Sou um prestador de centro de dados ao abrigo da NIS 2?
A NIS 2 lista os serviços de centro de dados no Anexo I setor 8 (Infraestrutura Digital). O artigo 6.o, n.o 31 define o serviço de modo a incluir energia e arrefecimento. O teste padrão da dimensão do artigo 2.o, n.o 1 e da Recomendação 2003/361/CE decide depois se os deveres se aplicam. A Alemanha transpõe através do §28 BSIG. A KRITIS-V (3,5 MW de carga de TI) é uma sobreposição nacional separada, não o ponto de entrada da NIS 2.
A versão curta
Se vende um serviço de centro de dados a terceiros, está abrangido assim que cumpre o limiar padrão de dimensão da NIS 2. O Anexo I setor 8 nomeia os prestadores de serviços de centro de dados diretamente sob Infraestrutura Digital. O artigo 6.o, n.o 31 diz-lhe o que conta como serviço: o conjunto de TI e de rede mais a distribuição de energia e o controlo ambiental de apoio. O telhado, a UPS, os chillers e o gerador a gasóleo fazem parte do serviço, não são adjacentes a ele.
O teste da dimensão é o padrão para a NIS 2. O artigo 2.o, n.o 1 da diretiva liga o âmbito à Recomendação 2003/361/CE: as entidades de média dimensão (50 ou mais colaboradores, ou volume de negócios anual e balanço acima de 10 milhões de EUR) caem sob o regime, as grandes entidades são "essenciais" em vez de "importantes". Não há inclusão independente da dimensão para os centros de dados, ao contrário das telecomunicações ou do DNS.
A Alemanha transpõe através do §28 BSIG. O limiar da KRITIS-Verordnung (3,5 MW de carga de TI) é uma sobreposição alemã separada que decide se o mesmo centro de dados é adicionalmente KRITIS, com deveres extra. Não decide se a NIS 2 se aplica. O CIR (UE) 2024/2690 lista os prestadores de serviços de centro de dados no seu Anexo, por isso partes do regulamento de execução vinculam os centros de dados diretamente sem transposição nacional adicional.
Diretiva NIS 2 (2022/2555), Anexo I Setor 8 e artigo 6.o, n.o 31
"serviço de centro de dados" significa um serviço que abrange estruturas, ou grupos de estruturas, dedicadas ao alojamento, interconexão e operação centralizados de equipamentos de tecnologia da informação e de rede que prestam serviços de armazenamento, processamento e transporte de dados, juntamente com todas as instalações e infraestruturas de distribuição de energia e de controlo ambiental.
Duas coisas a ler em conjunto. O Anexo I setor 8 nomeia os prestadores de serviços de centro de dados como Infraestrutura Digital. O artigo 6.o, n.o 31 diz-lhe que o serviço não é apenas os bastidores de TI. A distribuição de energia e o controlo ambiental fazem parte da definição legal. É isso que fixa os serviços do edifício (UPS, geradores, arrefecimento, supressão de incêndios) dentro do quadro de gestão de riscos da NIS 2.
Regulamento de Execução (UE) 2024/2690 da Comissão, Anexo
O presente regulamento estabelece os requisitos técnicos e metodológicos das medidas referidas no artigo 21.o, n.o 2 da Diretiva (UE) 2022/2555 no que respeita aos prestadores de serviços DNS, registos de nomes de TLD, prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, prestadores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, prestadores de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, e prestadores de serviços de confiança.
Os prestadores de serviços de centro de dados estão listados no Anexo do CIR pelo nome. Isso significa que os requisitos técnicos de gestão de riscos do CIR (gestão de ativos, controlo de acesso, criptografia, cadeia de abastecimento, tratamento de incidentes) vinculam os centros de dados diretamente. A transposição nacional não é necessária para a camada do CIR. A camada da diretiva continua a precisar do §28 BSIG para produzir efeitos na Alemanha.
§28 BSIG (Alemanha) e a KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
O §28 BSIG transpõe as obrigações da NIS 2 para centros de dados. O teste da dimensão do artigo 2.o, n.o 1 (50 colaboradores / 10 milhões de EUR de volume de negócios) decide se a entidade é "wichtig" ou "besonders wichtig". A KRITIS-Verordnung é uma camada alemã separada com o seu próprio limiar de 3,5 MW de carga de TI para centros de dados. A KRITIS acrescenta deveres por cima, não é a condição de entrada para a NIS 2. Um operador de colocation de 25 MW está em ambos os regimes. Um sítio de colocation com 200 colaboradores a 1 MW de carga de TI está no âmbito da NIS 2 mas não na KRITIS.
