Czy jestem dostawcą usług chmurowych zgodnie z NIS 2?
NIS 2 wymienia usługi przetwarzania w chmurze w sektorze 8 załącznika I (Infrastruktura cyfrowa). Artykuł 6(30) ustanawia definicję prawną obejmującą IaaS, PaaS i SaaS. Artykuł 2(1) stosuje następnie zwykły test wielkości przedsiębiorstwa średniej wielkości. CIR (UE) 2024/2690 umieszcza dostawców chmury w swoim załączniku, co oznacza, że części tego rozporządzenia wiążą was bezpośrednio w całej UE.
Wersja skrócona
Jeśli świadczycie usługę przetwarzania w chmurze klientom, jesteście w zakresie NIS 2, gdy tylko przekroczycie próg przedsiębiorstwa średniej wielkości. Sektor 8 załącznika I nazywa dostawców usług przetwarzania w chmurze bezpośrednio w ramach Infrastruktury cyfrowej. Definicja z artykułu 6(30) jest szeroka: IaaS, PaaS, SaaS, chmura publiczna, chmura prywatna sprzedawana jako usługa, oferty hybrydowe - wszystkie się liczą.
W przeciwieństwie do telekomunikacji czy DNS dostawcy chmury nie figurują na liście 'niezależnie od wielkości' w artykule 2(2). Stosuje się zwykły test z artykułu 2(1): średnia wielkość zgodnie z zaleceniem 2003/361/WE oznacza 50 pracowników lub więcej albo roczny obrót powyżej 10 milionów EUR. Przekroczcie którykolwiek próg, a wpadacie w zakres. Pozostańcie poniżej obu, a zwykle jesteście poza, z ograniczonymi wyjątkami w artykule 2(2) i (3), które nie dotyczą chmury jako takiej.
Niemcy umieszczają to w prawie krajowym poprzez §28 BSIG. BSI jest waszym organem. Oprócz dyrektywy rozporządzenie wykonawcze Komisji (UE) 2024/2690 wymienia dostawców chmury w swoim załączniku, więc jego wymagania techniczne i metodologiczne wiążą was bezpośrednio bez potrzeby dalszego prawa niemieckiego. Ta strona omawia dyrektywę, definicję UE oraz niemiecką transpozycję w tej kolejności.
Dyrektywa NIS 2 (2022/2555), załącznik I sektor 8 i art. 6(30)
Sektor 8 Infrastruktura cyfrowa: dostawcy usług przetwarzania w chmurze. 'Usługa przetwarzania w chmurze' oznacza usługę cyfrową umożliwiającą administrowanie na żądanie i szeroki zdalny dostęp do skalowalnego i elastycznego zbioru współdzielonych zasobów obliczeniowych, w tym w przypadku gdy takie zasoby są rozproszone w kilku lokalizacjach.
Dwa fragmenty trzeba czytać razem. Sektor 8 załącznika I nazywa dostawców usług przetwarzania w chmurze jako infrastrukturę kluczową. Artykuł 6(30) definiuje, co liczy się jako usługa przetwarzania w chmurze. Sformułowanie jest neutralne technologicznie i obejmuje IaaS, PaaS i SaaS. Nie ma dalszego rozporządzenia UE, które redefiniowałoby ten termin, więc kontroluje go własna definicja dyrektywy.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik
Niniejsze rozporządzenie stosuje się do podmiotów, o których mowa w artykule 3 dyrektywy (UE) 2022/2555, wymienionych w załączniku do niniejszego rozporządzenia, mianowicie: dostawców usług DNS, rejestrów nazw TLD, dostawców usług przetwarzania w chmurze, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.
CIR (UE) 2024/2690 wymienia dostawców usług przetwarzania w chmurze w swoim załączniku. To jest trik prawny, który ma znaczenie: rozporządzenie jest bezpośrednio stosowane, nie jest potrzebna transpozycja krajowa. CIR ustanawia szczegółowe ramy zarządzania ryzykiem (§2), wymagania dotyczące zarządzania incydentami, bezpieczeństwa łańcucha dostaw, obsługi podatności oraz progi 'istotnego incydentu' dla tych sektorów. Dostawcy chmury mają zatem do czynienia z warstwą dyrektywy (transponowaną w BSIG) plus warstwą rozporządzenia, która wiąże ich w tym samym brzmieniu we wszystkich państwach członkowskich.
§28 BSIG, Niemcy
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
Niemcy transponują obowiązki chmurowe poprzez §28 BSIG. BSI jest centralnym organem NIS 2 dla rejestracji, ram zarządzania ryzykiem i zgłaszania incydentów. Dostawcy chmury powyżej progu wielkości są klasyfikowani jako 'besonders wichtige Einrichtungen' (podmioty kluczowe). Poniżej progu obowiązki nie mają zastosowania, chyba że zostanie uruchomiony jeden z ograniczonych wyjątków z artykułu 2(2) lub (3). Chmura jako taka nie figuruje na tych listach.
Czy świadczycie usługę przetwarzania w chmurze?
