Sektor kosmiczny w ramach NIS 2
Załącznik I, sektor 11. Infrastruktura naziemna wspierająca usługi kosmiczne. Wąski zakres, często błędnie odczytywany.
Co obejmuje ta strona
NIS 2 wymienia przestrzeń kosmiczną jako sektor 11 w Załączniku I (sektory o wysokiej krytyczności). Brzmienie jest węższe, niż sugeruje nazwa. Dyrektywa nie obejmuje wszystkiego, co dotyka przestrzeni kosmicznej. Obejmuje operatorów infrastruktury naziemnej, która wspiera świadczenie usług kosmicznych.
To rozróżnienie ma znaczenie. Producent satelitów budujący sprzęt w pomieszczeniu czystym nie jest objęty zakresem na mocy sektora kosmicznego. Firma obsługująca stację naziemną, centrum kontroli misji lub obiekt telemetrii, śledzenia i sterowania prawdopodobnie tak, jeśli spełnia test wielkości z Artykułu 2 i nie jest wyłączona.
Ta strona odczytuje wpis z Załącznika I dosłownie, przedstawia test wielkości z Artykułu 2, wskazuje rozporządzenie w sprawie unijnego programu kosmicznego jako powiązany reżim i wymienia najczęstsze błędy w określaniu zakresu, które widzimy w praktyce.
Dyrektywa (UE) 2022/2555, Załącznik I, sektor 11 (Przestrzeń kosmiczna)
Operatorzy infrastruktury naziemnej, będącej własnością państw członkowskich lub stron prywatnych oraz przez nie zarządzanej i obsługiwanej, która wspiera świadczenie usług kosmicznych, z wyłączeniem dostawców publicznych sieci łączności elektronicznej.
To pełna definicja sektorowa. Trzy filtry stosują się jednocześnie. Po pierwsze, klasą zasobów jest infrastruktura naziemna. Po drugie, funkcją jest wspieranie usług kosmicznych. Po trzecie, dostawcy publicznych sieci łączności elektronicznej są wyłączeni, ponieważ są ujęci w sektorze 8 (infrastruktura cyfrowa) i reżimie EECC.
Rozporządzenie (UE) 2021/696 (unijny program kosmiczny)
Ustanawiające unijny program kosmiczny i Agencję Unii Europejskiej ds. Programu Kosmicznego (EUSPA).
Rozporządzenie w sprawie programu kosmicznego reguluje komponenty UE Galileo, EGNOS, Copernicus, GOVSATCOM i SST. EUSPA obsługuje części tych usług. NIS 2 funkcjonuje obok tego reżimu. Operatorzy infrastruktury naziemnej wspierającej takie programy mogą podlegać obu. Nie są automatycznie zwolnieni z NIS 2 z tego powodu, że są częścią programu UE.
BSIG, Anlage 1, Nummer 11 (niemiecka transpozycja NIS 2)
Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden, die die Erbringung weltraumgestützter Dienste unterstützen, mit Ausnahme von Anbietern öffentlicher elektronischer Kommunikationsnetze.
Niemcy transponują brzmienie z Załącznika I jeden do jednego. Nie ma odrębnego niemieckiego rozszerzenia sektora. BSI jest właściwym organem nadzoru nad cyberbezpieczeństwem zgodnie z §61 BSIG. Polityka sektorowa należy do Federalnego Ministerstwa Gospodarki i Ochrony Klimatu (BMWK) i Niemieckiej Agencji Kosmicznej przy DLR.
Infrastruktura naziemna
Klasą zasobów jest fizyczna infrastruktura naziemna. Typowe przykłady to satelitarne stacje naziemne, anteny, obiekty bramowe, centra kontroli misji, centra operacji satelitarnych, obiekty telemetrii, śledzenia i sterowania (TT&C) oraz dedykowane centra przetwarzania danych ładunku satelitarnego. Zasoby kosmiczne (same satelity) nie są tu objętym zakresem obiektem.
