Czy jestem dostawcą usług telekomunikacyjnych według NIS 2?
NIS 2 wymienia telekomunikację w sektorze 8 załącznika I (infrastruktura cyfrowa). Artykuł 2 ust. 2 lit. a) następnie usuwa próg wielkości, więc obowiązki mają zastosowanie do każdego dostawcy działającego publicznie, dużego lub małego. Definicje pochodzą z Europejskiego kodeksu łączności elektronicznej, a nie z potocznego użycia.
Wersja skrócona
Jeśli prowadzisz publiczną sieć łączności elektronicznej lub świadczysz publicznie dostępną usługę łączności elektronicznej, jesteś w zakresie NIS 2. Sektor 8 załącznika I wymienia cię bezpośrednio w ramach infrastruktury cyfrowej.
Artykuł 2 ust. 2 lit. a) dyrektywy następnie usuwa zwykły próg wielkości dla telekomunikacji. Nie ma znaczenia, czy masz 5 pracowników, czy 500. Wyzwalaczem jest rola usługi publicznej, a nie liczba zatrudnionych. Mały regionalny ISP, mały odsprzedawca VoIP i krajowy operator komórkowy są wszyscy w zakresie na tej samej podstawie.
Niemcy ujmują to w prawie krajowym poprzez § 28 BSIG wraz z Telekommunikationsgesetz (TKG). Niektóre obowiązki operacyjne przebiegają przez Bundesnetzagentur (BNetzA), a nie bezpośrednio przez BSI. Ta strona omawia dyrektywę, definicje sektorowe UE oraz niemiecką transpozycję w tej kolejności.
Dyrektywa NIS 2 (2022/2555), załącznik I sektor 8 oraz art. 2 ust. 2 lit. a)
Sektor 8 Infrastruktura cyfrowa: dostawcy publicznych sieci łączności elektronicznej; dostawcy publicznie dostępnych usług łączności elektronicznej. Niniejszą dyrektywę stosuje się również do podmiotów, niezależnie od ich wielkości, które spełniają którekolwiek z następujących kryteriów: a) dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej.
Dwa elementy trzeba czytać razem. Sektor 8 załącznika I wymienia telekomunikację jako infrastrukturę kluczową. Artykuł 2 ust. 2 lit. a) następnie tworzy włączenie niezależne od wielkości dla tych samych dostawców usług telekomunikacyjnych. Zwykły próg średniego przedsiębiorstwa (50 pracowników lub 10 mln EUR obrotu) nie ma tu zastosowania.
Dyrektywa (UE) 2018/1972 (Europejski kodeks łączności elektronicznej), art. 2
"Publiczna sieć łączności elektronicznej" oznacza sieć łączności elektronicznej wykorzystywaną w całości lub głównie do świadczenia publicznie dostępnych usług łączności elektronicznej. "Publicznie dostępna usługa łączności elektronicznej" oznacza usługę zwykle świadczoną za wynagrodzeniem za pośrednictwem sieci łączności elektronicznej, która obejmuje usługę dostępu do internetu, usługę łączności interpersonalnej oraz usługi polegające w całości lub głównie na przekazywaniu sygnałów.
NIS 2 nie redefiniuje tych pojęć. Zapożycza je z Europejskiego kodeksu łączności elektronicznej (EECC). "Publicznie dostępna" to kluczowe słowo: usługa, którą sprzedajesz ogółowi społeczeństwa, liczy się; wewnętrzny korporacyjny VoIP, który prowadzisz wyłącznie dla własnego personelu, nie.
§ 28 BSIG oraz Telekommunikationsgesetz (TKG), Niemcy
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Niemcy transponują obowiązki telekomunikacyjne poprzez § 28 BSIG w połączeniu z TKG. BSI jest centralnym organem NIS 2, ale Bundesnetzagentur (BNetzA) zajmuje się operacyjną regulacją sektorową dla dostawców usług telekomunikacyjnych (środki bezpieczeństwa na podstawie dawnego § 109 TKG, zgłoszenia incydentów, rejestracja usług). Spodziewaj się kontaktu z oboma.
Czy prowadzisz sieć publiczną?
Publiczna sieć łączności elektronicznej to sieć wykorzystywana w całości lub głównie do świadczenia usług ogółowi społeczeństwa: światłowód, kabel, sieć komórkowa, satelita, stały dostęp bezprzewodowy. Jeśli prowadzisz infrastrukturę transportową dla klientów kogoś innego, jesteś w zakresie na podstawie filaru operatora sieci.
