NIS 2, gdy Twoja siedziba znajduje się poza UE
NIS 2 podąża za usługą, nie za papierem firmowym. Jeśli sprzedajesz do UE w jednym z objętych sektorów, artykuł 26 dyrektywy rozstrzyga, które państwo członkowskie sprawuje nad Tobą nadzór i czy potrzebujesz wyznaczonego przedstawiciela wewnątrz Unii.
W skrócie
Wielu założycieli zakłada, że amerykańska, brytyjska lub szwajcarska spółka matka stawia ich poza NIS 2. Dyrektywa tak nie działa. Artykuł 26 NIS 2 wiąże jurysdykcję z tym, gdzie usługa jest oferowana i gdzie podejmowane są decyzje dotyczące cyberbezpieczeństwa, a nie z tym, gdzie firma jest zarejestrowana.
Jeśli jesteś zwykłym podmiotem sektorowym (energetyka, woda, transport, produkcja, żywność, zdrowie, gospodarka odpadami, administracja publiczna i tak dalej), nadzór podąża za jednostkami organizacyjnymi, które faktycznie prowadzisz w Unii. Jeśli masz niemiecką spółkę zależną, BSI sprawuje nadzór nad tą spółką zależną. Jeśli masz biura w trzech państwach członkowskich, każde jest nadzorowane lokalnie.
Jeśli mieścisz się w jednym z sektorów cyfrowych wymienionych w artykule 26 ust. 3 (DNS, rejestry TLD, dostawcy usług chmurowych, dostawcy ośrodków przetwarzania danych, sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa, internetowe platformy handlowe, internetowe wyszukiwarki, usługi sieci społecznościowych), reguły są surowsze. Jedna główna jednostka organizacyjna sprawuje nad Tobą nadzór dla całej Unii, a jeśli Twoja siedziba znajduje się poza UE, musisz wyznaczyć przedstawiciela wewnątrz Unii na podstawie artykułu 26 ust. 4.
Artykuł 26 ust. 2 dyrektywy NIS 2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
To kaskada, która rozstrzyga, kto sprawuje nad Tobą nadzór, gdy więcej niż jedno państwo członkowskie mogłoby wiarygodnie rościć sobie jurysdykcję. Ma zastosowanie do podmiotów w sektorach cyfrowych wymienionych w artykule 26 ust. 3. Decyzje dotyczące cyberbezpieczeństwa są pierwsze, operacje cyberbezpieczeństwa drugie, liczba pracowników trzecia.
Artykuł 26 ust. 4 dyrektywy NIS 2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Czyta się to jako obowiązek dla podmiotów spoza UE w sektorach cyfrowych z artykułu 26 ust. 3. Przedstawiciel staje się punktem kontaktowym i zakotwicza jurysdykcję. Artykuł 27 dodaje następnie obowiązek rejestracji: przedstawiciel zgłasza podmiot do rejestru prowadzonego przez ENISA w imieniu podmiotu.
§28 BSIG (Niemcy)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
BSIG odzwierciedla dyrektywę: BSI sprawuje nad Tobą nadzór w Niemczech, jeśli artykuł 26 NIS 2 umieszcza tam jurysdykcję. Nie ma odrębnego krajowego testu jurysdykcji. Testem jest kaskada z dyrektywy.
Ogólna reguła: jurysdykcja podąża za jednostką organizacyjną
Poza sektorami cyfrowymi jesteś nadzorowany w każdym państwie członkowskim, w którym masz jednostkę organizacyjną w sensie prawnym. Grupa z USA z niemiecką GmbH i austriacką GmbH jest nadzorowana przez BSI w odniesieniu do podmiotu niemieckiego oraz przez organ austriacki w odniesieniu do podmiotu austriackiego. Artykuł 26 ust. 2 rozstrzyga jedynie spór między państwami członkowskimi dla sektorów cyfrowych objętych artykułem 26 ust. 3.
Szczególna reguła dla sektorów cyfrowych
Dostawcy usług DNS, rejestry TLD, usługi przetwarzania w chmurze, usługi ośrodków przetwarzania danych, sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa, internetowe platformy handlowe, internetowe wyszukiwarki i platformy sieci społecznościowych mają jedną główną jednostkę organizacyjną w Unii. To jedno państwo członkowskie sprawuje nad Tobą nadzór w całej UE. Kaskada z artykułu 26 ust. 2 rozstrzyga, które to państwo członkowskie.