Wspiera usługi kosmiczne
Funkcją infrastruktury musi być wspieranie świadczenia usług dostarczanych z przestrzeni kosmicznej lub przez nią (nawigacja, obserwacja Ziemi, łączność satelitarna, bezpieczna łączność). Centra danych ogólnego przeznaczenia lub IT biurowe, które akurat należą do firmy kosmicznej, nie stają się objęte zakresem tylko dlatego, że właściciel jest w sektorze.
Nie publiczna sieć łączności elektronicznej
Dostawcy publicznych sieci łączności elektronicznej są wyraźnie wyłączeni z sektora 11. Są ujęci w sektorze 8 (infrastruktura cyfrowa) i Europejskim kodeksie łączności elektronicznej. Pozwala to uniknąć podwójnej regulacji operatorów telekomunikacyjnych, którzy także korzystają z łączy satelitarnych.
Test wielkości z Artykułu 2(1) nadal się stosuje
Wymienienie w Załączniku I jest konieczne, ale niewystarczające. Artykuł 2(1) dodaje test wielkości. Domyślny próg to średnie przedsiębiorstwo lub większe (50 lub więcej pracowników albo więcej niż 10 milionów EUR rocznego obrotu i suma bilansowa powyżej 10 milionów EUR). Niektóre rodzaje podmiotów są objęte zakresem niezależnie od wielkości zgodnie z Artykułem 2(2), ale te reguły nadrzędne zazwyczaj nie obejmują komercyjnych operatorów kosmicznych.
Operator, nie producent
Dyrektywa konsekwentnie używa słowa operatorzy. Wyzwalaczem prawnym jest obsługiwanie infrastruktury naziemnej, która wspiera usługi kosmiczne. Projektowanie, budowanie lub sprzedaż satelitów, rakiet nośnych lub sprzętu naziemnego nie jest tym, czym jest sektor 11. Producenci mogą nadal być objęci przez inne sektory (na przykład jako dostawcy usług cyfrowych lub w ramach produkcji z Załącznika II), jeśli te wpisy sektorowe pasują.
BSI jako nadzorca cyberbezpieczeństwa, BMWK i DLR jako polityka sektorowa
Zgodnie z BSIG Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) nadzoruje obowiązki cyberbezpieczeństwa dla podmiotów objętych zakresem, w tym podmiotów sektora kosmicznego. Polityka sektorowa i sprawy programu kosmicznego należą do Federalnego Ministerstwa Gospodarki i Ochrony Klimatu (BMWK) i Niemieckiej Agencji Kosmicznej przy DLR. Operatorzy komponentów unijnego programu kosmicznego w Niemczech koordynują się także z EUSPA.
ENISA i EUSPA na poziomie UE
ENISA wspiera wymiar cyberbezpieczeństwa NIS 2 we wszystkich sektorach. EUSPA odpowiada za zarządzanie operacyjne i świadczenie usług komponentów unijnego programu kosmicznego. ENISA opublikowała wytyczne sektorowe dla przestrzeni kosmicznej; EUSPA ma własne ramy bezpieczeństwa dla operatorów programów UE. NIS 2 nie zastępuje żadnego z nich, ale stanowi bazę.
Organy krajowe gdzie indziej
Inne państwa członkowskie wyznaczają własne właściwe organy NIS 2. Krajowe agencje kosmiczne (na przykład CNES we Francji, ASI we Włoszech, NSO w Niderlandach) działają jako partnerzy polityki i programu, a nie jako nadzorcy NIS 2. Współpraca z ESA jest kontynuowana w ramach Konwencji ESA; sama ESA jest organizacją międzyrządową, a nie właściwym organem państwa członkowskiego w ramach NIS 2.
Budujemy satelity lub sprzęt naziemny, więc jesteśmy objęci zakresem w ramach przestrzeni kosmicznej.
Sektor 11 jest skierowany do operatorów infrastruktury naziemnej, która wspiera usługi kosmiczne. Sama produkcja nie jest wyzwalaczem. Producent satelitów lub anten powinien sprawdzić Załącznik II sektor 5 (produkcja) i wszelkie obowiązki dostawcy usług cyfrowych osobno, zamiast zakładać, że wpis kosmiczny go obejmuje.
