Spółki IT grupy jako dostawcy usług zarządzanych w rozumieniu NIS 2
Gdy centralne IT Twojej grupy obsługuje spółki zależne, ta spółka IT może podlegać NIS 2 samodzielnie. Sektor 9 załącznika I (zarządzanie usługami ICT, business-to-business) wymienia MSP i MSSP. Artykuł 6 pkt 40 i 41 je definiuje. Niemieccy praktycy zaczęli stosować to do struktur grup kapitałowych.
Krótka wersja
Wiele niemieckich i europejskich grup kapitałowych konsoliduje swoje IT w jednym centralnym dziale lub jednej spółce usługowej, która prowadzi infrastrukturę, aplikacje i bezpieczeństwo dla reszty grupy. Pytanie w kontekście NIS 2 brzmi, czy ta spółka IT sama liczy się jako dostawca usług zarządzanych (MSP), odrębnie od tego, co robi spółka nadrzędna lub spółki zależne.
Ma to znaczenie, ponieważ MSP i MSSP znajdują się w sektorze 9 załącznika I dyrektywy (zarządzanie usługami ICT, business-to-business). Jeżeli znajdujesz się tam jako MSP lub MSSP i osiągasz próg wielkości średniego przedsiębiorstwa, jesteś podmiotem ważnym. Samodzielnie. Z własną rejestracją, własnym zarządzaniem ryzykiem i własnym obowiązkiem zgłaszania incydentów. Przynależność do grupy nie przejmuje żadnego z tych obowiązków.
Strona przechodzi przez trzy warstwy. Po pierwsze, co dyrektywa rzeczywiście mówi w sektorze 9 załącznika I oraz w artykule 6 pkt 40 i 41. Po drugie, trzyczęściowy test, który mówi, czy spółka IT grupy jest objęta zakresem. Po trzecie, interpretacja niemieckich praktyków oraz najczęstsze błędne odczytania, które słyszymy.
Sektor 9 załącznika I dyrektywy NIS 2 (2022/2555)
Zarządzanie usługami ICT (business-to-business): dostawcy usług zarządzanych; dostawcy zarządzanych usług bezpieczeństwa.
Sektor 9 załącznika I ('Verwaltung von IKT-Diensten, Business-to-Business' w tekście niemieckim) wymienia MSP i MSSP jako rodzaje podmiotów objętych zakresem. Znajdują się one we własnym sektorze, odrębnym od sektora 8 załącznika I (infrastruktura cyfrowa: chmura, centra danych, DNS, CDN, usługi zaufania).
Artykuł 6 pkt 40 i 6 pkt 41 dyrektywy NIS 2
Dostawca usług zarządzanych oznacza podmiot, który świadczy usługi związane z instalacją, zarządzaniem, obsługą lub utrzymaniem produktów ICT, sieci, infrastruktury, aplikacji lub innych sieci i systemów informatycznych, w drodze pomocy lub aktywnego administrowania prowadzonego w siedzibie klientów lub zdalnie. Dostawca zarządzanych usług bezpieczeństwa oznacza dostawcę usług zarządzanych, który realizuje działania związane z zarządzaniem ryzykiem w cyberbezpieczeństwie lub udziela pomocy przy takich działaniach.
Artykuł 6 pkt 40 definiuje MSP. Artykuł 6 pkt 41 definiuje MSSP. Testem jest to, co podmiot robi (instalacja, zarządzanie, obsługa, utrzymanie, aktywne administrowanie), a nie to, czy wystawia faktury klientom zewnętrznym.
Interpretacja niemieckich praktyków (Piltz Legal)
Spółki, które wyłącznie prowadzą centralne operacje IT grupy kapitałowej, zazwyczaj wchodzą w zakres definicji MSP.
Piltz Legal przeczytała niemiecką transpozycję i doszła do tego wniosku: centralne spółki usług IT obsługujące spółki zależne grupy wchodzą w zakres definicji MSP. Cytowane przez nią niemieckie materiały legislacyjne wskazują w tym samym kierunku: usługi świadczone na rzecz prawnie odrębnych podmiotów grupy są usługami zarządzanymi.
