Anhang I Sektor 9 NIS 2

Czy jesteśmy dostawcą usług zarządzanych (Managed Service Provider) w rozumieniu NIS 2?

NIS 2 dodała MSP jako nowy sektor, którego nie było w NIS 1. Jeżeli zdalnie prowadzisz IT klienta, najprawdopodobniej podlegasz przepisom. Sektor 9 załącznika I nazywa tę działalność. Art. 6 pkt 39 definiuje, co się liczy. Test wielkości nadal obowiązuje, z jednym wąskim wyjątkiem, który nie obejmuje większości MSP.

Simon OrzelSimon Orzel·

Wersja skrócona

NIS 1 w ogóle nie traktowała MSP jako kategorii. Dyrektywa z 2022 r. ich dodała. Sektor 9 załącznika I wymienia zarządzanie usługami ICT w relacji business-to-business, a art. 6 pkt 39 podaje definicję prawną: podmiot świadczący usługi związane z instalacją, zarządzaniem, prowadzeniem lub utrzymaniem produktów ICT, sieci, infrastruktury, aplikacji lub jakichkolwiek innych sieci i systemów informatycznych, w drodze wsparcia lub aktywnej administracji prowadzonej zarówno w siedzibie klienta, jak i zdalnie. Jeżeli to opisuje twoją działalność, najprawdopodobniej jesteś MSP objętym przepisami.

MSP i MSSP to dwie odrębne kategorie. Art. 6 pkt 39 definiuje MSP. Art. 6 pkt 40 definiuje MSSP jako dostawcę usług zarządzanych, który prowadzi działania związane z zarządzaniem ryzykiem w cyberbezpieczeństwie lub udziela w nich wsparcia. Oba znajdują się w sektorze 9 załącznika I. Podmiot może być jednocześnie jednym i drugim. Większość ogólnych firm informatycznych to MSP, a nie MSSP. Czysty SOC lub firma od testów penetracyjnych to MSSP.

Test wielkości nadal obowiązuje. NIS 2 normalnie ma zastosowanie do przedsiębiorstw średnich i większych: co najmniej 50 pracowników albo ponad 10 mln euro obrotu i sumy bilansowej, zgodnie z art. 2 ust. 1 oraz zaleceniem 2003/361/WE. Art. 2 ust. 2 lit. g) wyodrębnia wąski zestaw sektorów, w których wielkość nie warunkuje objęcia zakresem, ale to odstępstwo obejmuje DNS, rejestry TLD, kwalifikowanych dostawców usług zaufania i kilka innych typów infrastruktury cyfrowej. Nie wciąga ono małych MSP niezależnie od wielkości. Mały MSP poniżej testu wielkości pozostaje poza zakresem NIS 2.

Źródło prawne
Załącznik I wymienia zarządzanie usługami ICT jako sektor. Art. 6 pkt 39 definiuje MSP. Art. 2 ust. 1 oraz zalecenie 2003/361/WE ustalają test wielkości. §28 BSIG to niemieckie wejście do zakresu, a Anlage 1 wymienia MSP wprost.

Dyrektywa NIS 2 (2022/2555), sektor 9 załącznika I

Zarządzanie usługami ICT (business-to-business): dostawcy usług zarządzanych; dostawcy usług zarządzanych w zakresie bezpieczeństwa.

NIS 1 w ogóle nie zawierała tego sektora. NIS 2 wprowadziła go jako nową kategorię, co stanowi jedno z największych praktycznych rozszerzeń zakresu w dyrektywie. Zarówno MSP, jak i MSSP mieszczą się w tym samym koszyku sektora 9 załącznika I. Kwalifikator „business-to-business” ma znaczenie: obsługa konsumentów nie jest objęta sektorem 9, obsługa innych przedsiębiorstw jest.

Art. 6 pkt 39 dyrektywy NIS 2 (definicja MSP)

Dostawca usług zarządzanych oznacza podmiot świadczący usługi związane z instalacją, zarządzaniem, prowadzeniem lub utrzymaniem produktów ICT, sieci, infrastruktury, aplikacji lub jakichkolwiek innych sieci i systemów informatycznych, w drodze wsparcia lub aktywnej administracji prowadzonej zarówno w siedzibie klienta, jak i zdalnie.

