Clauze contractuale pentru furnizori în NIS 2
Articolul 21(2)(d) NIS 2 obligă entitățile să abordeze securitatea în relațiile cu furnizorii și prestatorii de servicii direcți. Articolul 21(1) decide cât de departe ajunge acea obligație.
Ce cere Articolul 21(2)(d)
Articolul 21(2)(d) NIS 2 enumeră securitatea lanțului de aprovizionare drept una dintre cele zece măsuri minime de management al riscurilor de securitate cibernetică. Directiva este precisă în privința domeniului de aplicare: ea acoperă aspectele legate de securitate ale relației dintre o entitate și furnizorii sau prestatorii săi de servicii direcți. Ea nu reglementează întregul lanț de aprovizionare și nu cere o clauză-șablon generică.
Clauza însoțitoare este Articolul 21(1). Toate măsurile conform Articolului 21(2), inclusiv securitatea relației cu furnizorii, trebuie să fie adecvate și proporționale riscurilor la care este expusă entitatea. Costul implementării, dimensiunea entității, probabilitatea incidentelor și gravitatea lor intră toate în testul de proporționalitate. Nu se așteaptă aceeași profunzime contractuală de la o utilitate de gestionare a deșeurilor cu 60 de persoane și de la un furnizor de cloud de top.
Întrebarea practică pentru o entitate vizată nu este, prin urmare, ce clauze să copieze dintr-un șablon, ci care aspecte legate de securitate ale fiecărei relații cu furnizorul contează, ce probe îi sunt necesare entității pentru a gestiona riscul rezidual și cum să înregistreze că alegerea bazată pe risc a fost făcută deliberat.
Articolul 21(2)(d) NIS 2
securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate privind relațiile dintre fiecare entitate și furnizorii sau prestatorii săi de servicii direcți
Una dintre cele zece măsuri minime enumerate în Articolul 21(2). Observați limitarea deliberată la furnizorii și prestatorii de servicii direcți. Directiva nu extinde clauza la subfurnizorii de rangul n. Considerentele 85 și 90 confirmă că evaluarea este bazată pe risc și ține cont de vulnerabilitățile specifice ale fiecărui furnizor și de calitatea generală a practicilor lor de securitate cibernetică.
CIR 2024/2690, Anexa Secțiunea 5
Entitățile vizate stabilesc, implementează și aplică o politică de securitate a lanțului de aprovizionare care reglementează relațiile cu furnizorii și prestatorii lor de servicii direcți.
Regulamentul de punere în aplicare al Comisiei 2024/2690 precizează măsura privind lanțul de aprovizionare doar pentru entitățile de infrastructură digitală (DNS, registre TLD, cloud, centre de date, CDN, servicii gestionate și servicii de securitate gestionate, piețe online, motoare de căutare, rețele sociale, prestatori de servicii de încredere). Secțiunea 5 din Anexă enumeră criterii de selecție, cerințe contractuale, obligații de monitorizare și gestionarea ieșirii. Pentru alte sectoare, se aplică legislația națională de transpunere.
§30(2) Nr. 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
NIS2UmsuCG german transpune Articolul 21(2)(d) unu-la-unu în §30(2) Nr. 4 BSIG. §30(1) BSIG poartă mai departe clauza de proporționalitate. Ghidul BSI de până acum tratează securitatea relației cu furnizorii drept o obligație de politică plus contract plus monitorizare, nu drept o listă de clauze.
Care furnizori intră sub incidență
Articolul 21(2)(d) vizează furnizorii și prestatorii de servicii direcți, nu întregul lanț din amonte. Se așteaptă ca o entitate să identifice care furnizori procesează, transmit sau stochează date de care depinde entitatea sau a căror întrerupere a serviciului i-ar afecta serviciul esențial sau important. Furnizorul de rechizite de birou este în afara incidenței, hosterul de cloud al bazei de date a clienților este în interiorul incidenței. Criteriul de selecție este riscul pe care îl introduce furnizorul, nu valoarea contractului.