Vende um serviço de centro de dados?
O artigo 6.o, n.o 31 é o teste. Fornece estruturas dedicadas ao alojamento, interconexão e operação centralizados de equipamentos de TI e de rede, juntamente com a infraestrutura de energia e de controlo ambiental. Colocation, alojamento e salas dedicadas qualificam-se todos. A carga de TI e os serviços do edifício são um serviço em direito.
Está acima do limiar de dimensão?
O artigo 2.o, n.o 1 da NIS 2 remete para a Recomendação 2003/361/CE. As entidades de média dimensão (50 ou mais colaboradores, ou volume de negócios anual e total de balanço acima de 10 milhões de EUR) caem sob o regime como "importantes". As grandes entidades (acima de 250 colaboradores ou volume de negócios acima de 50 milhões de EUR) caem sob ele como "essenciais". Não há inclusão independente da dimensão para os centros de dados.
Aplica-se a sobreposição alemã KRITIS?
A KRITIS-V fixa um limiar de 3,5 MW de carga de TI para centros de dados na Alemanha. Ultrapassá-lo torna o sítio KRITIS para além da NIS 2, com deveres extra (ciclo de auditoria, normas mínimas setoriais). A KRITIS não é a condição de entrada para a NIS 2. Um operador de colocation de 1 MW com 200 colaboradores está dentro da NIS 2 mas fora da KRITIS.
Colocation, alojamento e dedicado qualificam-se todos
A definição do artigo 6.o, n.o 31 não distingue entre modelos de entrega. Quer alugue bastidores (colocation), alugue servidores (alojamento gerido) ou opere uma instalação de inquilino único para um cliente pagante, o serviço é o mesmo em direito: alojamento centralizado de equipamentos de TI e de rede, mais a energia e o controlo ambiental de apoio. Os deveres prendem-se ao serviço, não ao invólucro comercial.
Os centros de dados internos não são um serviço de centro de dados
Se opera um centro de dados puramente para o seu próprio grupo, não está a prestar um serviço de centro de dados no sentido da NIS 2. Não há serviço a um terceiro. A instalação pode ainda alimentar outra via de âmbito (o seu grupo pode estar abrangido por um setor diferente com os seus próprios ativos), mas não o apanha ao abrigo do Anexo I setor 8 como prestador de centro de dados. O teste depende de o serviço ser vendido.
BSI / §28 BSIG
O BSI é a autoridade central da NIS 2. O registo, o quadro de gestão de riscos e a comunicação de incidentes ao abrigo da NIS 2 correm todos através do BSI. O §28 BSIG nomeia os prestadores de serviços de centro de dados acima do limiar de média empresa como "wichtige Einrichtungen" e acima do limiar de grande empresa como "besonders wichtige Einrichtungen".
BSI C5 e IT-Grundschutz
O BSI também detém as bases setorialmente relevantes. O catálogo C5 (Cloud Computing Compliance Criteria) cobre o lado da nuvem e do alojamento. Os blocos de construção do IT-Grundschutz INF.1 (edifício geral) e INF.2 (centro de computação / sala de servidores) são a referência alemã de implementação para os controlos físicos e ambientais que o artigo 6.o, n.o 31 integra no serviço. Os auditores esperam vê-los mapeados no seu quadro CIR.
ENISA
A ENISA, a agência de cibersegurança da UE, coordena entre os Estados-Membros e publica a Technical Implementation Guidance ao abrigo do CIR (UE) 2024/2690. Os prestadores de serviços de centro de dados estão listados no Anexo do CIR pelo nome, o que significa que partes do regulamento de execução são diretamente vinculativas para os centros de dados sem necessidade de transposição nacional adicional.
Autoridades nacionais de cibersegurança
Cada Estado-Membro tem a sua própria autoridade da NIS 2: NCSC-NL nos Países Baixos, ANSSI em França, NCSC.AT na Áustria, ACN na Itália. A linha do Anexo I setor 8 e a definição do artigo 6.o, n.o 31 são as mesmas em toda a UE porque a diretiva fixa um piso. O que difere: junto de quem se regista, que formulário de incidente usa, e se o país sobrepõe um regime nacional de infraestrutura crítica por cima (a Alemanha tem a KRITIS-V, outros usam limiares diferentes).
Operamos uma sala de servidores para a nossa própria empresa, por isso somos um prestador de centro de dados.
