Dostawcy podmiotów objętych NIS 2 nie stają się automatycznie podmiotami NIS 2
Artykuł 2 NIS 2 rozstrzyga zakres na podstawie tego, czym jesteś, a nie tego, komu sprzedajesz. Relacje z klientami nie wciągają Cię w zakres. Obowiązki Twojego klienta trafiają do Twojej skrzynki przez jego umowę zakupową na podstawie artykułu 21 ust. 2 lit. d).
W skrócie
To, czy NIS 2 ma zastosowanie do Twojej firmy, rozstrzyga wyłącznie artykuł 2 dyrektywy. Dwa testy. Twój sektor musi być wymieniony w załączniku I lub II. Oraz musisz spełniać próg wielkości (średnie przedsiębiorstwo w rozumieniu zalecenia Komisji 2003/361/WE, z kilkoma wyjątkami obejmującymi niezależnie od wielkości w artykule 2 ust. 2 do 4). To, kim są Twoi klienci, nie jest częścią testu.
Sprzedaż klientowi objętemu NIS 2 nie obejmuje Cię zatem zakresem. Stajesz się podmiotem NIS 2 wyłącznie wtedy, gdy Twój własny sektor oraz Twoja własna wielkość samodzielnie przejdą test artykułu 2. Jeśli go nie przejdą, jesteś poza zakresem, nawet jeśli każdy klient z Twojej listy jest w zakresie.
To, co rzeczywiście przemieszcza się w dół łańcucha dostaw, ma charakter umowny, nie prawny. Artykuł 21 ust. 2 lit. d) nakazuje podmiotom NIS 2 zarządzać bezpieczeństwem ich bezpośrednich dostawców. Narzędziem, którego używają, jest umowa zakupowa: klauzule, kwestionariusze, żądania dowodów. Odczuwasz nacisk, ponieważ Twój klient chce odpowiedzi, a nie dlatego, że rozmawia z Tobą organ regulacyjny.
Dyrektywa NIS 2 (UE) 2022/2555, artykuł 2 ust. 1
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Zakres jest powiązany z dwoma faktami dotyczącymi samego podmiotu: sektorem w załączniku I lub II oraz progiem wielkości. Relacje z klientami, umowy i powiązania w łańcuchu dostaw nie występują w tekście i nie rozszerzają zakresu. Artykuł 2 ust. 2 do 4 dodaje kilka wyjątków obejmujących niezależnie od wielkości dla konkretnych typów podmiotów, ale żaden z nich nie jest uruchamiany przez bycie czyimś dostawcą.
NIS 2 artykuł 21 ust. 2 lit. d) + rozporządzenie wykonawcze Komisji (UE) 2024/2690 §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
Artykuł 21 ust. 2 lit. d) nakłada obowiązek na podmiot NIS 2 (nabywcę), a nie na dostawcę. CIR 2024/2690 §5 przekształca to w politykę bezpieczeństwa dostawców z pisemnymi kryteriami wyboru oraz rejestrem ryzyka dostawców. Dostawca robi to, co mówi umowa. Organ regulacyjny rozmawia wyłącznie z nabywcą.
BSIG §30 (Niemcy)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
Niemcy kopiują artykuł 21 ust. 2 lit. d) niemal słowo w słowo do §30 BSIG. Obowiązek dotyka podmiotu objętego zakresem. Nie deklaruje on jego dostawców jako objętych zakresem. Inne państwa członkowskie transponują ten sam artykuł 21 z tą samą mechaniką po stronie nabywcy (NL Cyberbeveiligingswet, AT NISG, francuski następca LPM).
Czy Twój sektor jest w załączniku I lub II?
Załącznik I (o wysokiej krytyczności): energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna. Załącznik II (krytyczne): usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja wyrobów medycznych i maszyn, dostawcy usług cyfrowych, badania naukowe. Jeśli Twoja działalność nie mieści się w jednym z nich, jesteś poza zakresem, niezależnie od tego, komu sprzedajesz. Mała drukarnia zaopatrująca szpital nadal pozostaje drukarnią.
Czy jesteś średnim przedsiębiorstwem lub większym?
Próg to definicja MŚP z zalecenia Komisji 2003/361/WE: co najmniej 50 pracowników oraz co najmniej 10 milionów EUR obrotu lub sumy bilansowej, albo więcej. Jeśli jesteś poniżej tego, jesteś poza zakresem, chyba że mimo to obejmie Cię jeden z wyjątków obejmujących niezależnie od wielkości w artykule 2 ust. 2 do 4 (np. jesteś jedynym dostawcą usługi kluczowej, kwalifikowanym dostawcą usług zaufania lub dostawcą usług DNS).
Czy wyłączenie Cię nie wyklucza?
