Sou um prestador de serviços de confiança ao abrigo da NIS 2?
Os prestadores de serviços de confiança situam-se no Anexo I setor 8 da NIS 2. Os TSP qualificados estão vinculados independentemente da dimensão ao abrigo do artigo 2.o, n.o 2, alínea b). Os TSP não qualificados seguem o teste padrão de dimensão do artigo 2.o, n.o 1. O eIDAS situa-se em paralelo e rege o próprio serviço de confiança.
A versão curta
Um prestador de serviços de confiança é qualquer pessoa que presta um ou mais serviços de confiança conforme definido no artigo 3.o, n.o 16 do Regulamento eIDAS (UE) 910/2014: assinaturas eletrónicas, selos eletrónicos, selos temporais eletrónicos, envio registado eletrónico, certificados de autenticação de sítios web, ou a conservação de qualquer destes. O Anexo I setor 8 da NIS 2 nomeia os prestadores de serviços de confiança explicitamente como parte da Infraestrutura Digital.
O artigo 2.o, n.o 2, alínea b) da NIS 2 aciona depois uma alavanca que não se aplica à maioria dos outros setores. Os prestadores de serviços de confiança qualificados, conforme definido no artigo 3.o, n.o 17 do eIDAS, estão no âmbito independentemente da dimensão. Um TSP qualificado de duas pessoas que emite certificados qualificados para assinaturas eletrónicas está vinculado do mesmo modo que uma AC de 500 pessoas. O limiar de média empresa do artigo 2.o, n.o 1 não os condiciona.
Os TSP não qualificados seguem o teste padrão de dimensão: pelo menos 50 colaboradores, ou acima de 10 milhões de euros de volume de negócios anual ou balanço, coloca-os no âmbito. Abaixo disso ficam fora da NIS 2, embora o artigo 19.o do eIDAS continue a vinculá-los com uma base de segurança. Dois regimes correm em paralelo de qualquer forma: o eIDAS para o próprio serviço de confiança, a NIS 2 para os deveres cibernéticos transversais à organização (formação da direção do artigo 20.o, comunicação de incidentes significativos do §32 BSIG, medidas de gestão de riscos do artigo 21.o).
Diretiva NIS 2 (2022/2555), Anexo I setor 8 (Infraestrutura Digital)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Verbatim de OJ L 333/146. O setor 8 é Infraestrutura Digital. Os prestadores de serviços de confiança são a primeira subcategoria listada. A lista do setor não separa qualificado de não qualificado; essa separação é feita pelo artigo 2.o, n.o 2, alínea b) e pelo eIDAS.
Artigo 2.o, n.o 2, alínea b) da NIS 2 + artigos 3.o, n.o 16 e 3.o, n.o 17 do eIDAS
Artigo 2.o, n.o 2, alínea b) da NIS 2: A presente diretiva aplica-se igualmente a entidades de um tipo referido no Anexo I ou II, independentemente da sua dimensão, sempre que a entidade seja um prestador de serviços de confiança qualificado. Artigo 3.o, n.o 16 do eIDAS: "serviço de confiança" significa um serviço eletrónico geralmente prestado mediante remuneração que consiste em: a) a criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais eletrónicos, serviços de envio registado eletrónico e certificados relacionados com esses serviços, ou b) a criação, verificação e validação de certificados para autenticação de sítios web, ou c) a conservação de assinaturas, selos ou certificados eletrónicos relacionados com esses serviços. Artigo 3.o, n.o 17: "serviço de confiança qualificado" significa um serviço de confiança que cumpre os requisitos aplicáveis estabelecidos no presente regulamento.
Duas definições empilhadas. O artigo 3.o, n.o 16 do eIDAS diz-lhe o que conta como serviço de confiança. O artigo 3.o, n.o 17 diz-lhe quando um é qualificado (cumpre os requisitos do Anexo do eIDAS e está listado na lista de confiança nacional). O artigo 2.o, n.o 2, alínea b) da NIS 2 diz então: se for qualificado, está na NIS 2 independentemente do número de colaboradores ou do volume de negócios.
§28 BSIG + Vertrauensdienstegesetz (Alemanha)
O §28 BSIG transpõe o âmbito do Anexo I para o direito alemão e capta explicitamente os prestadores de serviços de confiança qualificados como "besonders wichtige Einrichtungen" independentemente da dimensão. A Vertrauensdienstegesetz (VDG) é a lei nacional de acompanhamento do Regulamento eIDAS; designa a Bundesnetzagentur como o organismo de supervisão dos serviços de confiança e opera a lista de confiança alemã.
O Regulamento eIDAS aplica-se diretamente sem transposição alemã. A VDG apenas acrescenta a máquina de supervisão. A NIS 2 situa-se separadamente por cima de ambos: o §28 BSIG coloca os TSP qualificados no nível mais alto (besonders wichtige Einrichtung), independentemente da dimensão, com o BSI como o regulador cibernético.
