Somos um Prestador de Serviços Geridos ao abrigo da NIS 2?
A NIS 2 acrescentou os MSP como um novo setor que não existia na NIS 1. Se executa remotamente as TI dos clientes, está muito provavelmente abrangido. O Anexo I setor 9 nomeia a atividade. O artigo 6.o, n.o 39 define o que conta. O teste da dimensão continua a aplicar-se, com uma exceção estreita que não cobre a maioria dos MSP.
A versão curta
A NIS 1 não tinha os MSP como categoria de todo. A diretiva de 2022 acrescentou-os. O Anexo I setor 9 lista a gestão de serviços TIC numa base entre empresas, e o artigo 6.o, n.o 39 dá a definição legal: uma entidade que presta serviços relacionados com a instalação, gestão, operação ou manutenção de produtos TIC, redes, infraestruturas, aplicações ou quaisquer outros sistemas de redes e de informação, através de assistência ou administração ativa realizada nas instalações dos clientes ou remotamente. Se isto o descreve, é muito provavelmente um MSP abrangido.
MSP e MSSP são duas categorias separadas. O artigo 6.o, n.o 39 define o MSP. O artigo 6.o, n.o 40 define o MSSP como um prestador de serviços geridos que realiza ou presta assistência a atividades relacionadas com a gestão de riscos de cibersegurança. Ambos estão no Anexo I setor 9. Uma entidade pode ser as duas coisas ao mesmo tempo. A maioria das casas de serviços de TI gerais são MSP e não MSSP. Um SOC puro ou uma empresa de testes de intrusão é um MSSP.
O teste da dimensão continua a aplicar-se. A NIS 2 aplica-se normalmente a médias empresas e maiores: pelo menos 50 colaboradores, ou mais de 10 milhões de euros de volume de negócios e balanço, nos termos do artigo 2.o, n.o 1 e da Recomendação 2003/361/CE. O artigo 2.o, n.o 2, alínea g) recorta um conjunto estreito de setores onde a dimensão não condiciona o âmbito, mas essa derrogação cobre DNS, registos de TLD, prestadores de serviços de confiança qualificados e alguns outros tipos de infraestrutura digital. Não traz os pequenos MSP para dentro independentemente da dimensão. Um pequeno MSP abaixo do teste da dimensão fica fora do âmbito da NIS 2.
Diretiva NIS 2 (2022/2555), Anexo I setor 9
Gestão de serviços TIC (entre empresas): prestadores de serviços geridos; prestadores de serviços de segurança geridos.
A NIS 1 não continha este setor de todo. A NIS 2 introduziu-o como uma nova categoria, que é uma das maiores expansões práticas de âmbito na diretiva. Tanto o MSP como o MSSP estão dentro do mesmo balde do Anexo I setor 9. O qualificador "entre empresas" importa: servir consumidores não está coberto pelo setor 9, servir outras empresas está.
Artigo 6.o, n.o 39 da Diretiva NIS 2 (definição de MSP)
Prestador de serviços geridos significa uma entidade que presta serviços relacionados com a instalação, gestão, operação ou manutenção de produtos TIC, redes, infraestruturas, aplicações ou quaisquer outros sistemas de redes e de informação, através de assistência ou administração ativa realizada nas instalações dos clientes ou remotamente.
O artigo 6.o, n.o 40 acrescenta a definição de MSSP: um prestador de serviços geridos que realiza ou presta assistência a atividades relacionadas com a gestão de riscos de cibersegurança. A diretiva escolhe os verbos deliberadamente: instalação, gestão, operação, manutenção, administração ativa. Vender um produto sem operação contínua não cumpre a definição. Um help desk que repõe palavras-passe sem operar os sistemas também não a cumpre.
§28 BSIG (Alemanha), Anlage 1 setor "Digitale Infrastruktur"
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
O §28 BSIG em conjunto com a Anlage 1 do BSIG nomeia "Anbieter von verwalteten Diensten" (MSP) e "Anbieter von verwalteten Sicherheitsdiensten" (MSSP) explicitamente sob o Sektor Digitale Infrastruktur, que corresponde ao Anexo I setor 9 da NIS 2. A FAQ setorial do BSI acrescenta um esclarecimento prático útil: o alojamento web puro não faz de si um MSP, e a transferência pontual de um projeto também não. O que importa é a administração ativa contínua.