Zastosujcie definicję z artykułu 6(30). Usługa musi być cyfrowa, na żądanie, szeroko zdalnie dostępna i działać na skalowalnym i elastycznym zbiorze współdzielonych zasobów. IaaS (obliczenia, magazyn, sieć), PaaS (zarządzane środowiska uruchomieniowe, bazy danych jako usługa) oraz SaaS (wielodzierżawcze aplikacje biznesowe sprzedawane przez sieć) - wszystkie spełniają definicję. Jednodzierżawcza hostowana aplikacja sprzedawana jako usługa zwykle też, ponieważ bazowy zbiór zasobów jest współdzielony na poziomie dostawcy.
Czy przekraczacie próg wielkości?
Dostawcy chmury podlegają zwykłemu testowi z artykułu 2(1). Zgodnie z zaleceniem 2003/361/WE średnia wielkość zaczyna się od 50 pracowników lub rocznego obrotu powyżej 10 milionów EUR (z roczną sumą bilansową powyżej 10 milionów EUR jako alternatywą). Przy 250 pracownikach lub obrocie powyżej 50 milionów EUR stajecie się dużym przedsiębiorstwem i jesteście klasyfikowani jako 'kluczowi'. Poniżej 50 pracowników i obrotu poniżej 10 milionów EUR jesteście zwykle poza zakresem jako dostawca chmury.
CIR wiąże was bezpośrednio
Gdy już jesteście w zakresie, nakładają się dwie warstwy. BSIG (w Niemczech) transponuje dyrektywę. CIR (UE) 2024/2690 wymienia was w swoim załączniku i wiąże bezpośrednio. Oznacza to, że ramy zarządzania ryzykiem §2 CIR, zasady łańcucha dostaw z §6 oraz progi istotności incydentu stosują się w tym samym brzmieniu w każdym państwie członkowskim. Nie ma krajowego wariantu CIR do sprawdzenia.
Wszystkie trzy warstwy usług się liczą
Artykuł 6(30) jest neutralny względem warstwy. IaaS, PaaS i SaaS wszystkie spełniają definicję, ponieważ wszystkie trzy opierają się na skalowalnym i elastycznym współdzielonym zbiorze zasobów. Częstym błędem jest założenie, że 'chmura' oznacza wyłącznie IaaS hiperskalera. Tekst łapie niemieckiego dostawcę SaaS sprzedającego wielodzierżawcze narzędzie HR tak samo, jak łapie AWS, Azure i GCP. Próg wielkości filtruje następnie tych, którzy faktycznie mają obowiązki.
Elastyczność i współdzielenie wyznaczają granicę
Jeśli zbiór zasobów nie jest skalowalny i elastyczny ani nie jest współdzielony, usługa nie jest usługą przetwarzania w chmurze zgodnie z artykułem 6(30). Dedykowany serwer dla jednego klienta o stałej pojemności, który eksploatujecie w imieniu klienta, to hosting, a nie chmura. Klatka w ośrodku danych dedykowana klientowi to kolokacja, a nie chmura. Oba mogą nadal mieścić się w innych wierszach sektora 8 załącznika I (usługa ośrodka danych, usługa zarządzana), ale nie w wierszu chmury. Definicja wykonuje filtrowanie.
BSI / §28 BSIG
BSI jest centralnym organem NIS 2. Rejestracja, ramy zarządzania ryzykiem, harmonogram zgłaszania incydentów (24 godz. wczesne ostrzeżenie, 72 godz. zgłoszenie, 1-miesięczny raport końcowy) - wszystko przepływa przez BSI. §28 BSIG klasyfikuje dostawców chmury w zakresie jako 'besonders wichtige Einrichtungen'. Gdy przekroczycie próg wielkości, rejestrujecie się w BSI.
BSI C5 (odniesienie operacyjne)
C5 to katalog bezpieczeństwa chmury BSI. Nie jest obowiązkiem NIS 2, ale w praktyce wielu niemieckich klientów chmury żąda atestacji C5 typu 2 w swoich umowach. Zestaw kontroli nakłada się w znacznym stopniu na ramy zarządzania ryzykiem §2 CIR, więc dostawcy, którzy już posiadają atestację C5, mogą ponownie wykorzystać większość dowodów do swojej dokumentacji zarządzania ryzykiem NIS 2.
ENISA / załącznik CIR
ENISA, agencja UE ds. cyberbezpieczeństwa, publikuje Technical Implementation Guidance dla CIR. Ponieważ dostawcy chmury są wymienieni w załączniku CIR, ta wytyczna jest codziennym odniesieniem dla zarządzania ryzykiem §2, oczekiwań wobec łańcucha dostaw oraz modelu progu 'istotnego incydentu'. Tekst jest identyczny w całej UE, więc dostawca chmury obsługujący DE, NL, FR i IT stosuje to samo brzmienie CIR na każdym rynku.
Krajowe organy cyberbezpieczeństwa
Każde państwo członkowskie ma własny organ NIS 2 prowadzący warstwę rejestracji i nadzoru: RDI w Holandii, ANSSI we Francji, ACN we Włoszech, INCIBE w Hiszpanii. Obowiązki dyrektywy są transponowane lokalnie, CIR wiąże to samo brzmienie wszędzie. Dla dostawcy chmury sprzedającego w całej UE rejestracje są krajowe, a ramy zarządzania ryzykiem to jeden dokument używany wszędzie.
