Dostawca zostaje naruszony. Czego wymaga NIS 2 od podmiotu?
Artykuł 21 ust. 2 lit. d) NIS 2 umieszcza bezpieczeństwo łańcucha dostaw na podmiocie. Artykuł 23 reguluje zgłaszanie incydentów. Oba mają zastosowanie, gdy dotknięty dostawca naraża własne usługi podmiotu.
Co obejmuje ta strona
Artykuł 21 ust. 2 lit. d) NIS 2 wymaga od podmiotów podjęcia odpowiednich i proporcjonalnych środków w celu zaradzenia ryzyku bezpieczeństwa łańcucha dostaw dla ich własnych sieci i systemów informatycznych. Obowiązek spoczywa na podmiocie, nie na dostawcy. Dyrektywa nie reguluje dostawców, którzy sami są poza zakresem; reguluje, jak podmiot w zakresie nimi zarządza.
Gdy bezpośredni dostawca zostaje naruszony, wynikają dwie odrębne kwestie. Po pierwsze, czy dotknięto własnego świadczenia usług podmiotu, co może uruchomić zgłoszenie incydentu na podstawie artykułu 23 na poziomie podmiotu. Po drugie, czy umowny łańcuch powiadomień na podstawie artykułu 21 ust. 2 lit. d) działa, tak aby podmiot dowiedział się o naruszeniu w uzgodnionym czasie i na uzgodnionym kanale.
Naruszenie u dotkniętego dostawcy nie jest samo w sobie incydentem podlegającym zgłoszeniu dla podmiotu. Staje się nim, gdy naruszenie powoduje poważny incydent u podmiotu w rozumieniu artykułu 23 ust. 3 NIS 2.
Artykuł 21 ust. 2 lit. d) NIS 2
bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.
Artykuł odnosi się do relacji z bezpośrednimi dostawcami, a nie do samego dostawcy. Podmiot pozostaje odpowiedzialny za zarządzanie tą relacją, w tym za incydenty, które się z niej propagują.
Motyw 90 NIS 2
podmioty powinny ocenić i uwzględnić ogólną jakość i odporność produktów i usług, wbudowane w nie środki zarządzania ryzykiem cyberbezpieczeństwa oraz praktyki cyberbezpieczeństwa swoich dostawców i usługodawców, w tym ich procedury bezpiecznego rozwoju.
Motyw 90 wyjaśnia logikę polityczną stojącą za artykułem 21 ust. 2 lit. d). Ujmuje bezpieczeństwo łańcucha dostaw jako bieżącą ocenę postawy dostawcy, a nie jednorazową kontrolę przy nawiązywaniu współpracy.
Artykuł 23 ust. 3 NIS 2
incydent uznaje się za poważny, jeżeli: a) spowodował lub może spowodować poważne zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu; b) wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niematerialne.
Artykuł 23 ust. 3 definiuje próg istotności na poziomie podmiotu. Incydent u dostawcy ocenia się przez ten pryzmat, gdy dosięga własnych usług podmiotu.
Dowiedz się o naruszeniu na czas
Artykuł 21 ust. 2 lit. d) przekłada się na klauzulę umowną. Dotknięty dostawca musi powiadomić podmiot w określonym czasie i na określonym kanale. Bez tej klauzuli podmiot dowiaduje się z komunikatów prasowych, co jest zbyt późne dla harmonogramu z artykułu 23.
Oceń własne narażenie podmiotu
Pytanie nie brzmi, czy dostawca ma kłopoty. Pytanie brzmi, czy dotknięto własnych sieci i systemów informatycznych podmiotu lub usług, które świadczy. To ćwiczenie faktyczne: które dane, który interfejs, która zależność, która ścieżka awaryjna.
Zdecyduj o własnym zgłoszeniu podmiotu
Jeśli własne usługi podmiotu przekraczają próg z artykułu 23 ust. 3, podmiot składa wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu jednego miesiąca. Zgłoszenie składa podmiot za podmiot, nawet jeśli przyczyna źródłowa leży u dostawcy.
Obowiązek spoczywa na podmiocie
Artykuł 21 wymienia środki, które podmiot musi przyjąć. Nie reguluje dostawcy. Jeśli dotknięty dostawca sam jest w zakresie NIS 2, ma własne obowiązki. Te obowiązki nie zastępują obowiązków podmiotu; biegną równolegle.