Czy świadczysz usługę publiczną?
Publicznie dostępna usługa łączności elektronicznej to taka, którą sprzedajesz ogółowi społeczeństwa: dostęp do internetu (ISP), łączność interpersonalna (telefon, SMS, e-mail, VoIP, komunikatory) lub czyste przekazywanie sygnałów. Odsprzedawanie cudzej sieci pod własną marką się liczy.
Wielkość cię nie wyklucza
Artykuł 2 ust. 2 lit. a) usuwa zwykły próg 50 pracowników / 10 mln EUR dla telekomunikacji. 5-osobowy regionalny ISP światłowodowy i mały odsprzedawca telefonii IP są w zakresie na tej samej podstawie prawnej co Deutsche Telekom. Dla tego sektora nie ma wyłączenia dla małych przedsiębiorstw.
Włączenie niezależne od wielkości (art. 2 ust. 2 lit. a))
Dla większości sektorów NIS 2 wpadasz w zakres tylko wtedy, gdy przekroczysz próg średniego przedsiębiorstwa. Telekomunikacja jest jednym z wyjątków. Dyrektywa wyraźnie ma zastosowanie niezależnie od wielkości, ponieważ sama rola usługi publicznej tworzy zależność społeczną. Mały nie znaczy poza zakresem.
Definicje są tymi z EECC
To, co liczy się jako usługa "publicznie dostępna", jest testem prawnym z Europejskiego kodeksu łączności elektronicznej, a nie potocznym. Usługa, którą sprzedajesz ogółowi społeczeństwa, jest w zakresie. Sieć lub usługa, którą prowadzisz wyłącznie dla własnej organizacji lub wyłącznie jako zamknięta grupa użytkowników, zwykle nie. W razie wątpliwości punktem odniesienia są definicje, motywy EECC oraz wytyczne krajowego organu regulacyjnego.
BSI / § 28 BSIG
BSI jest centralnym organem NIS 2. Rejestracja, ramy zarządzania ryzykiem, zgłaszanie incydentów na podstawie NIS 2 przebiegają przez BSI. Dla telekomunikacji § 28 BSIG wymienia operatorów sieci publicznych i dostawców usług publicznych jako "besonders wichtige Einrichtungen" bezpośrednio, niezależnie od wielkości.
Bundesnetzagentur (BNetzA) / TKG
BNetzA jest regulatorem sektorowym dla telekomunikacji. Prowadzi obowiązki operacyjne z TKG (bezpieczeństwo sieci i usług, zgłaszanie incydentów na ścieżce telekomunikacyjnej, rejestracja usług). NIS 2 nakłada się na istniejący reżim TKG, nie zastępuje go. Większość dostawców usług telekomunikacyjnych raportuje oboma kanałami.
ENISA
ENISA, agencja UE ds. cyberbezpieczeństwa, koordynuje działania między państwami członkowskimi i publikuje Technical Implementation Guidance na podstawie CIR (UE) 2024/2690. Operatorzy sieci publicznych i dostawcy usług publicznych są wymienieni w załączniku do CIR, co oznacza, że części CIR są bezpośrednio wiążące dla dostawców usług telekomunikacyjnych bez potrzeby dalszej transpozycji krajowej.
Krajowi regulatorzy telekomunikacji
Każde państwo członkowskie ma własnego regulatora telekomunikacji prowadzącego tę warstwę: ACM w Holandii, ARCEP we Francji, RTR w Austrii, AGCOM we Włoszech. Obowiązek NIS 2 jest taki sam w całej UE, ponieważ dyrektywa ustala jeden próg. Różni się to, u kogo się rejestrujesz, którego formularza incydentu używasz oraz jak odpowiednik BSI i regulator telekomunikacji dzielą się zadaniem.
Mamy tylko 5 pracowników, więc próg wielkości nas wyklucza.
Nie dla telekomunikacji. Artykuł 2 ust. 2 lit. a) NIS 2 wymienia operatorów sieci publicznych i dostawców usług publicznych jako kategorię niezależną od wielkości. Próg 50 pracowników / 10 mln EUR, który filtruje większość innych sektorów, nie ma tu zastosowania. 5-osobowy regionalny ISP jest w zakresie NIS 2 na tej samej stopie co krajowy operator.
