z szablonu, lecz które aspekty związane z bezpieczeństwem każdej relacji z dostawcą mają znaczenie, których dowodów podmiot potrzebuje, aby zarządzać ryzykiem rezydualnym, oraz jak udokumentować, że wybór oparty na ryzyku został dokonany celowo.

Kotwica prawna
Tekst dyrektywy, rozporządzenie wykonawcze dla podmiotów infrastruktury cyfrowej oraz niemiecka transpozycja. Cytaty są dosłowne z EUR-Lex i gesetze-im-internet.de.

Artykuł 21 ust. 2 lit. d) NIS 2

bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami

Jeden z dziesięciu minimalnych środków wymienionych w art. 21 ust. 2. Zwróć uwagę na celowe ograniczenie do bezpośrednich dostawców i usługodawców. Dyrektywa nie rozszerza klauzuli na poddostawców n-tego rzędu. Motywy 85 i 90 potwierdzają, że ocena jest oparta na ryzyku i uwzględnia konkretne podatności każdego dostawcy oraz ogólną jakość ich praktyk w zakresie cyberbezpieczeństwa.

CIR 2024/2690, załącznik sekcja 5

Podmioty, których to dotyczy, ustanawiają, wdrażają i stosują politykę bezpieczeństwa łańcucha dostaw regulującą relacje z ich bezpośrednimi dostawcami i usługodawcami.

Rozporządzenie wykonawcze Komisji 2024/2690 precyzuje środek dotyczący łańcucha dostaw wyłącznie dla podmiotów infrastruktury cyfrowej (DNS, rejestry TLD, chmura, centra danych, CDN, usługi zarządzane i usługi zarządzane w zakresie bezpieczeństwa, internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe, dostawcy usług zaufania). Sekcja 5 załącznika wymienia kryteria wyboru, wymagania umowne, obowiązki monitorowania i obsługę wyjścia. Dla innych sektorów ma zastosowanie krajowe prawo transponujące.

§ 30 ust. 2 pkt 4 BSIG

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern

Niemiecka NIS2UmsuCG transponuje art. 21 ust. 2 lit. d) jeden do jednego do § 30 ust. 2 pkt 4 BSIG. § 30 ust. 1 BSIG przenosi dalej klauzulę proporcjonalności. Wytyczne BSI traktują dotychczas bezpieczeństwo relacji z dostawcami jako obowiązek obejmujący politykę plus umowę plus monitorowanie, a nie jako listę klauzul.

Co znajduje się wewnątrz obowiązku
Trzy elementy składowe, o które pytają organy regulacyjne: decyzja o zakresie, warstwa umowna i warstwa weryfikacji. Żaden z nich nie jest klauzulą szablonową; są to kategorie dowodów.
Zakres

Którzy dostawcy są w zakresie

Artykuł 21 ust. 2 lit. d) celuje w bezpośrednich dostawców i usługodawców, a nie w cały łańcuch wyższego rzędu. Od podmiotu oczekuje się zidentyfikowania, którzy dostawcy przetwarzają, przekazują lub przechowują dane, od których podmiot zależy, lub których przerwanie usługi wpłynęłoby na jego usługę kluczową lub ważną. Dostawcy artykułów biurowych są poza zakresem, dostawca chmury hostujący bazę danych klientów jest w zakresie. Kryterium wyboru jest ryzyko, jakie wnosi dostawca, a nie wartość umowy.

Umowa

Co zwykle obejmuje warstwa umowna

Wytyczne BSI i sekcja 5 CIR opisują politykę relacji z dostawcami, która przekłada się na wymagania umowne. Typowe elementy, których szukają organy regulacyjne, obejmują odniesienie do linii bazowej bezpieczeństwa, obowiązek zgłaszania incydentów zgodny z terminami z art. 23, przejrzystość co do istotnych podprzetwarzających, prawo do audytu lub dowodów proporcjonalne do ryzyka oraz prawa do rozwiązania umowy ze względów bezpieczeństwa. Głębokość jest kalibrowana według klasy ryzyka dostawcy, a nie stosowana jednolicie.

Weryfikacja

Jak podmiot weryfikuje dostawcę

Dyrektywa jest neutralna technologicznie i wobec certyfikatów. Dowodem może być kwestionariusz dostawcy, uznana certyfikacja, taka jak ISO 27001 lub SOC 2, niedawny raport z testów penetracyjnych lub umowna klauzula audytu wykonywana na zasadzie próbkowania. CIR 2024/2690 sekcja 5 wyraźnie wymienia wiele dopuszczalnych form dowodów. Podmiot decyduje, która forma jest odpowiednia dla klasy ryzyka każdego dostawcy, i dokumentuje tę decyzję.

