Sou um fornecedor de computação em nuvem ao abrigo da NIS 2?
A NIS 2 lista os serviços de computação em nuvem no Anexo I setor 8 (Infraestrutura Digital). O Artigo 6(30) fixa a definição jurídica que cobre IaaS, PaaS e SaaS. O Artigo 2(1) aplica depois o teste normal de dimensão de média empresa. O CIR (UE) 2024/2690 coloca os fornecedores de cloud no seu Anexo, o que significa que partes desse Regulamento o vinculam diretamente em toda a UE.
A versão curta
Se presta um serviço de computação em nuvem a clientes, está em âmbito da NIS 2 assim que atravessar o limiar de dimensão de média empresa. O Anexo I setor 8 nomeia os fornecedores de serviços de computação em nuvem diretamente sob a Infraestrutura Digital. A definição do Artigo 6(30) é abrangente: IaaS, PaaS, SaaS, cloud pública, cloud privada vendida como serviço, ofertas híbridas, contam todas.
Ao contrário das telecomunicações ou do DNS, os fornecedores de cloud não estão na lista 'independentemente da dimensão' do Artigo 2(2). Aplica-se o teste normal do Artigo 2(1): de média dimensão ao abrigo da Recomendação 2003/361/CE significa 50 trabalhadores ou mais, ou volume de negócios anual acima de 10 milhões de EUR. Atravesse qualquer um dos limiares e fica em âmbito. Fique abaixo de ambos e está normalmente fora, com as exceções limitadas do Artigo 2(2) e (3) que não se aplicam à cloud enquanto tal.
A Alemanha coloca isto no direito nacional através do §28 BSIG. A BSI é a sua autoridade. Por cima da Diretiva, o Regulamento de Execução (UE) 2024/2690 da Comissão lista os fornecedores de cloud no seu Anexo, pelo que os seus requisitos técnicos e metodológicos o vinculam diretamente sem necessidade de mais legislação alemã. Esta página percorre a Diretiva, a definição da UE e a transposição alemã por essa ordem.
Diretiva NIS 2 (2022/2555), Anexo I Setor 8 e Art. 6(30)
Setor 8 Infraestrutura Digital: fornecedores de serviços de computação em nuvem. Por 'serviço de computação em nuvem' entende-se um serviço digital que permite a administração a pedido e o acesso remoto alargado a um conjunto escalável e elástico de recursos informáticos partilháveis, incluindo quando esses recursos estão distribuídos por vários locais.
Duas passagens têm de ser lidas em conjunto. O Anexo I setor 8 nomeia os fornecedores de serviços de computação em nuvem como infraestrutura essencial. O Artigo 6(30) define o que conta como serviço de computação em nuvem. A redação é neutra do ponto de vista tecnológico e cobre IaaS, PaaS e SaaS. Não há mais nenhum regulamento da UE que redefina este termo, pelo que prevalece a definição da própria Diretiva.
Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo
O presente regulamento aplica-se às entidades referidas no artigo 3.o da Diretiva (UE) 2022/2555 enumeradas no anexo do presente regulamento, a saber: fornecedores de serviços de DNS, registos de nomes de TLD, fornecedores de serviços de computação em nuvem, fornecedores de serviços de centros de dados, fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, fornecedores de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, e prestadores de serviços de confiança.
O CIR (UE) 2024/2690 lista os fornecedores de serviços de computação em nuvem no seu Anexo. Eis o truque jurídico que importa: um Regulamento é diretamente aplicável, sem transposição nacional necessária. O CIR estabelece o quadro detalhado de gestão de risco (§2), os requisitos de gestão de incidentes, segurança da cadeia de fornecimento, tratamento de vulnerabilidades e os limiares de 'incidente significativo' para estes setores. Os fornecedores de cloud lidam, portanto, com uma camada de Diretiva (transposta no BSIG) mais uma camada de Regulamento que os vincula na mesma redação em todos os Estados-Membros.
§28 BSIG, Alemanha
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
A Alemanha transpõe os deveres da cloud através do §28 BSIG. A BSI é a autoridade central da NIS 2 para o registo, o quadro de gestão de risco e o reporte de incidentes. Os fornecedores de cloud acima do limiar de dimensão são classificados como 'besonders wichtige Einrichtungen' (entidades essenciais). Abaixo do limiar, os deveres não se aplicam, a menos que uma das inclusões limitadas do Artigo 2(2) ou (3) seja acionada. A cloud enquanto tal não está nessas listas.
Presta um serviço de computação em nuvem?