Ce acoperă de obicei stratul contractual
Ghidul BSI și Secțiunea 5 a CIR descriu o politică privind relația cu furnizorii care se traduce în cerințe contractuale. Elementele uzuale pe care le caută reglementatorii includ o referință la o bază de securitate, o obligație de notificare a incidentelor aliniată la termenele din Articolul 23, transparență asupra subprocesatorilor importanți, un drept de audit sau de probă proporțional cu riscul și drepturi de reziliere din motive de securitate. Profunzimea este calibrată per clasă de risc a furnizorului, nu aplicată uniform.
Cum verifică entitatea furnizorul
Directiva este neutră din punct de vedere tehnologic și al certificatelor. Proba poate fi un chestionar pentru furnizor, o certificare recunoscută precum ISO 27001 sau SOC 2, un raport recent de testare a penetrării sau o clauză contractuală de audit exercitată pe bază de eșantionare. CIR 2024/2690 Secțiunea 5 enumeră explicit mai multe forme acceptabile de probă. Entitatea decide ce formă este adecvată pentru clasa de risc a fiecărui furnizor și documentează acea decizie.
Doar furnizorii direcți, fără propagare automată
Articolul 21(2)(d) desemnează furnizorii și prestatorii de servicii direcți. El nu impune o propagare contractuală către fiecare subfurnizor de rangul n. Acolo unde riscul subprocesatorului este important, entitatea îl abordează prin contractul direct, de obicei prin cerința de transparență asupra subprocesatorilor critici și drepturi de aprobare pentru modificările importante. O clauză de propagare generalizată nu este o cerință a directivei și este în general inaplicabilă față de părți cu care nu există un contract direct.
Proporțional cu riscul, nu un standard fix
Articolul 21(1) cere ca măsurile să fie adecvate și proporționale, ținând cont de stadiul actual al tehnologiei, costul implementării, dimensiunea entității, expunerea, probabilitatea incidentelor și gravitatea lor. Aceeași proporționalitate se aplică clauzei privind relația cu furnizorii. O comandă de achiziție standard nu are nevoie de o clauză completă de audit dacă riscul furnizorului este scăzut. Un furnizor de servicii de securitate gestionate justifică o clauză mai profundă decât un furnizor de hardware. Decizia este documentată, nu standardizată.
BSI IT-Grundschutz OPS.2 și ORP.4
Blocurile de bază IT-Grundschutz ale BSI, OPS.2 (externalizare pentru utilizatorii de servicii) și CON.7 (externalizare pentru prestatorii de servicii), plus ORP.4 (identitate și acces), descriu un proces privind relația cu furnizorii compatibil cu Articolul 21(2)(d). Pentru entitățile care folosesc scurtătura Grundschutz din §44(2) BSIG, aplicarea acestor blocuri de bază este tratată drept probă a măsurii privind relația cu furnizorii.
Peisajul amenințărilor ENISA pentru atacurile asupra lanțului de aprovizionare
Rapoartele repetate ale ENISA privind atacurile asupra lanțului de aprovizionare conturează tabloul de risc la care răspunde directiva. ENISA nu publică un șablon de contract. Munca sa este menționată în considerentele directivei privind riscul lanțului de aprovizionare și alimentează metodologia Grupului de cooperare privind riscul furnizorilor, dar nu este un standard contractual obligatoriu.
CIR 2024/2690 Anexa Secțiunea 5
Pentru cele unsprezece tipuri de entități de infrastructură digitală aflate sub incidența CIR 2024/2690, Anexa Secțiunea 5 stabilește o specificație mai concretă a politicii privind furnizorii: criterii de selecție, cerințe contractuale, monitorizare pe tot ciclul de viață al contractului, condiții de ieșire. Pentru toate celelalte sectoare, aceasta rămâne o orientare utilă, dar nu direct obligatorie; transpunerea națională și ghidul autorității guvernează.
