Czy jestem dostawcą usług zaufania w rozumieniu NIS 2?
Dostawcy usług zaufania znajdują się w sektorze 8 załącznika I NIS 2. Kwalifikowani dostawcy usług zaufania są związani niezależnie od wielkości na podstawie art. 2 ust. 2 lit. b). Niekwalifikowani dostawcy usług zaufania podlegają standardowemu testowi wielkości z art. 2 ust. 1. eIDAS działa równolegle i reguluje samą usługę zaufania.
Wersja skrócona
Dostawcą usług zaufania jest każdy, kto świadczy jedną lub więcej usług zaufania zdefiniowanych w art. 3 pkt 16 rozporządzenia eIDAS (UE) 910/2014: podpisy elektroniczne, pieczęcie elektroniczne, elektroniczne znaczniki czasu, rejestrowane doręczenie elektroniczne, certyfikaty uwierzytelniania witryn internetowych lub konserwację któregokolwiek z nich. Sektor 8 załącznika I NIS 2 wymienia dostawców usług zaufania wprost jako część infrastruktury cyfrowej.
Art. 2 ust. 2 lit. b) NIS 2 uruchamia następnie dźwignię, która nie dotyczy większości innych sektorów. Kwalifikowani dostawcy usług zaufania, zdefiniowani w art. 3 pkt 17 eIDAS, są objęci zakresem niezależnie od wielkości. Dwuosobowy kwalifikowany dostawca usług zaufania, który wydaje kwalifikowane certyfikaty podpisów elektronicznych, jest związany tak samo jak 500-osobowy urząd certyfikacji. Próg średniego przedsiębiorstwa z art. 2 ust. 1 ich nie warunkuje.
Niekwalifikowani dostawcy usług zaufania podlegają zwykłemu testowi wielkości: co najmniej 50 pracowników albo powyżej 10 mln euro rocznego obrotu lub sumy bilansowej obejmuje ich zakresem. Poniżej tego znajdują się poza NIS 2, choć art. 19 eIDAS nadal wiąże ich poziomem bazowym bezpieczeństwa. Tak czy inaczej dwa reżimy działają równolegle: eIDAS dla samej usługi zaufania, NIS 2 dla obowiązków cybernetycznych obejmujących całą organizację (szkolenie kierownictwa z art. 20, zgłaszanie istotnych incydentów na podstawie §32 BSIG, środki zarządzania ryzykiem z art. 21).
Dyrektywa NIS 2 (2022/2555), sektor 8 załącznika I (infrastruktura cyfrowa)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Dosłownie z OJ L 333/146. Sektor 8 to infrastruktura cyfrowa. Dostawcy usług zaufania są pierwszą wymienioną podkategorią. Lista sektora nie rozdziela kwalifikowanych od niekwalifikowanych; ten podział czyni art. 2 ust. 2 lit. b) oraz eIDAS.
Art. 2 ust. 2 lit. b) NIS 2 + art. 3 pkt 16 i 3 pkt 17 eIDAS
Art. 2 ust. 2 lit. b) NIS 2: Niniejsza dyrektywa ma również zastosowanie do podmiotów rodzaju, o którym mowa w załączniku I lub II, niezależnie od ich wielkości, w przypadku gdy podmiot jest kwalifikowanym dostawcą usług zaufania. Art. 3 pkt 16 eIDAS: „usługa zaufania” oznacza usługę elektroniczną zwykle świadczoną za wynagrodzeniem i obejmującą: a) tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami, lub b) tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych, lub c) konserwację podpisów elektronicznych, pieczęci lub certyfikatów powiązanych z tymi usługami. Art. 3 pkt 17: „kwalifikowana usługa zaufania” oznacza usługę zaufania, która spełnia stosowne wymogi określone w niniejszym rozporządzeniu.
