Czy jesteśmy podmiotem administracji publicznej na gruncie NIS 2?
Administracja publiczna sytuuje się w sektorze 10 załącznika I do NIS 2 oraz w artykule 2 ust. 2 lit. f. Administracja rządowa na szczeblu centralnym jest objęta niezależnie od wielkości. Administracja na szczeblu regionalnym jest objęta, jeżeli twoje państwo członkowskie przeprowadziło ocenę opartą na ryzyku. Wyłączenia w artykule 2 ust. 5 do 7 są wąskie i funkcjonalne, a nie instytucjonalne.
Wersja skrócona
Administracja publiczna mieści się w sektorze 10 załącznika I do NIS 2. Test wielkości, który wyłącza małe prywatne spółki, tu nie obowiązuje. Artykuł 2 ust. 2 lit. f stanowi, że podmioty administracji publicznej szczebla centralnego są objęte niezależnie od wielkości, a podmioty administracji publicznej na szczeblu regionalnym są objęte, jeżeli państwo członkowskie wskazało je w następstwie oceny opartej na ryzyku.
Dyrektywa wyłącza następnie określone rodzaje działalności, a nie określone instytucje. Artykuł 2 ust. 5 wyłącza bezpieczeństwo narodowe, obronę, bezpieczeństwo publiczne, ściganie przestępstw i działalność wymiaru sprawiedliwości. Artykuł 2 ust. 7 wyłącza parlamenty i banki centralne. Organ policji prowadzący wewnętrzne IT kadrowe i finansowe jest objęty w odniesieniu do tego IT. Ten sam organ jest poza zakresem w odniesieniu do swoich operacyjnych systemów ścigania przestępstw. Decyduje funkcja, a nie szyld na drzwiach.
W Niemczech §28 BSIG operacjonalizuje regułę dla Bundesverwaltung. §29 BSIG daje krajom związkowym podstawę prawną do objęcia zakresem ich Landes- i Kommunalverwaltung. Dopóki kraj związkowy nie skorzysta z §29 BSIG, gminy w tym kraju związkowym są formalnie poza zakresem, mimo że każda agenda konferencji NIS 2 traktuje je jako objęte. Przeczytaj swoją Landes-Cybersicherheitsgesetz, zanim określisz własny zakres.
Artykuł 2 ust. 2 lit. f dyrektywy NIS 2 (2022/2555)
Niniejsza dyrektywa ma zastosowanie do podmiotów rodzaju, o którym mowa w załączniku I lub II, niezależnie od ich wielkości, gdy podmiot jest podmiotem administracji publicznej (i) szczebla centralnego, zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym; lub (ii) na szczeblu regionalnym, zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym, który, w następstwie oceny opartej na ryzyku, świadczy usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą.
Dosłownie z Dz.U. L 333/110. Dwie połowy. Administracja szczebla centralnego jest objęta automatycznie. Administracja na szczeblu regionalnym jest objęta dopiero po przeprowadzeniu przez państwo członkowskie oceny opartej na ryzyku i wskazaniu podmiotów. Test wielkości z artykułu 2 ust. 1 nie obowiązuje wobec żadnej z nich.
Artykuł 2 ust. 5 dyrektywy NIS 2 (wyłączenia)
Niniejsza dyrektywa nie ma zastosowania do podmiotów administracji publicznej, które prowadzą działalność w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obrony lub ścigania przestępstw, w tym zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw.
Wyłączenie ma charakter funkcjonalny. Wyłączenie podąża za działalnością, a nie za instytucją. Federalny organ policji jest poza zakresem w odniesieniu do swoich systemów ścigania przestępstw i objęty w odniesieniu do swojego korporacyjnego IT. Artykuł 2 ust. 7 dodaje parlamenty i banki centralne. Artykuł 2 ust. 6 pozwala państwom członkowskim wyłączyć podmioty, które prowadzą działalność na podstawie artykułu 2 ust. 5 wyłącznie w tych obszarach.
§28 i §29 BSIG (Niemcy)
§28 BSIG transponuje regułę szczebla centralnego i wiąże Einrichtungen der Bundesverwaltung. §29 BSIG upoważnia kraje związkowe do objęcia zakresem Einrichtungen der Landes- und Kommunalverwaltung poprzez ich własne Landes-Cybersicherheitsgesetze, w następstwie oceny opartej na ryzyku wymaganej przez artykuł 2 ust. 2 lit. f ppkt (ii) NIS 2.
Dwie niemieckie kotwice, a nie jedna. Bundesverwaltung jest objęta na mocy prawa federalnego. Landesverwaltung i Kommunalverwaltung czekają na ustawodawstwo krajów związkowych. Niektóre kraje związkowe opublikowały już projekty Landes-Cybersicherheitsgesetze; inne nie. Status prawny gminy zależy od tego, w którym kraju związkowym się ona mieści.