Nie jesteśmy MSP, więc sektor 8 nas nie obejmuje.
Inny sektor, inny test. Dostawcy usług zarządzanych znajdują się w sektorze 8 załącznika I pod "zarządzaniem usługami ICT (B2B)" i oni podlegają progowi wielkości. Operatorzy sieci publicznych i dostawcy usług publicznych to osobny wiersz w tym samym sektorze z własnymi definicjami z EECC, plus regułą niezależności od wielkości z art. 2 ust. 2 lit. a). Przeczytaj oba wiersze.
Prowadzimy sieć dla naszej grupy korporacyjnej, więc jesteśmy w zakresie jako dostawca usług telekomunikacyjnych.
Zwykle nie, na filarze telekomunikacyjnym. Test EECC opiera się na "publicznie dostępna". Prywatna sieć korporacyjna używana wyłącznie przez twoją własną organizację lub zamkniętą grupę użytkowników jest zazwyczaj poza definicjami EECC, a zatem poza sektorem 8 załącznika I dla telekomunikacji. Możesz nadal podlegać NIS 2 na podstawie innego sektora lub jako podmiot w zakresie, ale nie jako dostawca usług telekomunikacyjnych.
Mały regionalny ISP światłowodowy z 8 pracownikami jest jednoznacznie w zakresie NIS 2. Sektor 8 załącznika I wymienia operatorów sieci publicznych i dostawców usług publicznych; art. 2 ust. 2 lit. a) usuwa próg wielkości; test EECC dla "publicznie dostępna" jest spełniony, ponieważ usługa jest sprzedawana ogółowi społeczeństwa. Ta sama logika obejmuje małego odsprzedawcę telefonii IP obsługującego klientów publicznych. Nie istnieje uczciwa interpretacja tekstu, która wyklucza któregokolwiek z nich.
Co widzimy w praktyce: operator sporządza ramy zarządzania ryzykiem z § 2.1 wokół usług działających publicznie i wspierającej infrastruktury (sieć transportowa, routing rdzeniowy, węzły dostępowe, OSS/BSS, uwierzytelnianie klientów). Proporcjonalność z art. 21 ust. 1 ma zastosowanie, więc 8-osobowy ISP nie wdraża na głębokości operatora pierwszego rzędu. Etapowanie musi zostać zapisane, uzasadnione obrazem ryzyka i zatwierdzone przez organ zarządzający. Obowiązki TKG egzekwowane przez BNetzA przebiegają równolegle i zasilają ten sam rejestr ryzyka.
Nasza kontrola stosowalności przechodzi przez definicje EECC krok po kroku. Pyta, co prowadzisz, komu sprzedajesz i czy usługa jest "publicznie dostępna" w rozumieniu EECC. Wynik mówi ci, który wiersz załącznika ma zastosowanie, czy art. 2 ust. 2 lit. a) obejmuje cię niezależnie od wielkości oraz z którym krajowym regulatorem (BSI a BNetzA w Niemczech, odpowiednik BSI a regulator telekomunikacji gdzie indziej) rozmawiasz najpierw.
Moduł aktywów obejmuje stronę sieciową (transport, rdzeń, dostęp, OSS/BSS) oraz stronę zwróconą ku usługom (zarządzanie abonentami, uwierzytelnianie, platformy głosowe i komunikatory) w jednej inwentaryzacji. Ramy zarządzania ryzykiem z § 2 CIR działają następnie na tej inwentaryzacji, więc ta sama lista aktywów zasila zarówno ścieżkę BSIG / NIS 2, jak i ścieżkę TKG bez podwójnego utrzymania.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 8 oraz artykuł 2 ust. 2 lit. a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2018/1972 (Europejski kodeks łączności elektronicznej), definicje z artykułu 2 — eur-lex.europa.eu/eli/dir/2018/1972/oj
- Ustawa BSI (BSIG), § 28 w brzmieniu nadanym przez NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- Telekommunikationsgesetz (TKG), § 165 i nast. (bezpieczeństwo sieci i usług)
- Bundesnetzagentur, wytyczne sektorowe dotyczące bezpieczeństwa i obowiązków sprawozdawczych TKG — bundesnetzagentur.de
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik (obejmuje DNS, TLD, chmurę, centra danych, MSP i inne kategorie sektora 8) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj