Anhang I Sektor 8 NIS 2

Czy jestem dostawcą usług centrum danych w rozumieniu NIS 2?

NIS 2 wymienia usługi centrum danych w sektorze 8 załącznika I (infrastruktura cyfrowa). Art. 6 pkt 31 definiuje usługę tak, by obejmowała energię i chłodzenie. Standardowy test wielkości z art. 2 ust. 1 oraz zalecenia 2003/361/WE decyduje następnie, czy obowiązki mają zastosowanie. Niemcy transponują przez §28 BSIG. KRITIS-V (3,5 MW obciążenia IT) to odrębna nakładka krajowa, a nie wejście do zakresu NIS 2.

Simon OrzelSimon Orzel·

Wersja skrócona

Jeżeli sprzedajesz usługę centrum danych stronom trzecim, jesteś objęty zakresem, gdy tylko spełnisz standardowy próg wielkości NIS 2. Sektor 8 załącznika I wymienia dostawców usług centrum danych bezpośrednio w ramach infrastruktury cyfrowej. Art. 6 pkt 31 mówi, co liczy się jako usługa: zasoby IT i sieci wraz ze wspierającą dystrybucją energii i kontrolą środowiska. Dach, UPS, agregaty chłodnicze i generator wysokoprężny są częścią usługi, a nie czymś obok niej.

Test wielkości jest standardowy dla NIS 2. Art. 2 ust. 1 dyrektywy wiąże zakres z zaleceniem 2003/361/WE: podmioty średnie (50 lub więcej pracowników albo roczny obrót i suma bilansowa powyżej 10 mln EUR) podlegają reżimowi, podmioty duże są „kluczowe” (essential), a nie „ważne” (important). Dla centrów danych nie ma objęcia zakresem niezależnie od wielkości, w przeciwieństwie do telekomunikacji czy DNS.

Niemcy transponują przez §28 BSIG. Próg z KRITIS-Verordnung (3,5 MW obciążenia IT) to odrębna niemiecka nakładka, która decyduje, czy to samo centrum danych jest dodatkowo KRITIS, z dodatkowymi obowiązkami. Nie decyduje ona o tym, czy stosuje się NIS 2. CIR (UE) 2024/2690 wymienia dostawców usług centrum danych w swoim załączniku, więc część rozporządzenia wykonawczego wiąże centra danych bezpośrednio, bez dalszej transpozycji krajowej.

Źródło prawne
Trzy warstwy. Dyrektywa nazywa sektor i definiuje usługę. Rozporządzenie wykonawcze Komisji wiąże techniczne ramy zarządzania ryzykiem. Niemieckie BSIG transponuje obowiązki i wskazuje KRITIS-V jako odrębną ścieżkę krajową.

Dyrektywa NIS 2 (2022/2555), sektor 8 załącznika I oraz art. 6 pkt 31

„usługa centrum danych” oznacza usługę obejmującą struktury lub grupy struktur przeznaczone do scentralizowanego umieszczania, połączeń wzajemnych i eksploatacji sprzętu informatycznego i sieciowego świadczących usługi przechowywania, przetwarzania i transportu danych, wraz ze wszystkimi obiektami i infrastrukturą do dystrybucji energii i kontroli środowiska.

Dwie rzeczy do czytania łącznie. Sektor 8 załącznika I nazywa dostawców usług centrum danych jako infrastrukturę cyfrową. Art. 6 pkt 31 mówi, że usługa to nie tylko szafy IT. Dystrybucja energii i kontrola środowiska są częścią definicji prawnej. To właśnie wiąże usługi budynkowe (UPS, generatory, chłodzenie, gaszenie pożarów) z ramami zarządzania ryzykiem NIS 2.

Rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik

Niniejsze rozporządzenie określa wymogi techniczne i metodyczne dotyczące środków, o których mowa w art. 21 ust. 2 dyrektywy (UE) 2022/2555, w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług centrum danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, internetowych wyszukiwarek i platform usług sieci społecznościowych oraz dostawców usług zaufania.

Dostawcy usług centrum danych są wymienieni w załączniku do CIR z nazwy. Oznacza to, że techniczne wymogi zarządzania ryzykiem zawarte w CIR (zarządzanie aktywami, kontrola dostępu, kryptografia, łańcuch dostaw, obsługa incydentów) wiążą centra danych bezpośrednio. Transpozycja krajowa nie jest wymagana dla warstwy CIR. Warstwa dyrektywy nadal potrzebuje §28 BSIG, aby zaczęła obowiązywać w Niemczech.