Jesteśmy laboratorium badawczym lub instytutem uniwersyteckim pracującym nad tematami kosmicznymi, więc NIS 2 obejmuje wszystko, co robimy.
Podmioty badawcze są ujęte w Załączniku I sektor 10 (badania) tylko wtedy, gdy są organizacjami badawczymi w rozumieniu Artykułu 6(41). Praca nad tematami kosmicznymi sama w sobie nie czyni laboratorium operatorem sektora 11. Pytanie brzmi, czy laboratorium obsługuje infrastrukturę naziemną wspierającą usługi kosmiczne i czy spełnia test wielkości z Artykułu 2.
Chodzi tu tylko o agencje UE jak ESA czy EUSPA.
Brzmienie Załącznika wyraźnie obejmuje infrastrukturę naziemną będącą własnością państw członkowskich lub stron prywatnych oraz przez nie zarządzaną i obsługiwaną. Prywatni operatorzy stacji naziemnych i centrów kontroli misji są częścią populacji docelowej. ESA jako organizacja międzyrządowa ma własny reżim prawny, ale krajobraz operatorów prywatnych mieści się jednoznacznie wewnątrz NIS 2.
Jeśli obsługujesz infrastrukturę naziemną dla usług satelitarnych, potraktuj pytanie o zakres jako dwie warstwy. Warstwa pierwsza to test sektora 11 z Załącznika I dotyczący tego, co faktycznie robi Twój obiekt. Warstwa druga to test wielkości z Artykułu 2 dotyczący podmiotu prawnego, który go prowadzi. Obie muszą być na tak, aby sektor 11 Cię objął.
Jeśli Twój podmiot jest objęty zakresem, obowiązki są takie same jak dla każdego innego podmiotu kluczowego lub ważnego zgodnie z Artykułami 20, 21, 23 i 27. Wewnątrz samej NIS 2 nie ma katalogu środków kontroli specyficznych dla przestrzeni kosmicznej. Operatorzy programów UE mogą nieść dodatkowe wymagania bezpieczeństwa z rozporządzenia (UE) 2021/696 i ram EUSPA, ale te stoją ponad, a nie zamiast.
Sprawdzenie objęcia zakresem pyta, czy obsługujesz infrastrukturę naziemną wspierającą usługi kosmiczne, a następnie stosuje test wielkości z Artykułu 2 i wyłączenie publicznych sieci łączności elektronicznej. Jeśli wynik to objęcie zakresem, sektor 11 zostaje oznaczony w Twoim rejestrze obowiązków, aby trasy zgłaszania, rejestracji i nadzoru trafiały do właściwego organu.
Jeśli wynik to poza zakresem w ramach sektora 11, platforma nadal sprawdza pozostałe wpisy z Załącznika I i Załącznika II. Firma kosmiczna może być poza zakresem w ramach sektora 11 i objęta zakresem na przykład w ramach produkcji lub zarządzania usługami ICT. Wynikiem jest jeden rejestr obowiązków, a nie pojedyncze tak lub nie.
- Dyrektywa (UE) 2022/2555 (NIS 2), Załącznik I, sektor 11 — EUR-Lex
- Dyrektywa (UE) 2022/2555 (NIS 2), Artykuł 2 (zakres) i Artykuł 6 (definicje) — EUR-Lex
- Rozporządzenie (UE) 2021/696 (unijny program kosmiczny) — EUR-Lex
- Niemiecka BSI-Gesetz (BSIG), Anlage 1, Nummer 11 — gesetze-im-internet.de
- Przeglądy sektorowe ENISA dotyczące przestrzeni kosmicznej — enisa.europa.eu
- EUSPA (Agencja Unii Europejskiej ds. Programu Kosmicznego) — euspa.europa.eu
- BMWK i DLR Raumfahrtmanagement — bmwk.de, dlr.de