Wynajmujemy dedykowane serwery, więc jesteśmy dostawcą chmury zgodnie z NIS 2.
Zwykle nie, w wierszu chmury. Artykuł 6(30) wymaga skalowalnego i elastycznego zbioru współdzielonych zasobów. Serwer bare-metal wynajęty jednemu klientowi o stałej pojemności to hosting. Może wciągnąć was pod wiersz usługi ośrodka danych sektora 8 załącznika I (inna definicja, ten sam sektor) lub pod dostawcę usług zarządzanych, jeśli również go dla klienta eksploatujecie, ale nie pod usługę przetwarzania w chmurze. Czytajcie definicje, a nie marketingową etykietę na swoim własnym cenniku.
Jesteśmy małym SaaS, więc zasady chmurowe nas nie dotyczą.
Test prawny jest dwuczęściowy. Najpierw artykuł 6(30): wielodzierżawczy SaaS sprzedawany przez sieć na współdzielonej infrastrukturze spełnia definicję. Następnie artykuł 2(1): próg wielkości. Jeśli macie poniżej 50 pracowników i poniżej 10 milionów EUR obrotu, jesteście poza zakresem w wierszu chmury. Jeśli przekroczycie którykolwiek, jesteście w. 'Niszowy' nie jest kategorią prawną. Pracę wykonują liczby i definicja.
Prowadzimy chmurę prywatną dla własnej grupy, więc jesteśmy dostawcą chmury w zakresie.
Zwykle nie. Usługa z artykułu 6(30) musi być świadczona klientom. Czysto wewnętrzna chmura prywatna obsługująca wyłącznie waszą własną organizację nie jest usługą w sensie regulacyjnym, więc nie liczy się dla wiersza chmury. Możecie nadal być w zakresie NIS 2 w sektorze, w którym działa wasza grupa (energetyka, ochrona zdrowia, transport, produkcja), ale nie jako dostawca usług przetwarzania w chmurze na podstawie wewnętrznej platformy.
60-osobowy niemiecki dostawca SaaS z wielodzierżawczym produktem i 12 milionami EUR rocznego obrotu jest w zakresie NIS 2 w wierszu chmury. Sektor 8 załącznika I nazywa dostawców usług przetwarzania w chmurze; artykuł 6(30) jest spełniony, ponieważ zbiór zasobów jest współdzielony, elastyczny i zdalnie dostępny; artykuł 2(1) jest spełniony, ponieważ firma jest średniej wielkości. §28 BSIG klasyfikuje ją jako 'besonders wichtige Einrichtungen'. Załącznik CIR umieszcza ją pod bezpośrednio wiążącymi ramami zarządzania ryzykiem §2. Nic z tego nie jest uznaniowe.
Co widzimy w praktyce: dostawca pisze ramy zarządzania ryzykiem §2 CIR względem swojego stosu produkcyjnego (aplikacja, środowisko uruchomieniowe, warstwa danych, tożsamość, wspierające konta chmurowe), mapuje tematy z artykułu 21(2) na ramy i wykorzystuje proporcjonalność z artykułu 21(1) do dostosowania głębokości do działalności 60-osobowej. Wykrywanie incydentów, kadencja zgłoszeń 24 godz. / 72 godz. / 1 miesiąc oraz obowiązki łańcucha dostaw z §6 CIR - wszystko opiera się na tej samej liście zasobów. Atestacja C5 typu 2, jeśli dostawca ją posiada, pokrywa dużą część dowodów §2 i jest ponownie wykorzystywana jako dokumentacja, a nie tworzona od nowa.
Nasza kontrola zakresu przechodzi przez artykuł 6(30) krok po kroku. Pyta, co świadczycie, czy zbiór zasobów jest współdzielony i elastyczny oraz czy usługa jest sprzedawana klientom. Wynik mówi wam, który wiersz załącznika I ma zastosowanie (chmura, ośrodek danych, usługa zarządzana - wszystkie odrębne definicje), czy łapie was próg wielkości z artykułu 2(1) oraz które kategorie załącznika CIR wiążą was bezpośrednio oprócz BSIG.
Moduł zasobów pokrywa stos produkcyjny w jednym inwentarzu: granice dzierżawców, dostawcy tożsamości, magazyny danych, wspierające konta chmurowe, zewnętrzni przetwarzający. Ramy zarządzania ryzykiem §2 CIR działają następnie względem tego inwentarza, więc ta sama lista zasobów zasila rejestrację BSI, oceny łańcucha dostaw §6 CIR oraz dowody atestacji C5 bez podwójnego utrzymania.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 8 i definicja usługi przetwarzania w chmurze z artykułu 6(30) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2(1) zakres wielkości i sektora; artykuł 2(2) wyjątki niezależne od wielkości — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw — eur-lex.europa.eu/eli/reco/2003/361/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik (wymienia dostawców usług przetwarzania w chmurze wśród podmiotów wiązanych bezpośrednio) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §28 w brzmieniu zmienionym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), bieżące wydanie — bsi.bund.de