§28 BSIG (Niemcy) oraz KRITIS-Verordnung

Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.

§28 BSIG transponuje obowiązki NIS 2 dotyczące centrów danych. Test wielkości z art. 2 ust. 1 (50 pracowników / 10 mln EUR obrotu) decyduje, czy podmiot jest „wichtig”, czy „besonders wichtig”. KRITIS-Verordnung to odrębna niemiecka warstwa z własnym progiem 3,5 MW obciążenia IT dla centrów danych. KRITIS dodaje obowiązki na wierzchu, nie jest warunkiem wejścia do NIS 2. Operator kolokacji 25 MW jest w obu reżimach. Obiekt kolokacyjny z 200 pracownikami przy 1 MW obciążenia IT jest w zakresie NIS 2, ale nie KRITIS.

Trzy testy do przejścia
Trzy krótkie testy decydują, czy jesteś w zakresie. Jeden o tym, czym jest usługa, jeden o wielkości, jeden o tym, czy niemiecka nakładka KRITIS dochodzi do obrazu.
Test A

Czy sprzedajesz usługę centrum danych?

Art. 6 pkt 31 to test. Zapewniasz struktury przeznaczone do scentralizowanego umieszczania, połączeń wzajemnych i eksploatacji sprzętu IT i sieciowego, wraz z infrastrukturą dystrybucji energii i kontroli środowiska. Kolokacja, hosting i dedykowane hale kwalifikują się wszystkie. Obciążenie IT i usługi budynkowe są w prawie jedną usługą.

Test B

Czy jesteś powyżej progu wielkości?

Art. 2 ust. 1 NIS 2 odsyła do zalecenia 2003/361/WE. Podmioty średnie (50 lub więcej pracowników albo roczny obrót i suma bilansowa powyżej 10 mln EUR) podlegają reżimowi jako „ważne”. Podmioty duże (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) podlegają mu jako „kluczowe”. Dla centrów danych nie ma objęcia zakresem niezależnie od wielkości.

Test C

Czy stosuje się niemiecka nakładka KRITIS?

KRITIS-V ustala próg 3,5 MW obciążenia IT dla centrów danych w Niemczech. Przekroczenie go czyni obiekt KRITIS dodatkowo do NIS 2, z dodatkowymi obowiązkami (cykl audytu, sektorowe minimalne standardy). KRITIS nie jest warunkiem wejścia do NIS 2. Operator kolokacji 1 MW z 200 pracownikami jest w zakresie NIS 2, ale poza KRITIS.

Dwie reguły, które kształtują test zakresu
Pod kwestią zakresu centrum danych leżą dwie reguły interpretacyjne. Pomyl którąkolwiek z nich, a źle odczytasz reżim, w którym się znajdujesz.

Kolokacja, hosting i dedykowane kwalifikują się wszystkie

Definicja z art. 6 pkt 31 nie rozróżnia modeli dostarczania. Niezależnie od tego, czy wynajmujesz szafy (kolokacja), wynajmujesz serwery (hosting zarządzany), czy prowadzisz obiekt jednodzierżawcowy dla płacącego klienta, usługa jest w prawie ta sama: scentralizowane umieszczanie sprzętu IT i sieciowego wraz ze wspierającą dystrybucją energii i kontrolą środowiska. Obowiązki wiążą się z usługą, a nie z opakowaniem komercyjnym.

Wewnętrzne centra danych nie są usługą centrum danych

Jeżeli prowadzisz centrum danych wyłącznie dla własnej grupy, nie świadczysz usługi centrum danych w rozumieniu NIS 2. Nie ma usługi na rzecz strony trzeciej. Obiekt może nadal prowadzić do innej ścieżki objęcia zakresem (twoja grupa może być w zakresie z innego sektora ze swoimi własnymi aktywami), ale nie obejmuje cię on jako dostawcy w sektorze 8 załącznika I. Test zależy od tego, czy usługa jest sprzedawana.