Dwie zasady, które decydują, jak daleko sięga klauzula
Większość sporów między podmiotem a jego audytorami sprowadza się do tych dwóch zasad. Obie są w samej dyrektywie.

Tylko bezpośredni dostawcy, brak automatycznego przeniesienia w dół

Artykuł 21 ust. 2 lit. d) wymienia bezpośrednich dostawców i usługodawców. Nie narzuca umownego przeniesienia w dół na każdego poddostawcę n-tego rzędu. Tam, gdzie ryzyko podprzetwarzającego jest istotne, podmiot uwzględnia je poprzez umowę bezpośrednią, zwykle wymagając przejrzystości co do krytycznych podprzetwarzających oraz praw zatwierdzania istotnych zmian. Ogólna klauzula przeniesienia w dół nie jest wymogiem dyrektywy i jest generalnie niewykonalna wobec stron bez umowy bezpośredniej.

Proporcjonalna do ryzyka, a nie stały standard

Artykuł 21 ust. 1 wymaga, aby środki były odpowiednie i proporcjonalne, z uwzględnieniem aktualnego stanu wiedzy, kosztu wdrożenia, wielkości podmiotu, ekspozycji, prawdopodobieństwa incydentów i ich dotkliwości. Ta sama proporcjonalność ma zastosowanie do klauzuli relacji z dostawcą. Standardowe zamówienie nie potrzebuje pełnej klauzuli audytu, jeśli ryzyko dostawcy jest niskie. Dostawca usług zarządzanych w zakresie bezpieczeństwa zasługuje na głębszą klauzulę niż dostawca sprzętu. Decyzja jest dokumentowana, a nie standaryzowana.

Krajowe i unijne punkty odniesienia
Organy opublikowały fragmenty wytycznych, a nie wzorcowy szablon. Dyrektywa nie odnosi się do ISO 27001 po nazwie. Te punkty odniesienia są najczęściej cytowanymi w praktyce.
DE

BSI IT-Grundschutz OPS.2 i ORP.4

Bazowe bloki budulcowe BSI IT-Grundschutz OPS.2 (outsourcing dla użytkowników usług) i CON.7 (outsourcing dla usługodawców) wraz z ORP.4 (tożsamość i dostęp) opisują proces relacji z dostawcami zgodny z art. 21 ust. 2 lit. d). Dla podmiotów korzystających ze skrótu Grundschutz z § 44 ust. 2 BSIG stosowanie tych bloków budulcowych jest traktowane jako dowód środka dotyczącego relacji z dostawcami.

EU

ENISA Threat Landscape for Supply Chain Attacks

Powtarzające się raporty ENISA o atakach na łańcuch dostaw ujmują obraz ryzyka, na który odpowiada dyrektywa. ENISA nie publikuje szablonu umowy. Jej prace są przywoływane w motywach dyrektywy dotyczących ryzyka łańcucha dostaw i zasilają metodykę ryzyka dostawców Grupy Współpracy, ale nie są wiążącym standardem umownym.

EU

CIR 2024/2690 załącznik sekcja 5

Dla jedenastu typów podmiotów infrastruktury cyfrowej w zakresie CIR 2024/2690 sekcja 5 załącznika ustala bardziej konkretną specyfikację polityki dostawców: kryteria wyboru, wymagania umowne, monitorowanie przez cały cykl życia umowy, warunki wyjścia. Dla wszystkich innych sektorów pozostaje to przydatną orientacją, ale nie jest bezpośrednio wiążące; rządzą transpozycja krajowa i wytyczne organów.

Trzy błędne interpretacje art. 21 ust. 2 lit. d)
Wzorce widywane wielokrotnie w projektach zakupowych, gdy zespoły sięgają po szablon zamiast po tekst dyrektywy.

  • Pojedynczy aneks dla dostawców, podpisany przez wszystkich, zamyka art. 21 ust. 2 lit. d).

    Dyrektywa zobowiązuje podmioty do uwzględnienia aspektów związanych z bezpieczeństwem relacji, które art. 21 ust. 1 wiąże z testem proporcjonalności dla każdego dostawcy. Pojedynczy aneks stosowany jednolicie przeczy proporcjonalności i tworzy albo nadmiernie umownie obciążonych małych dostawców, albo niedostatecznie umownie obciążonych krytycznych dostawców. Możliwym do obrony artefaktem jest polityka ryzyka dostawców plus klasyfikacja ryzyka dla poszczególnych dostawców, z klauzulami umownymi wyprowadzonymi z tej klasyfikacji.