Un singur addendum pentru furnizori, semnat de toată lumea, închide Articolul 21(2)(d).
Directiva obligă entitățile să abordeze aspectele legate de securitate ale relației, pe care Articolul 21(1) le leagă de un test de proporționalitate per furnizor. Un singur addendum aplicat uniform contrazice proporționalitatea și creează fie furnizori mici excesiv contractualizați, fie furnizori critici insuficient contractualizați. Artefactul apărabil este politica privind riscul furnizorilor plus clasificarea riscului per furnizor, cu clauzele contractuale derivate din acea clasificare.
Certificarea ISO 27001 din partea furnizorului înlocuiește toate drepturile de audit și de probă.
O certificare recunoscută este o probă acceptabilă pentru multe clase de risc ale furnizorilor, dar Articolul 21(2)(d) nu desemnează ISO 27001 și nu deleagă obligația unui certificator. Entitatea rămâne răspunzătoare pentru relație conform §30 BSIG. Acolo unde riscul furnizorului este ridicat sau domeniul certificării exclude serviciul consumat, drepturi suplimentare de verificare rămân adecvate. CIR Secțiunea 5 enumeră explicit mai multe forme de probă în paralel.
Furnizorii mici sunt în afara incidenței obligației de securitate a furnizorilor a entității.
Articolul 21(2)(d) nu îi exceptează pe furnizorii mici. Propria incidență a furnizorului în NIS 2 conform Articolului 2 este o chestiune separată. Obligația entității este să abordeze aspectele legate de securitate ale relației sale cu furnizorul direct, indiferent de dimensiunea furnizorului, calibrată la riscul pe care îl introduce acel furnizor. Un hoster de copii de rezervă cu două persoane care manipulează date critice atrage mai multă atenție decât un furnizor de catering cu o mie de persoane.
Auditorii care examinează securitatea furnizorilor în entitățile NIS 2 cer de obicei trei artefacte, în ordine: politica privind riscul furnizorilor care stabilește logica de clasificare, inventarul furnizorilor cu clasificarea aplicată și un eșantion de contracte din fiecare clasă de risc care arată cum se reflectă politica. Clauzele contractuale în sine sunt ultimul strat, nu primul.
Acolo unde entitatea folosește calea Grundschutz din §44(2) BSIG, blocurile de bază OPS.2 și CON.7 structurează deja politica privind riscul furnizorilor și stratul contractual. Entitățile din afara Germaniei se bazează pe ghidul echivalent al autorității naționale sau, pentru entitățile de infrastructură digitală, pe CIR 2024/2690 Anexa Secțiunea 5. Directiva însăși nu impune o listă uniformă de clauze.
Modulul de furnizori al platformei captează artefactele pe care le așteaptă un auditor: un inventar al furnizorilor cu clasificarea riscului, serviciul sau activul legat, forma de probă convenită per furnizor (chestionar, referință de certificare, clauză de audit, probă la un moment dat) și calea de notificare a incidentelor înapoi în propriul flux de raportare al entității conform Articolului 23.
Portalul pentru furnizori permite furnizorilor direcți să răspundă la chestionare și să încarce probe printr-un acces bazat pe token, astfel încât conversația este documentată într-un singur loc. Platforma nu publică șabloane de contract. Ea înregistrează că măsura privind relația cu furnizorii conform §30(2) Nr. 4 BSIG este în vigoare și probată per furnizor.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(d) și Articolul 21(1), EUR-Lex
- Considerentele 85 și 90, Directiva (UE) 2022/2555, EUR-Lex
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690, Anexa Secțiunea 5, EUR-Lex
- BSIG §30(2) Nr. 4 și §30(1), gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, modulele OPS.2 și CON.7, BSI
- Peisajul amenințărilor ENISA pentru atacurile asupra lanțului de aprovizionare, ENISA