Jak krajowe organy faktycznie to prowadzą
UE ustala obowiązek, państwa członkowskie transponują, organy sektorowe prowadzą codzienność. Dla centrów danych BSI jest centralnym organem NIS 2, a nakładka KRITIS to krajowy dodatek, a nie odrębny regulator.
Niemcy

BSI / §28 BSIG

BSI jest centralnym organem NIS 2. Rejestracja, ramy zarządzania ryzykiem i zgłaszanie incydentów na podstawie NIS 2 prowadzone są przez BSI. §28 BSIG nazywa dostawców usług centrum danych powyżej progu średniego przedsiębiorstwa „wichtige Einrichtungen”, a powyżej progu dużego przedsiębiorstwa „besonders wichtige Einrichtungen”.

Niemcy

BSI C5 oraz IT-Grundschutz

BSI prowadzi również istotne dla sektora poziomy bazowe. Katalog C5 (Cloud Computing Compliance Criteria) obejmuje stronę chmurową i hostingową. Moduły IT-Grundschutz INF.1 (budynek ogólny) i INF.2 (centrum komputerowe / serwerownia) są niemieckim odniesieniem wdrożeniowym dla kontroli fizycznych i środowiskowych, które art. 6 pkt 31 włącza do usługi. Audytorzy oczekują, że zobaczą je odwzorowane w twoich ramach CIR.

Cała UE

ENISA

ENISA, agencja UE ds. cyberbezpieczeństwa, koordynuje działania między państwami członkowskimi i publikuje wytyczne techniczne dotyczące wdrożenia na podstawie CIR (UE) 2024/2690. Dostawcy usług centrum danych są wymienieni w załączniku do CIR z nazwy, co oznacza, że część rozporządzenia wykonawczego wiąże centra danych bezpośrednio, bez potrzeby dalszej transpozycji krajowej.

Inne państwa członkowskie

Krajowe organy ds. cyberbezpieczeństwa

Każde państwo członkowskie ma swój własny organ NIS 2: NCSC-NL w Holandii, ANSSI we Francji, NCSC.AT w Austrii, ACN we Włoszech. Wiersz sektora 8 załącznika I oraz definicja z art. 6 pkt 31 są takie same w całej UE, ponieważ dyrektywa ustala jeden poziom minimalny. Różni się to, u kogo się rejestrujesz, którego formularza incydentu używasz oraz czy kraj nakłada na wierzchu krajowy reżim infrastruktury krytycznej (Niemcy mają KRITIS-V, inne stosują odmienne progi).

Trzy pułapki, które widzimy podczas rozmów o zakresie centrów danych
Trzy założenia, które prowadzą operatorów centrów danych do złej odpowiedzi. Wszystkie trzy wynikają z potocznego czytania „centrum danych” zamiast przez art. 6 pkt 31.

  • Prowadzimy serwerownię dla własnej firmy, więc jesteśmy dostawcą usług centrum danych.

    Nie na gruncie centrum danych. Art. 6 pkt 31 opisuje usługę. Jeżeli zasoby IT są eksploatowane wyłącznie dla własnej grupy i nie są sprzedawane stronom trzecim, nie świadczysz usługi centrum danych w rozumieniu NIS 2. Twoja grupa może nadal być w zakresie NIS 2 z własnego sektora (produkcja, energetyka, odpady, zdrowie itd.), ale wiersz centrum danych z sektora 8 załącznika I nie obejmuje wewnętrznej serwerowni.

  • Jesteśmy znacznie poniżej progu KRITIS 3,5 MW, więc NIS 2 nie ma zastosowania.

    KRITIS-V i NIS 2 to dwa reżimy z dwoma progami. Próg 3,5 MW obciążenia IT to niemiecka nakładka KRITIS. NIS 2 ma własny test wielkości z art. 2 ust. 1: średni od chwili przekroczenia 50 pracowników lub 10 mln EUR obrotu i sumy bilansowej. Operator kolokacji z 200 pracownikami przy 1 MW obciążenia IT jest w zakresie NIS 2, ale nie w KRITIS. Ustalenie „poza KRITIS” nie jest ustaleniem „poza NIS 2”.

  • Robimy tylko kolokację, serwery należą do klienta, więc nie świadczymy usługi centrum danych.