Opera ativamente as TI do cliente?
O artigo 6.o, n.o 39 lista os verbos que contam: instalação, gestão, operação, manutenção, administração ativa. Realizada nas instalações do cliente ou remotamente. A relação com o cliente tem de ser contínua, não uma instalação pontual. Alojamento web puro sem administração fica de fora. Vender uma licença de software e ir embora fica de fora. Operar uma firewall gerida, aplicar patches a servidores de clientes, operar o seu inquilino Microsoft 365, gerir endpoints remotamente: tudo dentro.
É médio ou maior?
Artigo 2.o, n.o 1 mais Recomendação 2003/361/CE: pelo menos 50 colaboradores, ou mais de 10 milhões de euros de volume de negócios e balanço. Aplique o teste à pessoa coletiva. O artigo 2.o, n.o 2, alínea g) lista derrogações setoriais estreitas onde a dimensão não condiciona o âmbito, mas o MSP não está nessa lista de derrogações. A derrogação aplica-se a prestadores de serviços DNS, registos de nomes de TLD, prestadores de serviços de confiança qualificados e alguns outros tipos de infraestrutura digital. Um pequeno MSP que esteja abaixo do teste da dimensão fica fora do âmbito, ponto final.
Presta também serviços de segurança?
O artigo 6.o, n.o 40 define o MSSP como um prestador de serviços geridos que realiza ou presta assistência a atividades relacionadas com a gestão de riscos de cibersegurança. Um SOC, um serviço de deteção e resposta geridas, um trabalho de testes de intrusão com apoio contínuo de remediação, um serviço de gestão de vulnerabilidades: essas são atividades de MSSP. Uma casa de serviços de TI geral que opera servidores e endpoints é um MSP. Uma casa que opera a pilha de segurança por cima é as duas coisas. O Anexo I trata ambos como "wichtige Einrichtung" ao abrigo do §28, n.o 2 BSIG por defeito.
"Gerido" é uma lista ampla de verbos, não um rótulo de marketing
Algumas entidades não se chamam a si próprias MSP e mesmo assim cumprem a definição. Algumas chamam-se MSP e não cumprem. O teste legal é a lista de verbos do artigo 6.o, n.o 39: instalação, gestão, operação, manutenção, administração ativa de produtos TIC, redes, infraestruturas, aplicações ou sistemas para terceiros. Se esses verbos descrevem o que faz numa base recorrente, é um MSP ao abrigo da NIS 2, diga ou não o seu sítio que sim.
As suas próprias TI internas não fazem de si um MSP
Operar TI para si próprio não é um serviço gerido. O cliente tem de ser outra pessoa. Os departamentos internos de TI que servem o seu próprio empregador não estão abrangidos como MSP. Uma empresa de serviços separada dentro de um grupo que opera TI para as entidades irmãs é uma questão diferente e normalmente conta, porque as irmãs são partes juridicamente separadas. Veja a página de TI de grupo para esse caso.
BSI / §28 BSIG e Anlage 1
O BSI é a autoridade cibernética para os MSP na Alemanha. A Anlage 1 do BSIG lista "Anbieter von verwalteten Diensten" e "Anbieter von verwalteten Sicherheitsdiensten" sob Digitale Infrastruktur, o que corresponde diretamente ao Anexo I setor 9 da NIS 2. A FAQ setorial do BSI tem o texto prático mais útil: o alojamento web puro não é MSP, um projeto pontual não é MSP, a administração ativa contínua é. O portal de registo do §33 BSIG é onde os MSP acima do teste da dimensão se registam.
ENISA Technical Implementation Guidance
O TIG da ENISA cobre as atividades de MSP e MSSP sob o capítulo do Anexo I setor 9 e mapeia os controlos do artigo 21.o nas operações que um MSP típico executa. A tabela de mapeamento do TIG faz a correspondência cruzada com a ISO 27001, o NIST CSF 2.0 e a ETSI 319 401, por isso os MSP que já executam um SGSI ou uma operação alinhada com a ETSI podem reutilizar a maior parte desse trabalho.
MSP em NL, AT, BE e os restantes
O artigo 6.o da diretiva é um conjunto de definições para toda a UE. As outras transposições copiam a redação: Áustria via NISG, Países Baixos via Cyberbeveiligingswet, Bélgica via NIS2-Wet. Um MSP que serve clientes além-fronteiras está abrangido onde quer que tenha um estabelecimento, e regista-se em cada Estado-Membro onde presta o serviço. A definição substantiva não muda entre países.
