Evaluări coordonate ale riscurilor conform Articolului 22 NIS 2
Articolul 22 este modul în care UE evaluează riscul strategic al lanțului de aprovizionare pentru lucruri precum 5G, cloud și furnizorii de servicii gestionate. Grupul de cooperare face evaluarea. ENISA și Comisia o sprijină. Entitățile trebuie apoi să țină cont de rezultate atunci când își aleg furnizorii conform Articolului 21(2)(d).
Pe scurt
Articolul 22 NIS 2 conferă Grupului de cooperare, împreună cu Comisia și ENISA, competența de a efectua evaluări coordonate ale riscurilor privind securitatea lanțurilor de aprovizionare pentru anumite servicii, sisteme sau produse TIC critice. Toolbox-ul 5G din 2020 a fost primul exemplu concret. Cloud-ul, furnizorii de servicii gestionate, furnizorii de identitate și alții pot fi evaluați în același mod.
Aceste evaluări sunt la nivelul UE și strategice. Ele acoperă factori tehnici de risc și, acolo unde este necesar, și factori netehnici. Netehnic înseamnă geopolitică, mediu de reglementare, proprietate și control asupra furnizorilor. Toolbox-ul 5G a tratat riscul furnizorilor cu grad înalt de risc din afara UE exact sub acest titlu.
Articolul 22 nu obligă entitățile în mod direct. Articolul 21(3) le obligă. Entitățile vizate trebuie să țină cont de rezultatele evaluărilor coordonate atunci când își aleg măsurile de securitate a furnizorilor conform Articolului 21(2)(d). Aceasta este puntea de la strategia la nivelul UE la achizițiile la nivel de entitate.
Articolul 22(1) și (2) Directiva NIS 2 (2022/2555)
(1) Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor de securitate ale lanțurilor de aprovizionare cu servicii TIC, sisteme TIC sau produse TIC critice specifice, ținând cont de factori de risc tehnici și, dacă este relevant, netehnici. (2) Comisia, după consultarea Grupului de cooperare și a ENISA, precum și, dacă este relevant, a părților interesate relevante, identifică serviciile TIC, sistemele TIC sau produsele TIC critice specifice care pot face obiectul evaluării coordonate a riscurilor de securitate menționate la alineatul (1).
Articolul 22 instituie mecanismul. Grupul de cooperare efectuează evaluarea. Comisia alege ce produse, sisteme și servicii TIC sunt evaluate. ENISA le sprijină pe ambele. Evaluările sunt la nivelul întregii UE și strategice, nu de la o entitate la alta.
Articolul 21(3) NIS 2 + CIR (UE) 2024/2690 §5
Articolul 21(3): Statele membre se asigură că, atunci când analizează care dintre măsurile menționate la litera (d) de la alineatul (2) al prezentului articol sunt adecvate, entitățile țin cont de vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct și de calitatea generală a produselor și practicilor de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv de procedurile de dezvoltare sigură ale acestora. Statele membre se asigură, de asemenea, că, atunci când analizează care dintre măsurile menționate la litera respectivă sunt adecvate, entitățile au obligația de a ține cont de rezultatele evaluărilor coordonate ale riscurilor de securitate ale lanțurilor critice de aprovizionare efectuate în conformitate cu Articolul 22(1).
Articolul 21(3) este efectul la nivel de entitate. Dacă sunteți vizat și vă alegeți furnizorii conform Articolului 21(2)(d), trebuie să țineți cont de rezultatele Articolului 22. CIR §5 stabilește apoi detaliile operaționale ale securității furnizorilor la nivel de entitate, iar profunzimea probelor de achiziție este guvernată de clauza de proporționalitate din Articolul 21(1).
§30(2)(4) BSIG și participarea la Grupul de cooperare (Germania)
Securitatea în achiziția, dezvoltarea și întreținerea rețelelor și sistemelor informatice, inclusiv gestionarea și divulgarea vulnerabilităților.
Germania copiază obligația de securitate a furnizorilor în §30(2)(4) BSIG. BMI și BSI participă la Grupul de cooperare în numele Germaniei, astfel încât rezultatele Articolului 22 alimentează ghidul național. BSI publică rezumate în Infopakete și în ghidul sectorial. Nu există un statut german separat pentru Articolul 22 în sine: este un mecanism al Grupului de cooperare, iar efectul la nivel de entitate trece deja prin §30 BSIG.
Cine îl conduce
Grupul de cooperare, lucrând cu Comisia și ENISA. Grupul de cooperare este forumul permanent al autorităților statelor membre conform Articolului 14 NIS 2. ENISA aduce sprijinul tehnic și redactează o mare parte din analiza de bază. Comisia convoacă și conduce.
Ce acoperă
Comisia alege produsele, sistemele și serviciile TIC critice specifice care sunt evaluate. După consultarea Grupului de cooperare, a ENISA și, dacă este relevant, a altor părți interesate. 5G a fost primul. Cloud-ul, furnizorii de identitate, furnizorii de servicii gestionate și alții pot urma. Nimic din text nu îl limitează la o singură tehnologie.
Cum ajunge la nivel de entitate
Entitățile vizate trebuie să țină cont de rezultatele evaluării atunci când își aleg furnizorii conform Articolului 21(2)(d). Acesta este mânerul operațional. Nu "respectați Articolul 22". "Țineți cont de rezultatele Articolului 22 când alegeți și gestionați furnizorii".
Strategic la nivelul UE, operațional la nivel de entitate
Articolul 22 stă la stratul strategic al UE. Grupul de cooperare, Comisia și ENISA îl conduc. Rezultatul este o citire coordonată asupra unui anumit lanț de aprovizionare. Entitățile operaționalizează apoi acea citire prin Articolul 21(2)(d) și CIR §5, scalată de clauza de proporționalitate din Articolul 21(1). Cele două straturi nu se contopesc într-unul singur.