    Kolokacja jest jednym z podręcznikowych modeli dostarczania usługi z art. 6 pkt 31. Definicja obejmuje struktury przeznaczone do scentralizowanego umieszczania sprzętu IT i sieciowego wraz z dystrybucją energii i kontrolą środowiska. Nie wymaga, by szafy należały do ciebie. Sprzedaż powierzchni w szafie, energii i chłodzenia jest usługą. Argument o serwerach należących do klienta nie zmienia klasyfikacji prawnej.

Jak operator centrum danych średniej wielkości faktycznie to przechodzi

Regionalny operator kolokacji z 60 pracownikami, dwiema halami i około 2 MW łącznego obciążenia IT jest wyraźnie w zakresie NIS 2 jako „wichtige Einrichtung”. Sektor 8 załącznika I nazywa sektor. Art. 6 pkt 31 obejmuje usługę od początku do końca, włącznie z usługami budynkowymi. Test wielkości z art. 2 ust. 1 plasuje firmę powyżej progu średniego przedsiębiorstwa. Próg KRITIS-V 3,5 MW obciążenia IT nie jest przekroczony, więc nakładka KRITIS nie ma zastosowania. Operator prowadzi pełne ramy zarządzania ryzykiem NIS 2, ale nie przejmuje cyklu audytu KRITIS.

Co widzimy w praktyce: rejestr ryzyka zaczyna się od usług budynkowych (zasilanie z sieci, łańcuchy UPS, czas pracy generatora i paliwo, redundancja chłodzenia, gaszenie pożarów, dostęp fizyczny), a następnie nakłada na wierzchu zasoby IT i sieci (przełączanie rdzeniowe, klatki klientów, zarządzanie poza pasmem (OOB), monitoring). Ramy zarządzania ryzykiem z §2 CIR działają na tym połączonym inwentarzu. Proporcjonalność z art. 21 ust. 1 ma zastosowanie, więc regionalny operator z 60 pracownikami nie wdraża na głębokości regionu hiperskalera. Etapowanie jest spisane, uzasadnione obrazem ryzyka i zatwierdzone przez kierownictwo.

Jak platforma pomaga ci zdecydować

Nasze sprawdzenie stosowalności przechodzi ścieżkę centrum danych krok po kroku. Pyta, czy sprzedajesz usługę stronom trzecim, jak skonstruowany jest model dostarczania (kolokacja, hosting, dedykowane), jaka jest twoja liczba pracowników i obrót oraz gdzie plasujesz się względem niemieckiego progu KRITIS-V. Wynik nazywa wiersz załącznika I, klasyfikację BSIG („wichtig” lub „besonders wichtig”) oraz czy nakładka KRITIS ma zastosowanie na wierzchu.

Inwentarz aktywów pozwala modelować usługi budynkowe (zasilanie z sieci, UPS, generator, chłodzenie, gaszenie pożarów, dostęp fizyczny) oraz zasoby IT i sieci na jednej liście. Ramy zarządzania ryzykiem z §2 CIR działają na tym inwentarzu, więc ta sama lista aktywów zasila zarówno ścieżkę NIS 2, jak i, jeżeli przekroczysz 3,5 MW obciążenia IT, audyt KRITIS bez podwójnego utrzymania.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), sektor 8 załącznika I oraz art. 6 pkt 31 definicja usługi centrum danych — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Dyrektywa (UE) 2022/2555 (NIS 2), test wielkości z art. 2 ust. 1 odsyłający do zalecenia Komisji 2003/361/WE — eur-lex.europa.eu/eli/reco/2003/361/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik (dostawcy usług centrum danych wymienieni z nazwy) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ustawa o BSI (BSIG), §28 w brzmieniu ustawy o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
  • KRITIS-Verordnung (BSI-KritisV), sektor Informationstechnik und Telekommunikation, próg 3,5 MW obciążenia IT dla centrów danych
  • BSI IT-Grundschutz, moduły INF.1 (Allgemeines Gebäude) i INF.2 (Rechenzentrum sowie Serverraum); katalog chmurowy BSI C5 — bsi.bund.de
Sprawdź zakres swojego centrum danych w trzy minuty
Darmowe sprawdzenie stosowalności przechodzi za ciebie art. 6 pkt 31, test wielkości z art. 2 ust. 1 oraz nakładkę KRITIS-V. Darmowe, open source, bez lock-in.
Otwórz darmowe sprawdzenie stosowalności