Só respondemos a tickets, não estamos realmente a gerir os sistemas dos clientes.
Se os tickets envolvem instalar, configurar, aplicar patches ou operar sistemas de clientes numa base contínua, isso é administração ativa nos termos do artigo 6.o, n.o 39. Reativo não significa fora do âmbito. Um help desk que apenas repõe palavras-passe sem tocar nos sistemas subjacentes é uma exceção estreita. Um help desk que aplica patches ao Windows, reinicia serviços ou envia configuração de endpoints está a prestar serviços geridos.
Somos demasiado pequenos para estar no âmbito, mas a derrogação traz-nos para dentro de qualquer forma.
O artigo 2.o, n.o 2, alínea g) não traz os pequenos MSP para dentro independentemente da dimensão. A derrogação aplica-se a prestadores de serviços DNS, registos de nomes de TLD, prestadores de serviços de confiança qualificados, prestadores de redes públicas de comunicações eletrónicas e serviços, e alguns outros tipos de infraestrutura digital. Os MSP não estão nessa lista. Um pequeno MSP abaixo do teste da dimensão (menos de 50 colaboradores e não acima dos limiares de volume de negócios e balanço) fica fora do âmbito da própria NIS 2, ainda que os contratos com clientes possam exigir que demonstre os controlos do artigo 21.o ao abrigo da cláusula de cadeia de abastecimento.
Só servimos o nosso próprio grupo, por isso somos um departamento interno de TI.
Se as entidades que serve são juridicamente separadas da sua empresa de serviços, mesmo dentro do mesmo grupo, esses são serviços a terceiros nos termos do artigo 6.o, n.o 39. Uma GmbH central de serviços de TI que opera infraestrutura para as GmbH irmãs é um MSP na leitura da NIS 2. A página separada de TI de grupo trabalha este caso com mais detalhe.
Um MSP típico de mercado médio com 70 colaboradores, cerca de 80 clientes PME e uma mistura de serviços de endpoints geridos, administração Microsoft 365, firewalls geridas e gestão de patches para servidores de clientes está inequivocamente dentro do âmbito da NIS 2. O Anexo I setor 9 apanha a atividade. O artigo 6.o, n.o 39 apanha os verbos. O teste da dimensão é confortavelmente passado com 70 colaboradores. A classificação por defeito ao abrigo do §28, n.o 2 BSIG é "wichtige Einrichtung".
O registo de riscos do §30 tem de cobrir a infraestrutura de gestão que toca nos sistemas dos clientes: ferramentas RMM, jump hosts, a pilha SOC se operar uma, a pilha de acesso privilegiado. A cascata de comunicação de incidentes do §32 aplica-se quando um incidente afeta a sua própria infraestrutura ou, por extensão, os clientes que administra. O registo do §33 é uma única submissão junto do BSI para toda a pessoa coletiva. Os contratos com clientes precisam depois de cláusulas do artigo 21.o, n.o 2, alínea d) que apontem para os mesmos controlos, e é aí que a conformidade da cadeia de abastecimento encontra a conformidade do MSP.
A verificação de aplicabilidade conduz os MSP pelo caso do Anexo I setor 9 explicitamente. Assinala os verbos de serviço que executa, a plataforma aplica o teste da dimensão e diz-lhe em que balde do §28 BSIG fica. Se também executa serviços de segurança, oferece o ramo MSSP em paralelo sem o forçar a escolher um ou outro.
O portal de fornecedores trata do outro lado do contrato. Os clientes que compram serviços geridos a si podem receber um questionário estruturado e um resumo publicado dos controlos do artigo 21.o, de modo que uma única peça de prova cobre todas as cláusulas contratuais que de outra forma estaria a enviar em PDF para cada cliente em separado.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 9 (gestão de serviços TIC entre empresas). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 6.o, n.o 39 (definição de prestador de serviços geridos). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 6.o, n.o 40 (definição de prestador de serviços de segurança geridos). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.o, n.o 1 e artigo 2.o, n.o 2. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas
- Lei do BSI (BSIG), §28 e Anlage 1 setor Digitale Infrastruktur, na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- FAQ setorial do BSI sobre Anlage 1 Nr. 6.1.10 (Managed Services Provider). bsi.bund.de