Aplique a definição do Artigo 6(30). O serviço tem de ser digital, a pedido, amplamente acessível remotamente e assente num conjunto escalável e elástico de recursos partilháveis. IaaS (computação, armazenamento, rede), PaaS (runtimes geridos, bases de dados como serviço) e SaaS (aplicações de negócio multi-inquilino vendidas pela rede) cumprem todos a definição. Uma aplicação alojada de inquilino único vendida como serviço normalmente também cumpre, porque o conjunto de recursos subjacente é partilhado ao nível do fornecedor.
Atravessa o limiar de dimensão?
Os fornecedores de cloud seguem o teste normal do Artigo 2(1). Ao abrigo da Recomendação 2003/361/CE, média dimensão começa em 50 trabalhadores ou volume de negócios anual acima de 10 milhões de EUR (com total do balanço anual acima de 10 milhões de EUR como alternativa). Com 250 trabalhadores ou volume de negócios acima de 50 milhões de EUR torna-se uma grande empresa e é classificado como 'essencial'. Abaixo de 50 trabalhadores e volume de negócios abaixo de 10 milhões de EUR, fica normalmente fora de âmbito enquanto fornecedor de cloud.
O CIR vincula-o diretamente
Assim que estiver em âmbito, duas camadas empilham-se. O BSIG (na Alemanha) transpõe a Diretiva. O CIR (UE) 2024/2690 lista-o no seu Anexo e vincula-o diretamente. Isso significa que o quadro de gestão de risco do §2 CIR, as regras de cadeia de fornecimento do §6 e os limiares de significância de incidentes se aplicam na mesma redação em todos os Estados-Membros. Não há variante nacional do CIR a consultar.
As três camadas de serviço contam todas
O Artigo 6(30) é neutro quanto à camada. IaaS, PaaS e SaaS cumprem todos a definição porque os três assentam num conjunto de recursos partilhado, escalável e elástico. Um erro comum é assumir que 'cloud' significa apenas o IaaS dos hyperscalers. O texto apanha um fornecedor alemão de SaaS que vende uma ferramenta de RH multi-inquilino tal como apanha a AWS, a Azure e a GCP. O limiar de dimensão filtra depois quem efetivamente tem deveres.
Elástico e partilhável é a fronteira
Se o conjunto de recursos não for escalável e elástico, ou não for partilhável, o serviço não é um serviço de computação em nuvem ao abrigo do Artigo 6(30). Um servidor dedicado de cliente único com capacidade fixa que opera por conta do cliente é alojamento, não cloud. Uma jaula de centro de dados dedicada ao cliente é colocation, não cloud. Ambos podem ainda recair noutras linhas do Anexo I setor 8 (serviço de centro de dados, serviço gerido), mas não na linha da cloud. A definição faz a filtragem.
BSI / §28 BSIG
A BSI é a autoridade central da NIS 2. O registo, o quadro de gestão de risco, o prazo de reporte de incidentes (aviso prévio de 24h, notificação de 72h, relatório final de 1 mês) correm todos através da BSI. O §28 BSIG classifica os fornecedores de cloud em âmbito como 'besonders wichtige Einrichtungen'. Assim que atravessar o limiar de dimensão, regista-se junto da BSI.
BSI C5 (referência operacional)
O C5 é o catálogo de segurança de cloud da BSI. Não é uma obrigação NIS 2, mas na prática muitos clientes de cloud alemães pedem uma atestação C5 type 2 nos seus contratos. O conjunto de controlos sobrepõe-se fortemente ao quadro de gestão de risco do §2 CIR, pelo que os fornecedores que já detêm uma atestação C5 podem reutilizar a maior parte da evidência para a sua documentação de gestão de risco da NIS 2.
ENISA / Anexo do CIR
A ENISA, a agência de cibersegurança da UE, publica Technical Implementation Guidance para o CIR. Como os fornecedores de cloud estão listados no Anexo do CIR, essa orientação é a referência do dia a dia para a gestão de risco do §2, as expectativas da cadeia de fornecimento e o modelo de limiar de 'incidente significativo'. O texto é idêntico à escala da UE, pelo que um fornecedor de cloud que serve DE, NL, FR e IT aplica a mesma redação do CIR em cada mercado.
Autoridades nacionais de cibersegurança
Cada Estado-Membro tem a sua própria autoridade NIS 2 a gerir a camada de registo e supervisão: a RDI nos Países Baixos, a ANSSI em França, a ACN em Itália, o INCIBE em Espanha. Os deveres da Diretiva são transpostos localmente, o CIR vincula a mesma redação em toda a parte. Para um fornecedor de cloud que vende em toda a UE, os registos são nacionais, o quadro de gestão de risco é um único documento usado em toda a parte.