Factori de risc tehnici și netehnici
Articolul 22(1) îi numește explicit pe ambii. Factorii tehnici sunt suprafața obișnuită de securitate cibernetică: vulnerabilități cunoscute, practici de dezvoltare sigură, comportamentul de aplicare a corecțiilor. Factorii netehnici sunt geopolitica, expunerea la reglementare, proprietatea și controlul asupra furnizorului. Toolbox-ul 5G a tratat profilurile furnizorilor cu grad înalt de risc din afara UE exact sub acest titlu. Articolul 22 este singurul articol din NIS 2 în care riscul netehnic este numit în text.
BMI și BSI prin Grupul de cooperare
BMI și BSI reprezintă Germania în Grupul de cooperare. Când se publică o evaluare coordonată, BSI integrează substanța în Infopakete și în ghidul sectorial. §30(2)(4) BSIG poartă obligația de securitate a furnizorilor la nivel de entitate. Rezultatul Articolului 22 este una dintre intrările în modul în care un auditor german citește "adecvat" conform §30.
Sprijinul tehnic ENISA
ENISA este numită în Articolul 22(1) drept partener tehnic. Efectuează o mare parte din munca analitică pentru evaluările coordonate și o transmite Grupului de cooperare. ENISA menține, de asemenea, Ghidul tehnic de implementare pentru CIR, pe care entitățile îl folosesc apoi pentru a operaționaliza obligațiile de securitate a furnizorilor conform Articolului 21(2)(d).
Transpuneri naționale ale Articolului 21(3)
Fiecare stat membru transpune Articolul 21(3) în propria lege NIS 2 (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația de a ține cont de rezultatele evaluării coordonate este aceeași în întreaga UE. Ce diferă este care autoritate națională publică ghidul și cum preiau regulile de achiziție rezultatele evaluării.
Articolul 22 este doar regula 5G.
5G a fost primul exemplu concret, nu singurul. Articolul 22(2) conferă Comisiei o competență deschisă de a alege ce produse, sisteme și servicii TIC critice sunt evaluate. Cloud-ul, furnizorii de servicii gestionate, furnizorii de identitate și alții pot fi aduși cu toții sub incidența lui. Tratarea Articolului 22 ca pe un articol doar pentru 5G subestimează domeniul de aplicare cu o marjă mare.
Suntem sub pragul de dimensiune, deci Articolul 22 nu ni se aplică.
Articolul 22 în sine nu se aplică entităților în mod direct. Se aplică la nivelul UE. Ce vi se aplică, dacă sunteți o entitate vizată de NIS 2, este Articolul 21(3): trebuie să țineți cont de rezultatele evaluării coordonate în alegerile voastre de furnizori conform Articolului 21(2)(d). Dimensiunea voastră nu schimbă acea obligație odată ce sunteți vizat.
Articolul 22 este modul în care UE aplică NIS 2 împotriva furnizorilor.
Articolul 22 este un mecanism de evaluare a riscurilor, nu un instrument de aplicare. El nu impune obligații furnizorilor. Produce o citire coordonată la nivelul UE de care entitățile trebuie apoi să țină cont conform Articolului 21(3). Aplicarea împotriva entităților trece prin supraveghetorii naționali conform Articolelor 31 până la 37. Aplicarea împotriva furnizorilor, în mod indirect, trece prin clauzele de achiziție la nivel de entitate conform Articolului 21(2)(d).
Monitorizați rezultatele Grupului de cooperare. BSI le rezumă în Infopakete. ENISA face referire la ele în actualizările TIG. Dacă o evaluare coordonată cade pe o tehnologie de care depindeți (5G, cloud, furnizori de servicii gestionate), actualizați-vă în consecință politica de securitate a furnizorilor și registrul furnizorilor. Citați evaluarea în înregistrare, astfel încât un auditor să vadă legătura.
Toolbox-ul 5G este exemplul concret. Anumite restricții privind furnizorii cu grad înalt de risc au ajuns în regulile naționale de achiziție și de acolo în alegerile de furnizori la nivel de entitate. Așteptați-vă la același tipar când se publică evaluări noi. Nu trebuie să citiți întregul document al Grupului de cooperare. Rezumatul BSI plus o intrare de o linie despre furnizorii afectați în registrul vostru este suficient pentru a arăta că ați ținut cont de rezultate.
Registrul furnizorilor leagă fiecare furnizor de rezultatele relevante ale Articolului 22, acolo unde este cazul. Dacă o evaluare coordonată clasifică un furnizor sau o categorie de furnizori, etichetați furnizorul cu acea clasificare. Auditorul vostru vede atât referința evaluării, cât și decizia voastră de tratament, într-un singur loc.
Registrul riscurilor preia aceleași etichete. Un furnizor aflat sub o evaluare coordonată apare ca o intrare de risc, cu evaluarea drept sursă. Tratamentul, aprobarea și revizuirea continuă trec prin fluxul standard CIR §2. Niciun flux de lucru separat pentru intrările Articolului 22. Aceeași formă ca orice alt risc de furnizor, doar cu o citare externă mai puternică.
- Directiva (UE) 2022/2555 (NIS 2), Articolele 21 și 22. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §5. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Setul de instrumente al UE pentru măsuri de atenuare a riscurilor pentru rețelele 5G (2020). digital-strategy.ec.europa.eu
- Legea BSI (BSIG), §30(2)(4) astfel cum a fost modificată prin Legea de implementare a NIS2 și de consolidare a securității cibernetice
- Ghidul tehnic de implementare al ENISA pentru CIR (UE) 2024/2690 (valabil în mai 2026)