Dwie definicje ułożone na sobie. Art. 3 pkt 16 eIDAS mówi, co liczy się jako usługa zaufania. Art. 3 pkt 17 mówi, kiedy jest ona kwalifikowana (spełnia wymogi załącznika do eIDAS i jest wpisana na krajową zaufaną listę). Art. 2 ust. 2 lit. b) NIS 2 stwierdza następnie: jeżeli jesteś kwalifikowany, podlegasz NIS 2 niezależnie od liczby pracowników czy obrotu.
§28 BSIG + Vertrauensdienstegesetz (Niemcy)
§28 BSIG transponuje zakres załącznika I do prawa niemieckiego i wprost obejmuje kwalifikowanych dostawców usług zaufania jako „besonders wichtige Einrichtungen” niezależnie od wielkości. Vertrauensdienstegesetz (VDG) to krajowa ustawa towarzysząca rozporządzeniu eIDAS; wyznacza Bundesnetzagentur jako organ nadzoru nad usługami zaufania i prowadzi niemiecką zaufaną listę.
Rozporządzenie eIDAS stosuje się bezpośrednio, bez niemieckiej transpozycji. VDG dodaje jedynie maszynerię nadzorczą. NIS 2 znajduje się odrębnie ponad oboma: §28 BSIG plasuje kwalifikowanych dostawców usług zaufania w najwyższym poziomie (besonders wichtige Einrichtung), niezależnie od wielkości, z BSI jako regulatorem cybernetycznym.
Czy świadczysz usługę zaufania?
Dopasuj swoją ofertę do art. 3 pkt 16 eIDAS. Lista zamknięta to: podpisy elektroniczne, pieczęcie elektroniczne, elektroniczne znaczniki czasu, usługi rejestrowanego doręczenia elektronicznego, certyfikaty uwierzytelniania witryn internetowych oraz konserwacja któregokolwiek z nich. Usługa jest zwykle świadczona za wynagrodzeniem. Jeżeli twoja oferta nie mieści się w żadnej z tych kategorii, nie jesteś dostawcą usług zaufania w rozumieniu eIDAS, niezależnie od tego, ile kryptografii dostarczasz.
Czy jesteś dostawcą, czy tylko użytkownikiem?
Dostawca usług zaufania wydaje lub prowadzi usługę zaufania dla innych. Firma, która podpisuje własne faktury zewnętrzną kwalifikowaną usługą podpisu, jest użytkownikiem tej usługi, a nie dostawcą usług zaufania. Firma doradcza, która pomaga klientowi wdrożyć procesy podpisu, również jest użytkownikiem. Status dostawcy zależy od tego, czy sam tworzysz, walidujesz, doręczasz lub konserwujesz usługę zaufania, na rzecz kogoś innego, za pieniądze.
Kwalifikowany czy niekwalifikowany?
Sprawdź krajową zaufaną listę (w Niemczech: zaufaną listę Bundesnetzagentur na podstawie VDG). Jeżeli jesteś na niej wpisany jako dostawca kwalifikowany, art. 2 ust. 2 lit. b) NIS 2 wiąże cię niezależnie od wielkości. Jeżeli nie jesteś wpisany, jesteś niekwalifikowany i stosuje się standardowy test wielkości z art. 2 ust. 1: średnie przedsiębiorstwo lub większe. Dwu- i trzyosobowi kwalifikowani dostawcy usług zaufania są w tym sektorze powszechni i wszyscy są w zakresie.
Kwalifikowany oznacza niezależnie od wielkości
Art. 2 ust. 2 lit. b) NIS 2 to jedno z siedmiu odstępstw niezależnych od wielkości w dyrektywie. Usługi zaufania trafiły na listę, ponieważ szkoda z kompromitacji kwalifikowanego certyfikatu jest strukturalna: każdy podpis, pieczęć lub znacznik czasu wydany na jego podstawie traci skutek prawny. Wielkość dostawcy nie ma wpływu na rozmiar szkody w dalszej części łańcucha. Dwuosobowy urząd certyfikacji może złamać cały łańcuch podpisów państwa członkowskiego. Dlatego test wielkości jest wyłączony.