Nawet jeśli testy 1 i 2 wypadają na tak, artykuł 2 ust. 7 do 11 może Cię wykluczyć (bezpieczeństwo narodowe, bezpieczeństwo publiczne, obronność, ściganie przestępstw) lub bardziej szczegółowe prawo UE może mieć pierwszeństwo (podmioty finansowe objęte DORA pomijają artykuł 21 i artykuł 23, ale nadal rejestrują się na podstawie artykułu 27). Bycie dostawcą podmiotu NIS 2 nigdy nie jest wyłączeniem, które Cię wciąga. Nigdy też nie jest przesłanką, która Cię wciąga.
Zakres na poziomie podmiotu
Artykuł 2 wiąże dyrektywę z konkretnym podmiotem na podstawie jego własnych cech. Nie istnieje zakres pochodny. DORA działa tak samo (podmioty finansowe według typu i wielkości). Dyrektywa CER działa tak samo (podmioty krytyczne według sektora). CRA działa tak samo (producenci produktów z elementami cyfrowymi). Każdy instrument ustala zakres na podstawie tego, czym jest podmiot podlegający regulacji, a nie tego, komu sprzedaje.
Kaskadują umowy, nie prawo
Artykuł 21 ust. 2 lit. d) czyni nabywcę odpowiedzialnym za zarządzanie ryzykiem bezpieczeństwa jego dostawców. Narzędziem nabywcy jest umowa. Dostawcy odczuwają więc nacisk handlowy, a nie nacisk regulacyjny. Klauzula proporcjonalności w artykule 21 ust. 1 reguluje, ile dowodów nabywca może żądać: dostawca oprogramowania wysokiego ryzyka otrzymuje głębszy kwestionariusz, biurowy SaaS niskiego ryzyka otrzymuje lżejszy. Twoim zadaniem jako dostawcy jest odczytywać te żądania jako warunki handlowe, a nie jako polecenia organu regulacyjnego.
BSI / BMI: §28 i §30 BSIG rozdzielają nabywcę i dostawcę
§28 BSIG wymienia typy podmiotów objętych zakresem i przeprowadza test wielkości na samym podmiocie. §30 BSIG (obowiązek dotyczący łańcucha dostaw) czyni konkretny besonders wichtige lub wichtige Einrichtung odpowiedzialnym za jego relacje z dostawcami. Żaden z tych przepisów nie wciąga niekwalifikującego się dostawcy w zakres. Kontrola stosowalności BSI (Betroffenheitsprüfer) testuje sektor i wielkość tego, kto przeprowadza kontrolę, a nie jego klientów.
ENISA: zakres na podstawie artykułu 2, ryzyko dostawców na podstawie artykułu 21
Wytyczne wdrożeniowe ENISA traktują zakres i środki dotyczące łańcucha dostaw jako dwa odrębne pytania. Zakres to załącznik I lub II plus wielkość. Bezpieczeństwo dostawców to jeden z mechanizmów, które podmiot objęty zakresem realizuje w ramach własnego zarządzania ryzykiem. Nie wciąga to dostawców do NIS 2. Rejestr ENISA na podstawie artykułu 27 wymienia wyłącznie podmioty, które same są objęte zakresem.
Inne państwa członkowskie stosują ten sam test na poziomie podmiotu
Niderlandzka Cyberbeveiligingswet, austriacka NISG oraz francuska transpozycja (zastępująca LPM dla sektorów cywilnych) czytają artykuł 2 tak samo. Niderlandzkie przedsiębiorstwo gospodarki odpadami zaopatrujące belgijskiego operatora energetycznego jest objęte zakresem tylko wtedy, gdy gospodarka odpadami jest jedną z jego własnych działalności i spełnia ono próg wielkości w Niderlandach. Organy krajowe nie mogą rozciągnąć dyrektywy prawem krajowym tak, aby objąć firmy, które samodzielnie nie kwalifikują się.
Nasz klient jest objęty zakresem, więc my też.
Nie. Artykuł 2 ust. 1 stosuje dyrektywę do Ciebie na podstawie Twojego sektora i Twojej wielkości. Status Twojego klienta nie jest częścią testu. Nadal możesz być zobowiązany do przestrzegania umownych klauzul bezpieczeństwa, które klient Ci przedstawia. Nie czyni to Cię podmiotem NIS 2. Czyni Cię stroną umowy.
NIS 2 kaskaduje w dół łańcucha dostaw.
Nie. Kaskadują umowy. Dyrektywa nie. Artykuł 21 ust. 2 lit. d) czyni nabywcę odpowiedzialnym za zarządzanie bezpieczeństwem jego bezpośrednich dostawców. Nabywca wpisuje to do umów zakupowych. Jesteś zobowiązany wobec nabywcy (na podstawie umowy), a nie wobec organu regulacyjnego (na podstawie NIS 2). Ta sama logika dotyczy poddostawców: tylko bezpośrednia relacja jest objęta zakresem artykułu 21 ust. 2 lit. d), a nie dostawca dostawcy.