Obowiązek przedstawiciela dla dostawców spoza UE
Jeśli mieścisz się w jednym z sektorów cyfrowych z artykułu 26 ust. 3 i nie masz jednostki organizacyjnej w Unii, musisz wyznaczyć przedstawiciela wewnątrz Unii. Przedstawiciel musi znajdować się w państwie członkowskim, w którym faktycznie oferujesz usługę. Jurysdykcja podąża wówczas za przedstawicielem. Bez niego każde państwo członkowskie, w którym obsługujesz klientów, może podjąć działania prawne na podstawie dyrektywy.
Jeden organ nadzoru, nie pięć
Dla sektorów cyfrowych z artykułu 26 ust. 3 reguła głównej jednostki organizacyjnej oznacza jeden organ nadzoru dla całej Unii. Pozwala to uniknąć sytuacji, w której dostawca usług chmurowych z klientami w każdym państwie członkowskim jest audytowany dwadzieścia siedem razy w odniesieniu do tych samych środków kontrolnych. Kaskada z artykułu 26 ust. 2 wybiera organ nadzoru w przewidywalnej kolejności: decyzje dotyczące cyberbezpieczeństwa pierwsze, operacje cyberbezpieczeństwa drugie, liczba pracowników w UE trzecia.
Brak drogi ucieczki przez zagraniczną siedzibę
Artykuł 26 ust. 4 zamyka obieg. Dostawca spoza UE w objętych sektorach cyfrowych nie może oferować usług do Unii bez wyznaczonego przedstawiciela wewnątrz niej. Bez niego każde państwo członkowskie, w którym usługa jest sprzedawana, może wnieść powództwo. Rejestracja w USA, Wielkiej Brytanii lub Szwajcarii nie wyprowadza Cię poza zakres, jeśli usługa dotyka Unii.
BSI / §28 i §33 BSIG
BSI jest organem nadzorczym dla podmiotów, których główna jednostka organizacyjna lub niemiecka spółka zależna umieszcza je pod niemiecką jurysdykcją. Rejestracja przebiega przez krajowy portal BSI, który zasila rejestr ENISA na podstawie artykułu 27. Dla podmiotów sektora cyfrowego z główną jednostką organizacyjną w Niemczech BSI jest pojedynczym punktem kontaktowym dla całej Unii.
Rejestr ENISA na podstawie artykułu 27
ENISA prowadzi centralny rejestr dla sektorów cyfrowych wymienionych w artykule 27 ust. 2: dostawcy DNS, rejestry TLD, chmura, ośrodki przetwarzania danych, sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa, internetowe platformy handlowe, internetowe wyszukiwarki, usługi sieci społecznościowych. Państwa członkowskie zasilają go danymi podmiotów. Rejestr jest tym, co czyni nadzór transgraniczny praktycznym.
Krajowe ustawy transponujące
Każde państwo członkowskie ma ustawę transponującą (Niderlandy: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet) oraz krajowy właściwy organ. Kaskada z artykułu 26 jest identyczna w całej Unii, ponieważ tkwi w dyrektywie. Różni się portal, język i lokalny organ nadzoru, z którym faktycznie rozmawiasz.
Jesteśmy firmą z USA, więc NIS 2 nas nie dotyczy.
NIS 2 podąża za usługą do Unii, nie za papierem firmowym. Jeśli jesteś w jednym z sektorów cyfrowych wymienionych w artykule 26 ust. 3 i oferujesz usługę klientom w UE, artykuł 26 ust. 4 wymaga wyznaczenia przedstawiciela w Unii. Jeśli działasz przez spółkę zależną w UE w jakimkolwiek innym objętym sektorze, sama spółka zależna jest objęta zakresem. Rejestracja spółki matki nie jest testem.
Mamy biura w sześciu państwach członkowskich, więc rejestrujemy się sześć razy.