Własny podmiot prawny
Czy centralne IT jest ustanowione jako odrębny podmiot prawny (GmbH, AG lub odpowiednik w innych państwach członkowskich)? Jeżeli tak, NIS 2 ocenia je samodzielnie. Jeżeli IT jest tylko wewnętrznym centrum kosztów bez osobowości prawnej, zakres przebiega przez spółkę nadrzędną, która je prowadzi.
Usługi zarządzane dla innych podmiotów
Czy podmiot instaluje, zarządza, obsługuje, utrzymuje lub aktywnie administruje produktami ICT, sieciami, infrastrukturą, aplikacjami lub systemami dla innych podmiotów? Spółki zależne są prawnie odrębne od spółki usług IT, nawet w obrębie tej samej grupy. Usługi dla nich liczą się jako usługi dla innych podmiotów w rozumieniu artykułu 6 pkt 40.
Spełniony próg wielkości
Czy podmiot IT osiąga próg średniego przedsiębiorstwa (50 lub więcej pracowników lub obrót powyżej 10 mln EUR przy sumie bilansowej powyżej 10 mln EUR)? Zwróć uwagę na zasadę przedsiębiorstw powiązanych zgodnie z zaleceniem Komisji 2003/361/WE: liczy ona pracowników i dane finansowe w obrębie całej grupy. 30-osobowa spółka IT wewnątrz 400-osobowej grupy liczy się na poziomie grupy.
Każdy podmiot prawny jest oceniany samodzielnie
Zakres NIS 2 jest rozstrzygany odrębnie dla każdego podmiotu prawnego. Objęcie spółki nadrzędnej zakresem (powiedzmy, jako producenta) nie wciąga automatycznie spółki zależnej IT. Objęcie spółki zależnej IT zakresem nie wciąga spółki nadrzędnej. Każdy podmiot rejestruje się, prowadzi zarządzanie ryzykiem i zgłasza incydenty w ramach własnego obowiązku.
O zakresie decyduje funkcja, nie cel
Artykuł 6 pkt 40 opisuje to, co podmiot robi, a nie dlaczego. Usługi nie muszą mieć charakteru komercyjnego, być wycenione na warunkach rynkowych ani sprzedawane klientom zewnętrznym. Spółka IT, która istnieje wyłącznie po to, by obsługiwać własną grupę, nadal świadczy usługi zarządzane w rozumieniu definicji. To, co robisz, decyduje o zakresie. To, dlaczego to robisz, nie decyduje.
Analiza praktyków Piltz Legal
Opublikowana interpretacja Piltz Legal: niemieckie spółki IT grup zazwyczaj wchodzą w zakres definicji MSP, gdy prowadzą centralne IT dla reszty grupy. Niemieckie materiały legislacyjne wokół ustawy wdrażającej NIS2 wskazują w tym samym kierunku: usługi świadczone na rzecz prawnie odrębnych spółek zależnych grupy są usługami zarządzanymi w rozumieniu artykułu 6 pkt 40.
Artykuł 6 jest taki sam w całej UE
Artykuł 6 dyrektywy to jeden zestaw definicji, który wiąże każde państwo członkowskie. Przepisy krajowe kopiują brzmienie niemal słowo w słowo. Niemiecka, holenderska, austriacka i belgijska transpozycja odzwierciedlają artykuł 6 pkt 40 i 41, więc trzyczęściowy test daje tę samą odpowiedź wszędzie.
Transpozycje odzwierciedlające
Holandia (Cyberbeveiligingswet), Austria (NISG) i Belgia (NIS2-Wet) wprowadzają definicje MSP i MSSP do prawa krajowego. Spółka IT grupy, która działa transgranicznie, może być objęta zakresem w kilku państwach członkowskich jednocześnie, z odrębną rejestracją u każdego krajowego organu właściwego.
Wewnętrzne IT nie liczy się jako MSP.