  • Certyfikacja ISO 27001 po stronie dostawcy zastępuje wszystkie prawa do audytu i dowodów.

    Uznana certyfikacja jest dopuszczalnym dowodem dla wielu klas ryzyka dostawców, ale art. 21 ust. 2 lit. d) nie wymienia ISO 27001 i nie deleguje obowiązku na podmiot certyfikujący. Podmiot pozostaje odpowiedzialny za relację na podstawie § 30 BSIG. Tam, gdzie ryzyko dostawcy jest wysokie lub zakres certyfikacji wyłącza konsumowaną usługę, dodatkowe prawa weryfikacji pozostają odpowiednie. CIR sekcja 5 wyraźnie wymienia wiele form dowodów równolegle.

  • Mali dostawcy są poza zakresem obowiązku bezpieczeństwa dostawców podmiotu.

    Artykuł 21 ust. 2 lit. d) nie zwalnia małych dostawców. Własny zakres NIS 2 dostawcy na podstawie art. 2 to osobna kwestia. Obowiązkiem podmiotu jest uwzględnienie aspektów związanych z bezpieczeństwem jego bezpośredniej relacji z dostawcą niezależnie od wielkości dostawcy, skalibrowane do ryzyka, jakie ten dostawca wnosi. Dwuosobowy hoster kopii zapasowych obsługujący dane krytyczne przyciąga więcej uwagi niż tysiącosobowy dostawca cateringu.

Notatka praktyka

Audytorzy patrzący na bezpieczeństwo dostawców w podmiotach NIS 2 zwykle proszą o trzy artefakty w kolejności: polityka ryzyka dostawców, która ustala logikę klasyfikacji, inwentaryzacja dostawców z zastosowaną klasyfikacją oraz próbka umów z każdej klasy ryzyka pokazująca, jak polityka jest odzwierciedlona. Same klauzule umowne są ostatnią warstwą, a nie pierwszą.

Tam, gdzie podmiot korzysta z drogi Grundschutz z § 44 ust. 2 BSIG, bloki budulcowe OPS.2 i CON.7 już strukturyzują politykę ryzyka dostawców i warstwę umowną. Podmioty poza Niemcami opierają się na równoważnych wytycznych krajowego organu lub, dla podmiotów infrastruktury cyfrowej, na CIR 2024/2690 załącznik sekcja 5. Sama dyrektywa nie narzuca jednolitej listy klauzul.

Jak platforma to odzwierciedla

Moduł dostawców platformy przechwytuje artefakty, których oczekuje audytor: inwentaryzację dostawców z klasyfikacją ryzyka, powiązaną usługę lub aktyw, uzgodnioną formę dowodu dla poszczególnych dostawców (kwestionariusz, odniesienie do certyfikacji, klauzula audytu, dowód punktu w czasie) oraz ścieżkę zgłaszania incydentów z powrotem do własnego przepływu zgłaszania z art. 23 podmiotu.

Portal dostawców pozwala bezpośrednim dostawcom odpowiadać na kwestionariusze i przesyłać dowody w ramach dostępu opartego na tokenie, dzięki czemu rozmowa jest udokumentowana w jednym miejscu. Platforma nie publikuje szablonów umów. Rejestruje, że środek dotyczący relacji z dostawcami na podstawie § 30 ust. 2 pkt 4 BSIG jest wdrożony i udokumentowany dla poszczególnych dostawców.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21 ust. 2 lit. d) i artykuł 21 ust. 1, EUR-Lex
  • Motywy 85 i 90, dyrektywa (UE) 2022/2555, EUR-Lex
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik sekcja 5, EUR-Lex
  • BSIG § 30 ust. 2 pkt 4 i § 30 ust. 1, gesetze-im-internet.de
  • BSI IT-Grundschutz Kompendium, moduły OPS.2 i CON.7, BSI
  • ENISA Threat Landscape for Supply Chain Attacks, ENISA
Sprawdź, czy obowiązek ma zastosowanie
Kontrola stosowalności zwraca informację, czy podmiot jest w zakresie NIS 2 i które z dziesięciu środków z art. 21 ust. 2, w tym bezpieczeństwo relacji z dostawcami, stają się istotne.
Uruchom kontrolę stosowalności