Art. 6 pkt 40 dodaje definicję MSSP: dostawca usług zarządzanych, który prowadzi działania związane z zarządzaniem ryzykiem w cyberbezpieczeństwie lub udziela w nich wsparcia. Dyrektywa celowo dobiera czasowniki: instalacja, zarządzanie, prowadzenie, utrzymanie, aktywna administracja. Sprzedaż produktu bez bieżącego prowadzenia nie spełnia definicji. Help desk, który resetuje hasła, ale nie prowadzi systemów, również jej nie spełnia.

§28 BSIG (Niemcy), sektor Anlage 1 „Digitale Infrastruktur”

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§28 BSIG wraz z Anlage 1 do BSIG wymienia wprost „Anbieter von verwalteten Diensten” (MSP) oraz „Anbieter von verwalteten Sicherheitsdiensten” (MSSP) w sektorze Digitale Infrastruktur, który odpowiada sektorowi 9 załącznika I NIS 2. Sektorowe FAQ BSI dodaje przydatne wyjaśnienie robocze: czysty hosting stron internetowych nie czyni cię MSP, a jednorazowe przekazanie projektu również nie. Liczy się bieżąca aktywna administracja.

Trzy pytania do rozstrzygnięcia
Trzy testy w kolejności. Najpierw usługa, potem wielkość, na końcu MSP a MSSP. Pierwsze dwa decydują, czy NIS 2 ma zastosowanie. Trzeci decyduje, w której podkategorii się znajdujesz.
Usługa

Czy aktywnie prowadzisz IT klienta?

Art. 6 pkt 39 wymienia czasowniki, które się liczą: instalacja, zarządzanie, prowadzenie, utrzymanie, aktywna administracja. Wykonywane w siedzibie klienta lub zdalnie. Relacja z klientem musi być bieżąca, a nie jednorazową instalacją. Czysty hosting stron internetowych bez administracji jest poza zakresem. Sprzedaż licencji na oprogramowanie i odejście jest poza zakresem. Prowadzenie zarządzanego firewalla, łatanie serwerów klienta, prowadzenie jego dzierżawy Microsoft 365, zdalne zarządzanie urządzeniami końcowymi: wszystko w zakresie.

Wielkość

Czy jesteś średnim przedsiębiorstwem lub większym?

Art. 2 ust. 1 wraz z zaleceniem 2003/361/WE: co najmniej 50 pracowników albo ponad 10 mln euro obrotu i sumy bilansowej. Test stosuje się do podmiotu prawnego. Art. 2 ust. 2 lit. g) wymienia wąskie odstępstwa sektorowe, w których wielkość nie warunkuje objęcia zakresem, ale MSP nie ma na tej liście odstępstw. Odstępstwo dotyczy dostawców usług DNS, rejestrów nazw TLD, kwalifikowanych dostawców usług zaufania i kilku innych typów infrastruktury cyfrowej. Mały MSP poniżej testu wielkości pozostaje poza zakresem, kropka.

MSP a MSSP

Czy świadczysz także usługi w zakresie bezpieczeństwa?

Art. 6 pkt 40 definiuje MSSP jako dostawcę usług zarządzanych, który prowadzi działania związane z zarządzaniem ryzykiem w cyberbezpieczeństwie lub udziela w nich wsparcia. SOC, usługa zarządzanego wykrywania i reagowania (managed detection and response), usługa testów penetracyjnych z bieżącym wsparciem w usuwaniu podatności, usługa zarządzania podatnościami: to są działania MSSP. Ogólna firma informatyczna, która prowadzi serwery i urządzenia końcowe, jest MSP. Firma, która dodatkowo prowadzi warstwę bezpieczeństwa, jest jednym i drugim. Załącznik I domyślnie traktuje oba jako „wichtige Einrichtung” na podstawie §28 ust. 2 BSIG.

Dwie zasady, które rozstrzygają większość przypadków granicznych
Obie wynikają bezpośrednio z brzmienia art. 6 pkt 39. Obie rozstrzygają przypadki, które na pierwszy rzut oka wydają się niejednoznaczne.