To zależy od tego, jak jest skonfigurowane. Jeżeli centralne IT jest własnym podmiotem prawnym i obsługuje inne, prawnie odrębne spółki grupy, są to usługi zarządzane dla innych podmiotów w rozumieniu artykułu 6 pkt 40. Czyste wewnętrzne centrum kosztów bez osobowości prawnej nie jest objęte zakresem samodzielnie. Spółka usługowa GmbH wewnątrz grupy zazwyczaj jest.
Liczą się tylko komercyjne MSP z klientami zewnętrznymi.
Artykuł 6 pkt 40 opisuje funkcję (instalacja, zarządzanie, obsługa, utrzymanie, aktywne administrowanie produktami ICT, sieciami, infrastrukturą, aplikacjami lub systemami), a nie cel komercyjny. Wewnętrzne spółki IT, które obsługują wyłącznie własne spółki zależne, nadal spełniają definicję, jeżeli pełnią tę funkcję. Interpretacja Piltz Legal i niemieckie materiały legislacyjne mówią to samo.
Zakres spółki nadrzędnej obejmuje automatycznie spółkę zależną IT.
NIS 2 rozpatruje każdy podmiot prawny samodzielnie. Spółka nadrzędna może być objęta zakresem jako producent w ramach załącznika II, podczas gdy spółka zależna IT jest objęta zakresem w ramach sektora 9 załącznika I jako MSP. Rejestracja, zarządzanie ryzykiem i zgłaszanie incydentów przypisane są do każdego podmiotu odrębnie. Jedynym miejscem, gdzie grupa jest traktowana jako całość, jest test wielkości.
Od dwóch dekad niemieckie grupy konsolidują swoje IT w jednej spółce usługowej. Czystsze operacje, lepsze rozliczenie VAT, mniej dublowania. NIS 2 częściowo odwraca tę zachętę. Skonsolidowana spółka IT grupy GmbH, która kiedyś unikała regulacyjnego radaru, może teraz być samodzielnie podmiotem ważnym NIS 2, z własną rejestracją, własnymi ramami zarządzania ryzykiem i własną linią zgłaszania incydentów do BSI.
Co to oznacza w praktyce: decyzje strukturalne podjęte ze względów podatkowych lub operacyjnych wymagają ponownego spojrzenia z NIS 2 przed oczami. Jeżeli podmiot IT jest objęty zakresem jako MSP, przejmuje także obowiązki dotyczące łańcucha dostaw wynikające z artykułu 21 ust. 2 lit. d) wobec swoich klientów w grupie. Ci klienci mogą sami być objęci zakresem w ramach załącznika I lub II. Ta sama umowa wewnętrzna podlega wtedy NIS 2 z obu stron.
Kontrola stosowalności przeprowadza na głos trzyczęściowy test: podmiot prawny tak czy nie, usługi dla innych podmiotów prawnych (wewnątrz lub poza grupą), wielkość z uwzględnieniem zasady przedsiębiorstw powiązanych. Odpowiedź przenosi się do modułu rejestracji, więc podmiot IT rejestruje się odrębnie tam, gdzie musi.
Portal dostawców obejmuje drugą stronę umowy. Spółki zależne, które kupują usługi zarządzane od siostrzanej spółki IT, mogą przeprowadzić wobec niej kwestionariusz dostawcy jak wobec każdego innego dostawcy. Obie strony transakcji zostają udokumentowane tym samym dowodem zgodnym z artykułem 21 ust. 2 lit. d).
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 6 pkt 40, 6 pkt 41 oraz sektor 9 załącznika I (zarządzanie usługami ICT B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie' — piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (niemiecka transpozycja NIS2), §2 Nr 26 (definicja MSP) oraz §28 (zakres) — gesetze-im-internet.de
- Zalecenie Komisji 2003/361/WE w sprawie definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (zasada przedsiębiorstw powiązanych) — eur-lex.europa.eu/eli/reco/2003/361/oj
- BSI - sektorowe FAQ dotyczące rodzajów podmiotów NIS 2 — bsi.bund.de