Umowa przed kryzysem
Motyw 90 oczekuje, że relacja z dostawcą zostanie oceniona, zanim dojdzie do incydentu. Łańcuch powiadomień, obowiązek współpracy, prawo do otrzymania dowodu: żyją one w umowie. Po naruszeniu jest złym momentem na ich negocjowanie.
§30 + §32 BSIG
§30 BSIG przenosi obowiązek zarządzania ryzykiem łańcucha dostaw do prawa niemieckiego. §32 BSIG przenosi strukturę zgłaszania 24 godz. / 72 godz. / jeden miesiąc. Podmiot zgłasza przez portal zgłoszeniowy BSI, niezależnie od tego, gdzie wystąpiło pierwotne naruszenie.
ENISA Threat Landscape for Supply Chain
ENISA publikuje coroczne materiały o wzorcach ataków na łańcuch dostaw i praktyce powiadamiania. To materiał referencyjny dla metodyki ryzyka podmiotu na podstawie artykułu 21 ust. 2 lit. d), a nie odrębny obowiązek.
Wytyczne sektorowego CSIRT
Dla podmiotów infrastruktury cyfrowej rozporządzenie wykonawcze Komisji 2024/2690 doprecyzowuje wymagania łańcucha dostaw na kolejnym poziomie szczegółowości. Inne sektory podążają bezpośrednio za artykułem 21 ust. 2 lit. d), uściślonym przez krajowe wytyczne i sektorowe CSIRT.
"To problem dostawcy."
Artykuł 21 ust. 2 lit. d) umieszcza obowiązek łańcucha dostaw na podmiocie. Dostawca może, ale nie musi mieć własnych obowiązków NIS 2, w zależności od tego, czy jest w zakresie. Obowiązek podmiotu istnieje tak czy inaczej.
"Dostawca zgłasza, więc podmiot nie musi."
Dostawca w zakresie NIS 2 zgłasza własny poważny incydent. To zgłoszenie nie spełnia artykułu 23 za podmiot. Jeśli własne usługi podmiotu osiągają próg z artykułu 23 ust. 3, podmiot składa zgłoszenie osobno na poziomie podmiotu.
"IT obserwuje dostawcę, nie trzeba angażować kierownictwa."
Artykuł 20 NIS 2 wymaga, aby organ zarządzający zatwierdził środki zarządzania ryzykiem cyberbezpieczeństwa i nadzorował ich wdrożenie. Monitorowanie łańcucha dostaw jest jednym z tych środków. Cichy proces IT bez zatwierdzenia przez organ zarządzający nie spełnia artykułu 20.
Trudną częścią rzadko jest zgłoszenie. Trudną częścią jest ocena zależności pod presją czasu. Jeśli podmiot nie wie już, który dostawca dotyka której usługi, których danych i przez który interfejs, pierwsze godziny po naruszeniu dostawcy spędza się na rekonstruowaniu tej mapy, zamiast działać na jej podstawie.
Inwentaryzacja aktywów i dostawców, która wymienia, dla każdego dostawcy, dotkniętą usługę, kategorię danych i umowny kanał powiadamiania, zamienia naruszenie dostawcy z sytuacji nadzwyczajnej w rutynę. Dyrektywa nie nakazuje formatu tej inwentaryzacji. Wymaga jednak, aby istniała w formie, którą podmiot może rzeczywiście wykorzystać.
Platforma prowadzi rejestr dostawców powiązany z usługami podmiotu oraz umowne pole powiadamiania dla każdego dostawcy. Gdy naruszenie dostawcy zostaje zarejestrowane, dotknięte usługi wynurzają się natychmiast, a zegar zgłaszania z artykułu 23 może ruszyć na czystej mapie zależności.
Zatwierdzenie podejścia do ryzyka łańcucha dostaw przez organ zarządzający jest rejestrowane jako jednorazowa akceptacja z wersjonowaną ścieżką audytu. Ta sama ścieżka rejestruje każde naruszenie dostawcy oraz decyzję o istotności z artykułu 23 ust. 3, którą podjął podmiot, tak aby ocenę można było później skontrolować.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 20, artykuł 21 ust. 2 lit. d), artykuł 23, motyw 90. EUR-Lex.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690, wymagania łańcucha dostaw dla podmiotów infrastruktury cyfrowej.
- BSIG (Niemcy), §30 (środki zarządzania ryzykiem), §32 (zgłaszanie incydentów).
- ENISA Threat Landscape for Supply Chain Attacks, edycja coroczna.