„Zarządzany” to szeroka lista czasowników, a nie etykieta marketingowa

Niektóre podmioty nie nazywają się MSP, a mimo to spełniają definicję. Niektóre nazywają się MSP, a jej nie spełniają. Testem prawnym jest lista czasowników z art. 6 pkt 39: instalacja, zarządzanie, prowadzenie, utrzymanie, aktywna administracja produktów ICT, sieci, infrastruktury, aplikacji lub systemów na rzecz innych podmiotów. Jeżeli te czasowniki opisują to, co robisz w sposób powtarzalny, jesteś MSP w rozumieniu NIS 2 niezależnie od tego, czy twoja strona internetowa tak twierdzi.

Twoje własne wewnętrzne IT nie czyni cię MSP

Prowadzenie IT dla siebie nie jest usługą zarządzaną. Klientem musi być ktoś inny. Wewnętrzne działy IT obsługujące własnego pracodawcę nie są objęte zakresem jako MSP. Odrębna spółka usługowa wewnątrz grupy, która prowadzi IT dla podmiotów siostrzanych, to inna kwestia i zwykle się liczy, ponieważ podmioty siostrzane są prawnie odrębnymi stronami. Zob. stronę o IT grupowym dla tego przypadku.

Jak prowadzą to krajowe organy regulacyjne
Definicja MSP jest prawem unijnym w art. 6 pkt 39, więc jest taka sama w każdym państwie członkowskim. Różni się to, u którego organu się rejestrujesz i jak rygorystycznie odczytują ją wytyczne sektorowe.
Niemcy

BSI / §28 BSIG i Anlage 1

BSI jest organem ds. cyberbezpieczeństwa dla MSP w Niemczech. Anlage 1 do BSIG wymienia „Anbieter von verwalteten Diensten” oraz „Anbieter von verwalteten Sicherheitsdiensten” w sektorze Digitale Infrastruktur, co odpowiada bezpośrednio sektorowi 9 załącznika I NIS 2. Sektorowe FAQ BSI zawiera najprzydatniejszy tekst roboczy: czysty hosting stron internetowych nie jest MSP, jednorazowy projekt nie jest MSP, bieżąca aktywna administracja jest. Portal rejestracyjny na podstawie §33 BSIG to miejsce, w którym rejestrują się MSP powyżej testu wielkości.

Cała UE

Wytyczne techniczne ENISA dotyczące wdrożenia

TIG ENISA obejmuje działania MSP i MSSP w rozdziale dotyczącym sektora 9 załącznika I i odwzorowuje środki z art. 21 na operacje prowadzone przez typowy MSP. Tabela odwzorowań TIG zawiera odniesienia do ISO 27001, NIST CSF 2.0 i ETSI 319 401, więc MSP prowadzące już ISMS lub operację zgodną z ETSI mogą ponownie wykorzystać większość tej pracy.

Inne państwa członkowskie

MSP w NL, AT, BE i pozostałych

Art. 6 dyrektywy to jeden zestaw definicji dla całej UE. Inne transpozycje kopiują brzmienie: Austria przez NISG, Holandia przez Cyberbeveiligingswet, Belgia przez NIS2-Wet. MSP obsługujący klientów transgranicznie jest objęty zakresem wszędzie tam, gdzie ma jednostkę organizacyjną, i rejestruje się w każdym państwie członkowskim, w którym świadczy usługę. Sama definicja merytoryczna nie zmienia się między krajami.

Trzy pułapki, które widzimy niemal co tydzień
Wszystkie trzy pojawiają się w rozmowach z MSP próbującymi rozstrzygnąć kwestię swojego zakresu. Wszystkie trzy są błędne.

  • My tylko reagujemy na zgłoszenia, tak naprawdę nie zarządzamy systemami klienta.

    Jeżeli zgłoszenia obejmują instalowanie, konfigurowanie, łatanie lub prowadzenie systemów klienta w sposób bieżący, to jest to aktywna administracja w rozumieniu art. 6 pkt 39. Reaktywność nie oznacza pozostawania poza zakresem. Help desk, który jedynie resetuje hasła bez ingerencji w systemy bazowe, jest wąskim wyjątkiem. Help desk, który łata Windows, restartuje usługi lub wypycha konfigurację urządzeń końcowych, świadczy usługi zarządzane.

  • Jesteśmy za mali, by podlegać zakresowi, ale odstępstwo i tak nas wciąga.