Alugamos servidores dedicados, por isso somos um fornecedor de cloud ao abrigo da NIS 2.
Normalmente não, na linha da cloud. O Artigo 6(30) exige um conjunto escalável e elástico de recursos partilháveis. Um servidor bare-metal alugado a um cliente com capacidade fixa é alojamento. Pode colocá-lo na linha de serviço de centro de dados do Anexo I setor 8 (definição diferente, mesmo setor), ou na de prestador de serviços geridos se também o operar para o cliente, mas não na de serviço de computação em nuvem. Leia as definições, não o rótulo de marketing da sua própria lista de preços.
Somos um SaaS pequeno, por isso as regras da cloud não se aplicam a nós.
O teste jurídico tem duas partes. Primeiro o Artigo 6(30): um SaaS multi-inquilino vendido pela rede sobre uma infraestrutura partilhada cumpre a definição. Segundo o Artigo 2(1): o limiar de dimensão. Se tem menos de 50 trabalhadores e menos de 10 milhões de EUR de volume de negócios, está fora de âmbito na linha da cloud. Se atravessa qualquer um, está em âmbito. 'Nicho' não é uma categoria jurídica. Os números e a definição fazem o trabalho.
Operamos uma cloud privada para o nosso próprio grupo, por isso somos um fornecedor de cloud em âmbito.
Normalmente não. O serviço do Artigo 6(30) tem de ser prestado a clientes. Uma cloud privada puramente interna que serve apenas a sua própria organização não é um serviço no sentido regulatório, pelo que não conta para a linha da cloud. Pode ainda estar em âmbito da NIS 2 no setor em que o seu grupo opera (energia, saúde, transportes, fabrico), mas não enquanto fornecedor de serviços de computação em nuvem com base numa plataforma interna.
Um fornecedor alemão de SaaS com 60 pessoas, um produto multi-inquilino e 12 milhões de EUR de volume de negócios anual está em âmbito da NIS 2 na linha da cloud. O Anexo I setor 8 nomeia os fornecedores de serviços de computação em nuvem; o Artigo 6(30) é cumprido porque o conjunto de recursos é partilhado, elástico e acessível remotamente; o Artigo 2(1) é cumprido porque a empresa é de média dimensão. O §28 BSIG classifica-a como 'besonders wichtige Einrichtungen'. O Anexo do CIR coloca-a sob o quadro de gestão de risco do §2, diretamente vinculativo. Nada disto é discricionário.
O que vemos na prática: o fornecedor escreve um quadro de gestão de risco do §2 CIR face ao seu stack de produção (aplicação, runtime, camada de dados, identidade, contas de cloud de suporte), mapeia os tópicos do Artigo 21(2) sobre o quadro, e usa a proporcionalidade do Artigo 21(1) para escalar a profundidade a uma operação de 60 pessoas. A deteção de incidentes, a cadência de notificação de 24h / 72h / 1 mês e os deveres de cadeia de fornecimento do §6 CIR assentam todos na mesma lista de ativos. Uma atestação C5 type 2, se o fornecedor a detiver, cobre uma grande parte da evidência do §2 e é reutilizada como documentação, não refeita.
A nossa verificação de aplicabilidade percorre o Artigo 6(30) passo a passo. Pergunta o que presta, se o conjunto de recursos é partilhado e elástico, e se o serviço é vendido a clientes. O resultado diz-lhe qual a linha do Anexo I que se aplica (cloud, centro de dados, serviço gerido, definições todas separadas), se o limiar de dimensão do Artigo 2(1) o apanha, e quais as categorias do Anexo do CIR que o vinculam diretamente, além do BSIG.
O módulo de ativos cobre o stack de produção num só inventário: fronteiras de inquilino, fornecedores de identidade, repositórios de dados, contas de cloud de suporte, subcontratantes terceiros. O quadro de gestão de risco do §2 CIR corre depois face a esse inventário, pelo que a mesma lista de ativos alimenta o registo junto da BSI, as avaliações de cadeia de fornecimento do §6 CIR e a evidência da atestação C5 sem dupla manutenção.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I Setor 8 e definição de serviço de computação em nuvem do Artigo 6(30). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2(1) âmbito de dimensão e setor; Artigo 2(2) inclusões independentes da dimensão. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas. eur-lex.europa.eu/eli/reco/2003/361/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo (lista os fornecedores de serviços de computação em nuvem entre as entidades diretamente vinculadas). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei da BSI (BSIG), §28, com a redação dada pela Lei de Execução da NIS2 e de Reforço da Cibersegurança
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), edição atual. bsi.bund.de