Administracja rządowa szczebla centralnego
Podmioty administracji publicznej szczebla centralnego, zdefiniowane przez prawo krajowe, są objęte niezależnie od wielkości. Ministerstwa federalne, agencje federalne, organy federalne. Brak progu wielkości. W Niemczech jest to Bundesverwaltung na podstawie §28 BSIG. Etykietę 'centralny' ustala prawo krajowe, więc lista różni się między państwami członkowskimi, lecz reguła strukturalna jest taka sama.
Administracja na szczeblu regionalnym
Podmioty administracji publicznej na szczeblu regionalnym są objęte tylko wtedy, gdy państwo członkowskie wskazało je w następstwie oceny opartej na ryzyku. Dyrektywa nie wyznacza ich automatycznie. W Niemczech kraje związkowe korzystają z §29 BSIG i swoich Landes-Cybersicherheitsgesetze, by przeprowadzić to wskazanie i objąć zakresem Landesverwaltung i Kommunalverwaltung. Dopóki właściwy kraj związkowy nie podjął działania, podmioty regionalne są formalnie poza dyrektywą.
Wyłączenia funkcjonalne
Artykuł 2 ust. 5 wyłącza działalność w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego, obrony i ścigania przestępstw. Artykuł 2 ust. 7 wyłącza parlamenty i banki centralne. Wyłączenie wiąże się z działalnością, a nie z instytucją. Ogólne IT administracyjne ministerstwa pozostaje objęte. System zarządzania sprawami sił policyjnych jest poza zakresem. Udokumentuj, które systemy sytuują się po której stronie linii.
Wielkość nie obowiązuje
Test wielkości z artykułu 2 ust. 1 (50 pracowników, 10 milionów euro) nie obowiązuje wobec administracji publicznej. Artykuł 2 ust. 2 lit. f to przesłanka obejmująca niezależnie od wielkości. Dwunastoosobowy organ federalny jest objęty. Czteroosobowy Bundesoberbehörde jest objęty. Jedyne filtry to 'czy jest to administracja szczebla centralnego', 'czy jest to administracja na szczeblu regionalnym, którą państwo członkowskie wskazało' oraz 'czy ta działalność jest wyłączona artykułem 2 ust. 5 lub 7'.
Wyłączenia podążają za funkcją, a nie za instytucją
Motyw 8 czyni to wyraźnym. Wyłączenia w artykule 2 ust. 5 nie są blankietową przepustką dla policji, obrony i służb wywiadowczych. Obejmują działalność w tych obszarach. Ten sam organ może być poza zakresem w odniesieniu do swoich systemów operacyjnych i objęty w odniesieniu do swojego korporacyjnego IT, systemów kadrowych, systemów finansowych i systemów obsługujących dostawców. Zmapuj swoją działalność, a następnie zmapuj swoje systemy względem niej.
BSI / §28 BSIG
BSI jest organem właściwym dla Bundesverwaltung na podstawie §28 BSIG. Ministerstwa i agencje federalne są objęte na mocy prawa federalnego, bez testu wielkości, bez przystąpienia na zasadzie opt-in. BSI publikuje szczególne Verwaltungsvorschriften i profile IT-Grundschutz dla organów federalnych (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
§29 BSIG upoważnia każdy kraj związkowy do ustanowienia, które podmioty Landes- i Kommunalverwaltung podlegają zakresowi. Kraj związkowy przeprowadza ocenę opartą na ryzyku wymaganą przez artykuł 2 ust. 2 lit. f ppkt (ii). Dopóki takie ustawodawstwo nie istnieje, federalna BSIG nie wiąże podmiotów regionalnych. Sprawdź, czy twój kraj związkowy opublikował projekt Cybersicherheitsgesetz, zanim ustalisz zakres gminy.
Tracker transpozycji NIS 2 ENISA
ENISA publikuje stronę transpozycji NIS 2, która wymienia krajowe ustawy, organy właściwe w poszczególnych państwach członkowskich oraz krajowe decyzje o zakresie dla administracji publicznej. To najczytelniejsze pojedyncze źródło dla organów transgranicznych lub organizacji usług wspólnych ustalających, z którym regulatorem składają zgłoszenia w każdym kraju.
Krajowe ustawy transponujące
Artykuł 2 ust. 2 lit. f wiąże administrację publiczną w całej UE. NL obejmuje to poprzez Cyberbeveiligingswet, FR poprzez Ordonnance n° 2024-1093, AT poprzez NISG. Reguła dyrektywy obejmująca niezależnie od wielkości jest wszędzie taka sama. Każde państwo członkowskie decyduje, co liczy się jako szczebel centralny i które podmioty regionalne przechodzą ocenę opartą na ryzyku.