    Art. 2 ust. 2 lit. g) nie wciąga małych MSP niezależnie od wielkości. Odstępstwo dotyczy dostawców usług DNS, rejestrów nazw TLD, kwalifikowanych dostawców usług zaufania, dostawców publicznych sieci łączności elektronicznej i usług oraz kilku innych typów infrastruktury cyfrowej. MSP nie ma na tej liście. Mały MSP poniżej testu wielkości (poniżej 50 pracowników i nieprzekraczający progów obrotu i sumy bilansowej) pozostaje poza zakresem samej NIS 2, nawet jeżeli umowy z klientami nadal mogą wymagać wykazania środków z art. 21 na podstawie klauzuli dotyczącej łańcucha dostaw.

  • Obsługujemy tylko własną grupę, więc jesteśmy wewnętrznym działem IT.

    Jeżeli podmioty, które obsługujesz, są prawnie odrębne od twojej spółki usługowej, nawet wewnątrz tej samej grupy, to są to usługi na rzecz innych stron w rozumieniu art. 6 pkt 39. Centralna spółka usługowa IT (GmbH), która prowadzi infrastrukturę dla siostrzanych spółek (GmbH), jest MSP w odczycie NIS 2. Odrębna strona o IT grupowym omawia ten przypadek bardziej szczegółowo.

Jak to wygląda w praktyce

Typowy MSP ze średniego segmentu rynku, z 70 pracownikami, około 80 klientami z sektora MŚP i miksem usług obejmującym zarządzane urządzenia końcowe, administrację Microsoft 365, zarządzane firewalle i łatanie serwerów klienta, znajduje się jednoznacznie w zakresie NIS 2. Sektor 9 załącznika I obejmuje tę działalność. Art. 6 pkt 39 obejmuje czasowniki. Test wielkości jest komfortowo zdany przy 70 pracownikach. Domyślna klasyfikacja na podstawie §28 ust. 2 BSIG to „wichtige Einrichtung”.

Rejestr ryzyka na podstawie §30 musi obejmować infrastrukturę zarządzania, która styka się z systemami klienta: narzędzia RMM, hosty pośredniczące (jump hosts), stos SOC, jeżeli go prowadzisz, stos dostępu uprzywilejowanego. Kaskada zgłaszania incydentów na podstawie §32 ma zastosowanie, gdy incydent dotyka twojej własnej infrastruktury lub, w dalszej kolejności, klientów, którymi administrujesz. Rejestracja na podstawie §33 to jedno zgłoszenie do BSI dla całego podmiotu prawnego. Umowy z klientami wymagają następnie klauzul z art. 21 ust. 2 lit. d) wskazujących na te same środki, i tu zgodność łańcucha dostaw spotyka się ze zgodnością MSP.

Jak obsługujemy to na platformie

Sprawdzenie stosowalności przeprowadza MSP wprost przez przypadek sektora 9 załącznika I. Zaznaczasz czasowniki usługowe, które prowadzisz, platforma stosuje test wielkości i wskazuje, do którego koszyka §28 BSIG trafiasz. Jeżeli prowadzisz także usługi w zakresie bezpieczeństwa, równolegle oferuje gałąź MSSP, nie zmuszając cię do wyboru jednego albo drugiego.

Portal dostawców obsługuje drugą stronę umowy. Klientom, którzy kupują od ciebie usługi zarządzane, można udostępnić ustrukturyzowany kwestionariusz i opublikowane podsumowanie środków z art. 21, tak aby jeden dowód obejmował wszystkie klauzule umowne, które w przeciwnym razie wysyłałbyś w plikach PDF do każdego klienta z osobna.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), sektor 9 załącznika I (zarządzanie usługami ICT B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 6 pkt 39 (definicja dostawcy usług zarządzanych) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 6 pkt 40 (definicja dostawcy usług zarządzanych w zakresie bezpieczeństwa) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 2 ust. 1 i art. 2 ust. 2 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw
  • Ustawa o BSI (BSIG), §28 i Anlage 1 sektor Digitale Infrastruktur, w brzmieniu ustawy o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
  • Sektorowe FAQ BSI dotyczące Anlage 1 Nr. 6.1.10 (Managed Services Provider) — bsi.bund.de
Uruchom sprawdzenie stosowalności dla MSP
Przejdź czasowniki z art. 6 pkt 39 względem swojego rzeczywistego portfela usług. Uzyskaj jedną odpowiedź dla całego podmiotu prawnego, z równoległymi gałęziami MSP i MSSP. Darmowe, open source, bez lock-in.
Otwórz sprawdzenie stosowalności