Não pela perna do centro de dados. O artigo 6.o, n.o 31 descreve um serviço. Se o parque de TI é operado apenas para o seu próprio grupo e não vendido a terceiros, não está a prestar um serviço de centro de dados no sentido da NIS 2. O seu grupo pode ainda estar no âmbito da NIS 2 através do seu próprio setor (fabrico, energia, resíduos, saúde e por aí em diante), mas a linha de centro de dados do Anexo I setor 8 não apanha a sala interna.
Estamos bem abaixo do limiar KRITIS de 3,5 MW, por isso a NIS 2 não se aplica.
A KRITIS-V e a NIS 2 são dois regimes com dois limiares. O limiar de 3,5 MW de carga de TI é a sobreposição alemã KRITIS. A NIS 2 tem o seu próprio teste de dimensão do artigo 2.o, n.o 1: média dimensão assim que ultrapassa 50 colaboradores ou 10 milhões de EUR de volume de negócios e total de balanço. Um operador de colocation com 200 colaboradores a 1 MW de carga de TI está no âmbito da NIS 2 mas não na KRITIS. A conclusão de fora da KRITIS não é uma conclusão de fora da NIS 2.
Só fazemos colocation, o cliente é dono dos servidores, por isso não estamos a prestar um serviço de centro de dados.
O colocation é um dos modelos de entrega de manual para o serviço do artigo 6.o, n.o 31. A definição cobre estruturas dedicadas ao alojamento centralizado de equipamentos de TI e de rede mais a energia e o controlo ambiental. Não exige que os bastidores lhe pertençam. Vender espaço de bastidor, energia e arrefecimento é o serviço. O argumento do servidor pertencente ao cliente não muda a classificação legal.
Um operador regional de colocation com 60 colaboradores, com duas salas e cerca de 2 MW de carga de TI combinada está claramente no âmbito da NIS 2 como "wichtige Einrichtung". O Anexo I setor 8 nomeia o setor. O artigo 6.o, n.o 31 apanha o serviço de uma ponta à outra, incluindo os serviços do edifício. O teste de dimensão do artigo 2.o, n.o 1 coloca a empresa acima do limiar de média empresa. A KRITIS-V a 3,5 MW de carga de TI não é ultrapassada, por isso a sobreposição KRITIS não se aplica. O operador executa o quadro completo de gestão de riscos da NIS 2 mas não apanha o ciclo de auditoria KRITIS.
O que vemos na prática: o registo de riscos começa com os serviços do edifício (alimentação da rede elétrica, cordões de UPS, tempo de funcionamento e combustível do gerador, redundância de arrefecimento, supressão de incêndios, acesso físico) e depois sobrepõe o parque de TI e de rede (comutação central, jaulas de clientes, gestão fora de banda, monitorização) por cima. O quadro de gestão de riscos do §2 CIR corre contra esse inventário combinado. A proporcionalidade do artigo 21.o, n.o 1 aplica-se, por isso um operador regional de 60 colaboradores não implementa à profundidade de uma região hiperescalar. O faseamento é escrito, justificado pelo quadro de risco, e aprovado pela direção.
A nossa verificação de aplicabilidade percorre a via do centro de dados passo a passo. Pergunta se vende o serviço a terceiros, como o modelo de entrega está estruturado (colocation, alojamento, dedicado), qual é o seu número de colaboradores e volume de negócios, e onde se situa face ao limiar alemão da KRITIS-V. O resultado nomeia a linha do Anexo I, a classificação do BSIG ("wichtig" ou "besonders wichtig"), e se a sobreposição KRITIS se aplica por cima.
O inventário de ativos permite-lhe modelar os serviços do edifício (alimentação da rede elétrica, UPS, gerador, arrefecimento, supressão de incêndios, acesso físico) e o parque de TI e de rede numa só lista. O quadro de gestão de riscos do §2 CIR corre contra esse inventário, por isso a mesma lista de ativos alimenta tanto a via da NIS 2 como, se ultrapassar 3,5 MW de carga de TI, a auditoria KRITIS sem dupla manutenção.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I Setor 8 e definição de serviço de centro de dados do artigo 6.o, n.o 31. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), teste de dimensão do artigo 2.o, n.o 1 que remete para a Recomendação 2003/361/CE da Comissão. eur-lex.europa.eu/eli/reco/2003/361/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo (prestadores de serviços de centro de dados listados pelo nome). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §28 na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- KRITIS-Verordnung (BSI-KritisV), setor Informationstechnik und Telekommunikation, limiar de 3,5 MW de carga de TI para centros de dados
- BSI IT-Grundschutz, blocos de construção INF.1 (Allgemeines Gebäude) e INF.2 (Rechenzentrum sowie Serverraum); catálogo de nuvem BSI C5. bsi.bund.de