Nasz klient kazał nam zarejestrować się w organie krajowym, więc musimy.
Nie. Rejestracja na podstawie artykułu 27 jest wymagana wyłącznie dla podmiotów, które same są objęte zakresem na podstawie artykułu 2 (z dodatkowymi regułami dla dostawców DNS, dostawców usług chmurowych, MSP i kilku innych). Klient nie może wymyślić dla Ciebie obowiązku rejestracji. Jeśli nabywca nalega, zapytaj go, pod który wpis załącznika i pod który próg wielkości jego zdaniem podlegasz. Jeśli odpowiedzi nie ma w artykule 2, obowiązek nie istnieje.
Jeśli jesteś nabywcą (podmiotem NIS 2), Twoim zadaniem na podstawie artykułu 21 ust. 2 lit. d) i CIR §5 jest sporządzić politykę bezpieczeństwa dostawców z kryteriami wyboru, prowadzić rejestr ryzyka dostawców oraz wpisać proporcjonalne klauzule bezpieczeństwa do umów z bezpośrednimi dostawcami. Oceniasz i zarządzasz. Nie delegujesz tego organowi regulacyjnemu. CIR §5 wyraźnie stanowi, że możesz dobrać dowody odpowiednie do ryzyka: certyfikację ISO 27001, raporty SOC 2, podsumowania testów penetracyjnych, poświadczenia bezpiecznego rozwoju. Artykuł 21 ust. 1 pozwala skalować głębokość dowodów do faktycznego ryzyka dostawcy. Dostawca oprogramowania wysokiego ryzyka otrzymuje głębsze żądanie niż firma drukująca Twoje wizytówki.
Jeśli jesteś dostawcą, a Twój klient jest objęty zakresem, najpierw przeprowadź test artykułu 2 na sobie. Jeśli go nie przejdziesz, nie jesteś podmiotem NIS 2. Twój klient i tak prześle Ci umowne obowiązki bezpieczeństwa. Odczytuj je jako warunki handlowe: negocjuj zakres, głębokość dowodów, prawa do audytu, terminy powiadamiania o naruszeniach. Jeśli samodzielnie przejdziesz artykuł 2, zarejestruj się na podstawie artykułu 27 oraz spełnij artykuł 21 i artykuł 23 we własnym imieniu, niezależnie od tego, o co prosi którykolwiek pojedynczy klient.
Dla nabywców platforma zamienia obowiązek z artykułu 21 ust. 2 lit. d) i CIR §5 w działające narzędzie: rejestr dostawców z poziomami ryzyka, bibliotekę klauzul, przepływ pracy dla dowodów oraz portal dostawcy, w którym Twoi dostawcy odpowiadają na kwestionariusz. Ty prowadzisz rejestr. Twój dostawca widzi wyłącznie pytania skierowane do niego.
Dla dostawców portal dostawcy pozwala odpowiedzieć na kwestionariusz bezpieczeństwa raz i wykorzystać odpowiedź u wielu klientów. Portal uwidacznia handlowy charakter żądania: odpowiadasz na politykę zakupową swojego klienta, a nie organowi regulacyjnemu. Jeśli okaże się, że samodzielnie jesteś objęty zakresem na podstawie artykułu 2, ta sama platforma obsłuży Twój własny rejestr obowiązków NIS 2 od strony nabywcy.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 (zakres), załącznik I i załącznik II (sektory), artykuł 21 ust. 2 lit. d) (bezpieczeństwo łańcucha dostaw) oraz artykuł 21 ust. 3 (uwzględnienie podatności charakterystycznych dla dostawcy).
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r., §5 (bezpieczeństwo łańcucha dostaw): polityka zakupowa z kryteriami wyboru, rejestr ryzyka dostawców, umowne obowiązki bezpieczeństwa.
- Zalecenie Komisji 2003/361/WE, artykuł 2 załącznika (definicja średniego przedsiębiorstwa: co najmniej 50 pracowników oraz co najmniej 10 milionów EUR obrotu lub sumy bilansowej).
- BSIG (Niemcy) §28 (Einrichtungsarten und Größenkriterien) oraz §30 (Risikomanagementmaßnahmen, w tym Lieferkettensicherheit), wdrażające NIS 2 art. 2 i 21.
- Wytyczne wdrożeniowe ENISA dotyczące NIS 2 oraz specyfikacja rejestru podmiotów z art. 27: zakres na podstawie art. 2 rozstrzyga, czy podmiot jest zarejestrowany; środki dotyczące łańcucha dostaw na podstawie art. 21 rozstrzygają, co podmiot objęty zakresem robi w odniesieniu do swoich dostawców.