Presta um serviço de confiança?
Confronte a sua oferta com o artigo 3.o, n.o 16 do eIDAS. A lista fechada é: assinaturas eletrónicas, selos eletrónicos, selos temporais eletrónicos, serviços de envio registado eletrónico, certificados de autenticação de sítios web, e a conservação de qualquer destes. O serviço é geralmente prestado mediante remuneração. Se a sua oferta não se encaixa em nenhuma destas categorias, não é um TSP ao abrigo do eIDAS, por muita criptografia que distribua.
É o prestador ou apenas um utilizador?
Um TSP emite ou opera o serviço de confiança para outros. Uma empresa que assina as suas próprias faturas com um serviço externo de assinatura qualificada é uma utilizadora desse serviço, não um TSP. Uma consultora que ajuda um cliente a implementar fluxos de assinatura também é uma utilizadora. O estatuto de prestador depende de criar, validar, entregar ou conservar o próprio serviço de confiança, para outra pessoa, mediante remuneração.
Qualificado ou não qualificado?
Consulte a lista de confiança nacional (na Alemanha: a lista de confiança da Bundesnetzagentur ao abrigo da VDG). Se estiver lá listado como prestador qualificado, o artigo 2.o, n.o 2, alínea b) da NIS 2 vincula-o independentemente da dimensão. Se não estiver listado, é não qualificado e aplica-se o teste padrão de dimensão do artigo 2.o, n.o 1: média empresa ou maior. Os TSP qualificados de duas e três pessoas são comuns neste setor, e estão todos no âmbito.
Qualificado significa independentemente da dimensão
O artigo 2.o, n.o 2, alínea b) da NIS 2 é uma de sete derrogações independentes da dimensão na diretiva. Os serviços de confiança entraram na lista porque o dano de um certificado qualificado comprometido é estrutural: cada assinatura, selo ou selo temporal emitido ao abrigo dele perde efeito jurídico. A dimensão do prestador não tem relação com a dimensão do dano a jusante. Uma AC de duas pessoas pode quebrar toda a cadeia de assinaturas de um Estado-Membro. É por isso que o teste da dimensão é desligado.
Os TSP qualificados correm dois regimes paralelos
O artigo 19.o do eIDAS vincula a segurança do próprio serviço de confiança, com auditorias a cada 24 meses ao abrigo do artigo 24.o para os TSP qualificados. A NIS 2 acrescenta os deveres cibernéticos transversais à organização: formação da direção do artigo 20.o, medidas de gestão de riscos do artigo 21.o, comunicação de incidentes significativos do artigo 23.o. O artigo 4.o da NIS 2 não desliga a NIS 2 aqui. Ambos os regimes aplicam-se na íntegra. O organismo de supervisão do eIDAS e a autoridade competente da NIS 2 podem ser diferentes (na Alemanha: Bundesnetzagentur para o eIDAS, BSI para a NIS 2).
BSI / §28 BSIG (lado da NIS 2)
O BSI é a autoridade competente da NIS 2. Opera o portal de registo do §33 BSIG, recebe as notificações de incidentes significativos do §32 BSIG, e supervisiona as medidas de gestão de riscos do §30 BSIG. Os TSP qualificados caem no nível "besonders wichtige Einrichtung" através do §28 BSIG, o que significa supervisão mais apertada e os mesmos prazos de comunicação de incidentes que os operadores KRITIS.
Bundesnetzagentur (lado do eIDAS)
A Bundesnetzagentur é o organismo de supervisão dos serviços de confiança ao abrigo da Vertrauensdienstegesetz. Opera a lista de confiança alemã, acredita o estatuto qualificado, recebe os relatórios de avaliação de conformidade ao abrigo do artigo 20.o do eIDAS, e trata do ciclo de auditoria de 24 meses ao abrigo do artigo 24.o. Quando um incidente é simultaneamente um incidente significativo do §32 BSIG e uma violação do artigo 19.o, n.o 2 do eIDAS, comunica ambos, a ambas as autoridades.
ENISA Technical Implementation Guidance + trabalho da EUDI Wallet
A ENISA publica a orientação técnica para os serviços de confiança ao abrigo do artigo 19.o do eIDAS e redige a base de cibersegurança que alimenta as expectativas dos supervisores nacionais. O mesmo organismo está agora a redigir o pacote de trabalho de serviços de confiança para a Carteira Europeia de Identidade Digital, que alarga o perímetro dos TSP qualificados a partir de 2026.