Jesteśmy gminą, więc automatycznie podlegamy NIS 2.
Nie na mocy samego prawa federalnego. §28 BSIG wiąże Bundesverwaltung. Landes- i Kommunalverwaltung wchodzą w zakres poprzez §29 BSIG i właściwą Landes-Cybersicherheitsgesetz, po przeprowadzeniu przez kraj związkowy oceny opartej na ryzyku wymaganej przez artykuł 2 ust. 2 lit. f ppkt (ii). Sprawdź status swojego kraju związkowego, zanim coś założysz.
Prowadzimy działalność w zakresie ścigania przestępstw, więc jesteśmy poza NIS 2.
Wyłączenie z artykułu 2 ust. 5 ma charakter funkcjonalny. Obejmuje działalność w zakresie ścigania przestępstw, a nie całą instytucję. Organ policji jest poza zakresem w odniesieniu do swoich systemów zarządzania sprawami i systemów nadzoru, a objęty w odniesieniu do swojego IT kadrowego, finansowego, zamówieniowego i ogólnoadministracyjnego. Ten sam organ, dwa zakresy. Udokumentuj linię w podziale na systemy.
Nasze Stadtwerk jest własnością gminy, więc podlega administracji publicznej w sektorze 10.
Własność nie przenosi Stadtwerk do sektora 10. Przedsiębiorstwo użyteczności publicznej będące własnością gminy podlega NIS 2 poprzez sektory 1 (energetyka), 6 (woda pitna), 7 (ścieki) lub 8 (infrastruktura cyfrowa) załącznika I, ze zwykłym testem wielkości z artykułu 2 ust. 1. Sektor 10 dotyczy podmiotów administracji publicznej zdefiniowanych przez państwo członkowskie, a nie operatorów komercyjnych będących własnością państwa.
Typowy przypadek: agencja federalna z 90 pracownikami. Stosuje się artykuł 2 ust. 2 lit. f ppkt (i) (Bundesverwaltung), więc test wielkości nigdy się nie uruchamia. Agencja prowadzi ogólne IT administracyjne i jedną wyspecjalizowaną platformę wspierającą koordynację federalnego ścigania przestępstw. Artykuł 2 ust. 5 wyłącza platformę ścigania przestępstw. IT administracyjne pozostaje objęte. Wynik: jedna Anwendbarkeitsprüfung, która wymienia, które systemy podlegają §30 BSIG, a które sytuują się za wyłączeniem, wraz z podpisem organu zarządzającego.
Typowy przypadek na szczeblu regionalnym: gmina z 220 pracownikami w kraju związkowym, który nie przyjął jeszcze swojej Landes-Cybersicherheitsgesetz. Formalnie poza NIS 2 dzisiaj. Praktycy mimo to budują podstawę (rejestr ryzyka, listę dostawców, proces obsługi incydentów), ponieważ projekt ustawy jest w konsultacjach, a obowiązki wejdą w życie w 2026 lub 2027 roku. Potraktuj rok przerwy jako przygotowanie, a nie wakacje.
Test stosowalności przeprowadza przez trzy elementy w kolejności: czy jesteś administracją szczebla centralnego, czy jesteś podmiotem regionalnym, który twoje państwo członkowskie wskazało, oraz która z twoich działalności sytuuje się za wyłączeniem z artykułu 2 ust. 5 lub 7. Odpowiadasz na pytania raz i otrzymujesz pisemną Anwendbarkeitsprüfung, która nazywa zaczepienie prawne (§28 BSIG, §29 BSIG wraz z twoją Landesgesetz lub poza zakresem) oraz wyłączone systemy.
Wynik nie jest odpowiedzią tak/nie. To uzasadnienie: który przepis ma zastosowanie, co państwo członkowskie zdecydowało w sprawie podmiotów regionalnych oraz które systemy sytuują się po której stronie funkcjonalnego wyłączenia. Podpisany przez organ zarządzający, przechowywany ze ścieżką audytową, przypięty wersją do tekstu unijnego i BSIG, które cytujemy.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 ust. 2 lit. f, artykuł 2 ust. 5 do 7, motywy 7 i 8, załącznik I sektor 10 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ustawa o BSI (BSIG), §28 (Bundesverwaltung) i §29 (Länder) w brzmieniu nadanym ustawą NIS2-Umsetzungsgesetz
- Tracker transpozycji NIS 2 ENISA — enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (per kraj związkowy, projekty i ustawy przyjęte)