Setor espacial ao abrigo da NIS 2
Anexo I, setor 11. Infraestrutura terrestre que apoia serviços baseados no espaço. Âmbito restrito, muitas vezes mal lido.
O que esta página abrange
A NIS 2 lista o espaço como setor 11 no anexo I (setores de elevada criticidade). A redação é mais restrita do que o nome sugere. A diretiva não abrange tudo o que toca no espaço. Abrange os operadores de infraestrutura terrestre que apoia a prestação de serviços baseados no espaço.
Essa distinção importa. Um fabricante de satélites que constrói hardware numa sala limpa não está no âmbito por força do setor espacial. Uma empresa que opera uma estação terrestre, um centro de controlo de missão ou uma instalação de telemetria, rastreio e telecomando provavelmente está, se cumprir o teste de dimensão do artigo 2.o e não estiver excluída.
Esta página lê a entrada do anexo I textualmente, expõe o teste de dimensão do artigo 2.o, aponta para o Regulamento do Programa Espacial da UE como regime conexo e lista os erros de âmbito mais comuns que vemos na prática.
Diretiva (UE) 2022/2555, anexo I, setor 11 (Espaço)
Operadores de infraestruturas terrestres, detidas, geridas e exploradas por Estados-Membros ou por entidades privadas, que apoiem a prestação de serviços baseados no espaço, excluindo os fornecedores de redes públicas de comunicações eletrónicas.
Esta é a definição setorial completa. Aplicam-se três filtros em simultâneo. Primeiro, a classe de ativo é a infraestrutura terrestre. Segundo, a função é apoiar serviços baseados no espaço. Terceiro, os fornecedores de redes públicas de comunicações eletrónicas estão excluídos porque são abordados no setor 8 (infraestrutura digital) e no regime do EECC.
Regulamento (UE) 2021/696 (Programa Espacial da UE)
Que cria o Programa Espacial da União e a Agência da União Europeia para o Programa Espacial (EUSPA).
O Regulamento do Programa Espacial rege as componentes da UE Galileo, EGNOS, Copernicus, GOVSATCOM e SST. A EUSPA opera partes desses serviços. A NIS 2 situa-se a par deste regime. Os operadores de infraestrutura terrestre que apoie tais programas podem ficar abrangidos por ambos. Não estão automaticamente isentos da NIS 2 por fazerem parte de um programa da UE.
BSIG, Anlage 1, Nummer 11 (transposição alemã da NIS 2)
Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden, die die Erbringung weltraumgestützter Dienste unterstützen, mit Ausnahme von Anbietern öffentlicher elektronischer Kommunikationsnetze.
A Alemanha transpõe a redação do anexo I de forma um para um. Não há um alargamento alemão separado do setor. O BSI é a autoridade competente para a supervisão da cibersegurança nos termos do §61 BSIG. A política setorial cabe ao Ministério Federal dos Assuntos Económicos e da Ação Climática (BMWK) e à Agência Espacial Alemã no DLR.
Infraestrutura terrestre
A classe de ativo é a infraestrutura física terrestre. Exemplos típicos são estações terrestres de satélites, antenas, locais de gateway, centros de controlo de missão, centros de operação de satélites, instalações de telemetria, rastreio e telecomando (TT&C) e centros dedicados de processamento de dados de carga útil de satélites. Os ativos baseados no espaço (os próprios satélites) não são o objeto abrangido aqui.
Apoia serviços baseados no espaço
A função da infraestrutura tem de ser apoiar a prestação de serviços prestados a partir do espaço ou através dele (navegação, observação da Terra, comunicações por satélite, conetividade segura). Centros de dados de uso geral ou TI de escritório que por acaso pertencem a uma empresa espacial não passam a estar no âmbito só porque o proprietário é do setor.
Não é uma rede pública de comunicações eletrónicas
Os fornecedores de redes públicas de comunicações eletrónicas estão explicitamente excluídos do setor 11. São abordados no setor 8 (infraestrutura digital) e no Código Europeu das Comunicações Eletrónicas. Isto evita a dupla regulação dos operadores de telecomunicações que também usam ligações por satélite.
O teste de dimensão do artigo 2.o, n.o 1, continua a aplicar-se
Estar nomeado no anexo I é necessário, mas não suficiente. O artigo 2.o, n.o 1, acrescenta o teste de dimensão. O limiar por defeito é média empresa ou acima (50 ou mais pessoas, ou mais de 10 milhões de EUR de volume de negócios anual e balanço total superior a 10 milhões de EUR). Alguns tipos de entidade estão no âmbito independentemente da dimensão nos termos do artigo 2.o, n.o 2, mas essas exceções não abrangem, em geral, os operadores espaciais comerciais.
Operador, não fabricante
A diretiva usa consistentemente a palavra operadores. O gatilho legal é operar infraestrutura terrestre que apoia serviços baseados no espaço. Conceber, construir ou vender satélites, lançadores ou hardware terrestre não é do que trata o setor 11. Os fabricantes podem ainda assim ser abrangidos por outros setores (por exemplo, como fornecedores de serviços digitais, ou no fabrico do anexo II) se essas entradas setoriais lhes corresponderem.