Dla sektorów cyfrowych z artykułu 26 ust. 3 masz jedną główną jednostkę organizacyjną i jeden organ nadzoru w całej Unii. Kaskada z artykułu 26 ust. 2 ją wybiera: gdzie podejmowane są decyzje dotyczące cyberbezpieczeństwa po pierwsze, gdzie znajdują się operacje cyberbezpieczeństwa po drugie, jednostka organizacyjna w UE z największą liczbą pracowników po trzecie. Poza tymi sektorami cyfrowymi rejestrujesz się w każdym państwie członkowskim, w którym masz jednostkę organizacyjną, ale w ich obrębie nie.
Mamy siedzibę w Szwajcarii, więc jesteśmy poza NIS 2, bo Szwajcaria nie jest w UE.
Szwajcaria nie jest państwem członkowskim UE, ale dyrektywa nadal sięga szwajcarskich firm sprzedających do Unii w objętym sektorze. Szwajcarski MSP obsługujący niemieckich klientów albo działa przez spółkę zależną w UE, która staje się podmiotem regulowanym, albo, dla sektorów cyfrowych z artykułu 26 ust. 3, musi wyznaczyć przedstawiciela w UE na podstawie artykułu 26 ust. 4. Ta sama logika ma zastosowanie do dostawców z Wielkiej Brytanii, USA i innych państw trzecich.
Czysty wzorzec: zanim cokolwiek zrobisz, ustal, czy Twój sektor jest na liście artykułu 26 ust. 3. Jeśli jest, Twoim zadaniem jest wybrać jedną główną jednostkę organizacyjną, udokumentować na piśmie kaskadę z artykułu 26 ust. 2 (decyzje, operacje, liczba pracowników) oraz albo zarejestrować się przez portal tego państwa członkowskiego, albo wyznaczyć przedstawiciela, jeśli jesteś spoza UE. Jeśli nie jest, mapujesz swoje jednostki organizacyjne w UE i rejestrujesz każdą w jej organie krajowym.
Niechlujny wzorzec, który widzimy najczęściej, to spółki matki próbujące utrzymać całe podejmowanie decyzji dotyczących cyberbezpieczeństwa w siedzibie poza Unią, twierdząc jednocześnie, że spółka zależna w UE jest autonomiczna. Kaskada z artykułu 26 ust. 2 nie dba o schematy organizacyjne. Patrzy na to, gdzie decyzje są faktycznie podejmowane. Jeśli odpowiedź brzmi 'w siedzibie w Bostonie', spółka zależna w UE nadal jest objęta zakresem przez własną jednostkę organizacyjną, a podmioty sektora cyfrowego nadal potrzebują przedstawiciela z artykułu 26 ust. 4. Najczystsza droga to zdecydować, gdzie w Unii znajdują się decyzje, udokumentować to i przestać prowadzić równoległe struktury kontroli.
Rejestrujemy kaskadę z artykułu 26 jako część przepływu pracy dotyczącego stosowalności i rejestracji. Platforma zadaje pytania we własnej kolejności dyrektywy: który sektor, które państwa członkowskie z jednostkami organizacyjnymi, gdzie podejmowane są decyzje dotyczące cyberbezpieczeństwa, gdzie znajdują się operacje cyberbezpieczeństwa, liczba pracowników w UE. Wynikiem jest udokumentowana główna jednostka organizacyjna z zapisanym raz uzasadnieniem, a nie wyprowadzanym na nowo w każdym audycie.
Dla grup spoza UE w sektorach z artykułu 26 ust. 3 platforma śledzi wyznaczonego przedstawiciela jako odrębny podmiot z własnymi danymi kontaktowymi i krajem jednostki organizacyjnej. Dane do rejestracji na podstawie artykułu 27 wypływają z tego samego rekordu, więc zgłoszenie do portalu krajowego i rejestr ENISA czerpią z tego samego źródła, a nie z równoległego arkusza kalkulacyjnego.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuły 26 i 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ustawa o BSI (BSIG), §28 i §33 w brzmieniu zmienionym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR) w sprawie charakterystycznych dla sektora wymogów technicznych i metodologicznych — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Rejestr ENISA na podstawie artykułu 27 ust. 2 NIS 2 — enisa.europa.eu
- BSI Infopakete dotyczące zakresu i rejestracji NIS 2 — bsi.bund.de/dok/nis-2-infopakete