Kwalifikowani dostawcy usług zaufania działają w dwóch równoległych reżimach
Art. 19 eIDAS wiąże bezpieczeństwo samej usługi zaufania, z audytami co 24 miesiące na podstawie art. 24 dla kwalifikowanych dostawców usług zaufania. NIS 2 dodaje obowiązki cybernetyczne obejmujące całą organizację: szkolenie kierownictwa z art. 20, środki zarządzania ryzykiem z art. 21, zgłaszanie istotnych incydentów z art. 23. Art. 4 NIS 2 nie wyłącza tu NIS 2. Oba reżimy mają zastosowanie w pełni. Organ nadzoru eIDAS oraz właściwy organ NIS 2 mogą być różne (w Niemczech: Bundesnetzagentur dla eIDAS, BSI dla NIS 2).
BSI / §28 BSIG (strona NIS 2)
BSI jest właściwym organem NIS 2. Prowadzi portal rejestracyjny na podstawie §33 BSIG, przyjmuje powiadomienia o istotnych incydentach na podstawie §32 BSIG i nadzoruje środki zarządzania ryzykiem z §30 BSIG. Kwalifikowani dostawcy usług zaufania trafiają do poziomu „besonders wichtige Einrichtung” przez §28 BSIG, co oznacza ściślejszy nadzór i te same terminy zgłaszania incydentów co operatorzy KRITIS.
Bundesnetzagentur (strona eIDAS)
Bundesnetzagentur jest organem nadzoru nad usługami zaufania na podstawie Vertrauensdienstegesetz. Prowadzi niemiecką zaufaną listę, akredytuje status kwalifikowany, przyjmuje sprawozdania z oceny zgodności na podstawie art. 20 eIDAS i obsługuje 24-miesięczny cykl audytu na podstawie art. 24. Gdy incydent jest jednocześnie istotnym incydentem na podstawie §32 BSIG i naruszeniem na podstawie art. 19 ust. 2 eIDAS, zgłaszasz oba, do obu organów.
Wytyczne techniczne ENISA dotyczące wdrożenia + prace nad EUDI Wallet
ENISA publikuje wytyczne techniczne dla usług zaufania na podstawie art. 19 eIDAS i opracowuje poziom bazowy cyberbezpieczeństwa, który zasila oczekiwania krajowych nadzorców. Ten sam organ opracowuje obecnie pakiet prac dotyczący usług zaufania dla europejskiego portfela tożsamości cyfrowej (European Digital Identity Wallet), który od 2026 r. rozszerza obwód kwalifikowanych dostawców usług zaufania.
Krajowe ustawy transponujące
eIDAS jest rozporządzeniem, więc zasady usług zaufania są jednolite w całej UE. NIS 2 jest dyrektywą, więc każde państwo członkowskie ją transponuje: NL przez Cyberbeveiligingswet, AT przez NISG, FR przez Ordonnance 2024-1093. Sektor 8 załącznika I oraz reguła niezależna od wielkości z art. 2 ust. 2 lit. b) są identyczne we wszystkich. Właściwy organ po stronie NIS 2 różni się w zależności od kraju.
Niekwalifikowane usługi zaufania są poza NIS 2.
Błąd. Niekwalifikowani dostawcy usług zaufania nadal są w sektorze 8 załącznika I. Nie korzystają z podniesienia z art. 2 ust. 2 lit. b) niezależnego od wielkości, więc decyduje standardowy test z art. 2 ust. 1. 60-osobowy niekwalifikowany dostawca znaczników czasu jest w pełni w NIS 2 jako podmiot ważny. Tylko status kwalifikacji zmienia to, czy stosuje się test wielkości, a nie to, czy stosuje się sektor.
eIDAS już obejmuje cyberbezpieczeństwo, więc NIS 2 nic nie dodaje.