BSI como supervisor de cibersegurança, BMWK e DLR como política setorial
Ao abrigo do BSIG, o Bundesamt für Sicherheit in der Informationstechnik (BSI) supervisiona os deveres de cibersegurança das entidades abrangidas, incluindo as entidades do setor espacial. A política setorial e os assuntos do programa espacial cabem ao Ministério Federal dos Assuntos Económicos e da Ação Climática (BMWK) e à Agência Espacial Alemã no DLR. Os operadores de componentes do Programa Espacial da UE na Alemanha coordenam-se também com a EUSPA.
ENISA e EUSPA ao nível da UE
A ENISA apoia a dimensão de cibersegurança da NIS 2 em todos os setores. A EUSPA é responsável pela gestão operacional e pela prestação de serviços das componentes do programa espacial da UE. A ENISA publicou orientação setorial para o espaço; a EUSPA tem o seu próprio enquadramento de segurança para os operadores de programas da UE. A NIS 2 não substitui nenhum deles, mas forma a linha de base.
Autoridades nacionais noutros países
Outros Estados-Membros designam as suas próprias autoridades competentes da NIS 2. As agências espaciais nacionais (por exemplo, o CNES em França, a ASI em Itália, o NSO nos Países Baixos) atuam como parceiros de política e de programa, não como supervisores da NIS 2. A cooperação com a ESA mantém-se ao abrigo da Convenção da ESA; a própria ESA é uma organização intergovernamental e não uma autoridade competente de um Estado-Membro ao abrigo da NIS 2.
Construímos satélites ou hardware terrestre, portanto estamos no âmbito do espaço.
O setor 11 visa os operadores de infraestrutura terrestre que apoia serviços espaciais. O fabrico puro não é o gatilho. Um fabricante de satélites ou de antenas deve verificar o setor 5 do anexo II (fabrico) e quaisquer deveres de fornecedor de serviços digitais em separado, em vez de presumir que a entrada do espaço o abrange.
Somos um laboratório de investigação ou um instituto universitário que trabalha em temas espaciais, portanto a NIS 2 abrange tudo o que fazemos.
As entidades de investigação são abordadas no setor 10 do anexo I (investigação) apenas quando são organizações de investigação na aceção do artigo 6.o, ponto 41. Trabalhar em temas espaciais não torna, por si só, o laboratório um operador do setor 11. A questão é saber se o laboratório opera infraestrutura terrestre que apoia serviços baseados no espaço e se cumpre o teste de dimensão do artigo 2.o.
Aqui só estão visadas as agências da UE como a ESA ou a EUSPA.
A redação do anexo abrange explicitamente a infraestrutura terrestre detida, gerida e explorada por Estados-Membros ou por entidades privadas. Os operadores privados de estações terrestres e centros de controlo de missão fazem parte da população visada. A ESA, enquanto organização intergovernamental, tem o seu próprio regime jurídico, mas o panorama dos operadores privados está claramente dentro da NIS 2.
Se opera infraestrutura terrestre para serviços de satélite, trate a questão do âmbito como duas camadas. A camada um é o teste do setor 11 do anexo I sobre o que a sua instalação efetivamente faz. A camada dois é o teste de dimensão do artigo 2.o sobre a entidade jurídica que a explora. Ambos têm de ser sim para que o setor 11 o abranja.
Se a sua entidade estiver no âmbito, os deveres são os mesmos que para qualquer outra entidade essencial ou importante nos termos dos artigos 20.o, 21.o, 23.o e 27.o. Não há um catálogo de controlos específico do espaço dentro da própria NIS 2. Os operadores de programas da UE podem ter requisitos de segurança adicionais do Regulamento (UE) 2021/696 e dos enquadramentos da EUSPA, mas esses situam-se por cima, não em substituição.
A verificação de aplicabilidade pergunta se opera infraestrutura terrestre que apoia serviços baseados no espaço e depois aplica o teste de dimensão do artigo 2.o e a exclusão das redes públicas de comunicações eletrónicas. Se o resultado for dentro do âmbito, o setor 11 é etiquetado no seu registo de obrigações para que as vias de comunicação, registo e supervisão sigam para a autoridade certa.
Se o resultado for fora do âmbito do setor 11, a plataforma verifica ainda as outras entradas do anexo I e do anexo II. Uma empresa espacial pode estar fora pelo setor 11 e dentro, por exemplo, pelo fabrico ou pela gestão de serviços de TIC. O resultado é um único registo de obrigações, não um único sim ou não.
- Diretiva (UE) 2022/2555 (NIS 2), anexo I, setor 11. EUR-Lex
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.o (âmbito) e artigo 6.o (definições). EUR-Lex
- Regulamento (UE) 2021/696 (Programa Espacial da UE). EUR-Lex
- BSI-Gesetz alemã (BSIG), Anlage 1, Nummer 11. gesetze-im-internet.de
- Panoramas setoriais da ENISA sobre o espaço. enisa.europa.eu
- EUSPA (Agência da União Europeia para o Programa Espacial). euspa.europa.eu
- BMWK e DLR Raumfahrtmanagement. bmwk.de, dlr.de