Leis nacionais de transposição
O eIDAS é um Regulamento, por isso as regras dos serviços de confiança são uniformes em toda a UE. A NIS 2 é uma Diretiva, por isso cada Estado-Membro a transpõe: NL através da Cyberbeveiligingswet, AT através da NISG, FR através da Ordonnance 2024-1093. O Anexo I setor 8 e a regra independente da dimensão do artigo 2.o, n.o 2, alínea b) são idênticos em todos eles. A autoridade competente para o lado da NIS 2 difere de país para país.
Os serviços de confiança não qualificados estão fora da NIS 2.
Errado. Os TSP não qualificados continuam no Anexo I setor 8. Não obtêm a elevação independente da dimensão do artigo 2.o, n.o 2, alínea b), por isso o teste padrão do artigo 2.o, n.o 1 decide. Um prestador de selos temporais não qualificado com 60 colaboradores está plenamente na NIS 2 como entidade importante. Apenas o estatuto de qualificação muda se o teste da dimensão se aplica, não se o setor se aplica.
O eIDAS já cobre a cibersegurança, por isso a NIS 2 não acrescenta nada.
O artigo 19.o do eIDAS fixa a base de segurança para o serviço de confiança. Os artigos 20.o, 21.o e 23.o da NIS 2 acrescentam deveres transversais à organização: formação do órgão de direção, o catálogo completo de gestão de riscos da criptografia à cadeia de abastecimento, e a comunicação de incidentes significativos ao abrigo do §32 BSIG com um aviso prévio de 24 horas. A lex specialis do artigo 4.o da NIS 2 não desliga a NIS 2 para os serviços de confiança. Dois regimes paralelos, nenhum substitui o outro.
Somos demasiado pequenos para a NIS 2.
Se é um TSP qualificado, a dimensão é a pergunta errada. O artigo 2.o, n.o 2, alínea b) coloca-o dentro independentemente do número de colaboradores, volume de negócios ou balanço. Uma autoridade de certificação qualificada de duas pessoas está no mesmo nível da NIS 2 que uma AC multinacional. A razão é a jusante: cada assinatura emitida ao abrigo de um certificado qualificado comprometido perde o seu efeito jurídico, independentemente de quem a emitiu.
Caso típico: um TSP qualificado de 12 pessoas que emite certificados qualificados para assinaturas eletrónicas, com um ciclo de avaliação de conformidade eIDAS de 24 meses e uma entrada na lista de confiança nacional através da Bundesnetzagentur. O âmbito da NIS 2 é automático através do artigo 2.o, n.o 2, alínea b). O §28 BSIG coloca a empresa no nível "besonders wichtige Einrichtung". Dois reguladores, dois canais de comunicação, uma empresa.
O que os profissionais fazem de facto: pegam na prova de auditoria do artigo 24.o do eIDAS e reutilizam-na para os controlos relevantes do artigo 21.o da NIS 2 (criptografia, controlo de acesso, tratamento de incidentes, continuidade do negócio). Fazem o registo do §33 BSIG junto do BSI. Acrescentam os itens que o eIDAS não cobre: formação da direção do artigo 20.o, risco de fornecedores do artigo 21.o, n.o 2, alínea d), o canal de incidentes significativos do §32 BSIG. Os dois regimes sobrepõem-se na criptografia e na resposta a incidentes; tudo o resto é adicional.
A verificação de aplicabilidade identifica os TSP qualificados através do artigo 2.o, n.o 2, alínea b) e desliga o teste da dimensão automaticamente. O resultado é uma Anwendbarkeitsprüfung escrita que cita o Anexo I setor 8 e o artigo 2.o, n.o 2, alínea b), assinada pelo órgão de direção, fixada à versão do texto da diretiva.
O catálogo de controlos espelha a realidade dos dois regimes. Os controlos do artigo 19.o do eIDAS são etiquetados para que possa anexar o relatório de avaliação de conformidade mais recente uma vez e tê-lo contabilizado face às medidas relevantes do artigo 21.o da NIS 2. O registo de fornecedores assinala quaisquer subcontratantes que sejam eles próprios TSP, para que os deveres de cadeia de abastecimento do artigo 21.o, n.o 2, alínea d) se mantenham rastreáveis.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 8 e artigo 2.o, n.o 2, alínea b). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento (UE) 910/2014 (eIDAS), artigo 3.o, n.o 16, artigo 3.o, n.o 17, artigo 19.o, artigo 24.o. eur-lex.europa.eu/eli/reg/2014/910/oj
- Lei do BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) e §33 (Registrierung) na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- Vertrauensdienstegesetz (VDG). gesetze-im-internet.de/vdg
- Lista de confiança alemã da Bundesnetzagentur ao abrigo do artigo 22.o do eIDAS
- ENISA Technical Implementation Guidance para os serviços de confiança ao abrigo do artigo 19.o do eIDAS. enisa.europa.eu