Art. 19 eIDAS ustala poziom bazowy bezpieczeństwa dla usługi zaufania. Art. 20, 21 i 23 NIS 2 dodają obowiązki obejmujące całą organizację: szkolenie organu zarządzającego, pełny katalog zarządzania ryzykiem od kryptografii po łańcuch dostaw oraz zgłaszanie istotnych incydentów na podstawie §32 BSIG z 24-godzinnym wczesnym ostrzeżeniem. Zasada lex specialis z art. 4 NIS 2 nie wyłącza NIS 2 dla usług zaufania. Dwa równoległe reżimy, żaden nie zastępuje drugiego.
Jesteśmy za mali na NIS 2.
Jeżeli jesteś kwalifikowanym dostawcą usług zaufania, wielkość to złe pytanie. Art. 2 ust. 2 lit. b) obejmuje cię niezależnie od liczby pracowników, obrotu czy sumy bilansowej. Dwuosobowy kwalifikowany urząd certyfikacji jest w tym samym poziomie NIS 2 co wielonarodowy urząd certyfikacji. Powód leży w dalszej części łańcucha: każdy podpis wydany na podstawie skompromitowanego kwalifikowanego certyfikatu traci skutek prawny, niezależnie od tego, kto go wydał.
Typowy przypadek: 12-osobowy kwalifikowany dostawca usług zaufania wydający kwalifikowane certyfikaty podpisów elektronicznych, z 24-miesięcznym cyklem oceny zgodności eIDAS i wpisem na krajową zaufaną listę przez Bundesnetzagentur. Zakres NIS 2 jest automatyczny przez art. 2 ust. 2 lit. b). §28 BSIG plasuje firmę w poziomie „besonders wichtige Einrichtung”. Dwóch regulatorów, dwa kanały zgłaszania, jedna firma.
Co praktycy faktycznie robią: biorą dowody z audytu z art. 24 eIDAS i ponownie wykorzystują je do odpowiednich środków z art. 21 NIS 2 (kryptografia, kontrola dostępu, obsługa incydentów, ciągłość działania). Przeprowadzają rejestrację na podstawie §33 BSIG w BSI. Dodają pozycje, których eIDAS nie obejmuje: szkolenie kierownictwa z art. 20, ryzyko dostawców z art. 21 ust. 2 lit. d), kanał istotnych incydentów na podstawie §32 BSIG. Oba reżimy pokrywają się w zakresie kryptografii i reagowania na incydenty; cała reszta jest dodatkowa.
Sprawdzenie stosowalności identyfikuje kwalifikowanych dostawców usług zaufania przez art. 2 ust. 2 lit. b) i automatycznie wyłącza test wielkości. Wynikiem jest pisemna Anwendbarkeitsprüfung, która powołuje sektor 8 załącznika I oraz art. 2 ust. 2 lit. b), podpisana przez organ zarządzający, przypięta do wersji tekstu dyrektywy.
Katalog kontroli odzwierciedla rzeczywistość dwóch reżimów. Kontrole z art. 19 eIDAS są oznaczone tak, abyś mógł raz dołączyć najnowsze sprawozdanie z oceny zgodności i policzyć je względem odpowiednich środków z art. 21 NIS 2. Rejestr dostawców oznacza wszelkich podprzetwarzających, którzy sami są dostawcami usług zaufania, tak aby obowiązki dotyczące łańcucha dostaw z art. 21 ust. 2 lit. d) pozostały śledzalne.
- Dyrektywa (UE) 2022/2555 (NIS 2), sektor 8 załącznika I oraz art. 2 ust. 2 lit. b) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie (UE) 910/2014 (eIDAS), art. 3 pkt 16, art. 3 pkt 17, art. 19, art. 24 — eur-lex.europa.eu/eli/reg/2014/910/oj
- Ustawa o BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) i §33 (Registrierung) w brzmieniu ustawy o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- Vertrauensdienstegesetz (VDG) — gesetze-im-internet.de/vdg
- Niemiecka zaufana lista Bundesnetzagentur na podstawie art. 22 eIDAS
- Wytyczne techniczne ENISA dotyczące wdrożenia dla usług zaufania na podstawie art. 19 eIDAS — enisa.europa.eu