Sunt furnizor de servicii de cloud computing conform NIS 2?
NIS 2 listează serviciile de cloud computing în Anexa I sectorul 8 (Infrastructură digitală). Articolul 6(30) stabilește definiția juridică care acoperă IaaS, PaaS și SaaS. Articolul 2(1) aplică apoi testul normal de dimensiune al întreprinderii mijlocii. CIR (UE) 2024/2690 plasează furnizorii de cloud în anexa sa, ceea ce înseamnă că părți din acel regulament vă obligă direct în întreaga UE.
Pe scurt
Dacă furnizați un serviciu de cloud computing clienților, sunteți în domeniul de aplicare NIS 2 de îndată ce depășiți pragul de dimensiune al întreprinderii mijlocii. Anexa I sectorul 8 numește direct furnizorii de servicii de cloud computing în cadrul Infrastructurii digitale. Definiția din articolul 6(30) este largă: IaaS, PaaS, SaaS, cloud public, cloud privat vândut ca serviciu, oferte hibride, toate contează.
Spre deosebire de telecomunicații sau DNS, furnizorii de cloud nu sunt pe lista „indiferent de dimensiune” din articolul 2(2). Se aplică testul normal din articolul 2(1): mijlociu conform Recomandării 2003/361/CE înseamnă 50 de angajați sau mai mult, sau cifră de afaceri anuală peste 10 milioane EUR. Depășiți oricare prag și intrați în domeniul de aplicare. Rămâneți sub ambele și sunteți în mod normal în afară, cu excepțiile limitate din articolul 2(2) și (3) care nu se aplică cloudului ca atare.
Germania transpune aceasta în dreptul național prin §28 BSIG. BSI este autoritatea dvs. Pe lângă directivă, Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 listează furnizorii de cloud în anexa sa, astfel încât cerințele sale tehnice și metodologice vă obligă direct, fără a fi nevoie de alt drept german. Această pagină parcurge directiva, definiția UE și transpunerea germană în această ordine.
Directiva NIS 2 (2022/2555), Anexa I sectorul 8 și art. 6(30)
Sectorul 8 Infrastructură digitală: furnizori de servicii de cloud computing. „Serviciu de cloud computing” înseamnă un serviciu digital care permite administrarea la cerere și accesul larg de la distanță la un grup scalabil și flexibil de resurse informatice partajabile, inclusiv în cazul în care aceste resurse sunt distribuite în mai multe locații.
Două pasaje trebuie citite împreună. Anexa I sectorul 8 numește furnizorii de servicii de cloud computing drept infrastructură esențială. Articolul 6(30) definește ce contează ca serviciu de cloud computing. Formularea este neutră din punct de vedere tehnologic și acoperă IaaS, PaaS și SaaS. Nu există un alt regulament UE care să redefinească acest termen, așa că definiția proprie a directivei controlează.
Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexă
Prezentul regulament se aplică entităților menționate la articolul 3 din Directiva (UE) 2022/2555 enumerate în anexa la prezentul regulament, și anume: furnizori de servicii DNS, registre de nume TLD, furnizori de servicii de cloud computing, furnizori de servicii de centre de date, furnizori de rețele de distribuire a conținutului, furnizori de servicii gestionate, furnizori de servicii de securitate gestionate, furnizori de piețe online, de motoare de căutare online și de platforme de servicii de rețele de socializare, și prestatori de servicii de încredere.
CIR (UE) 2024/2690 listează furnizorii de servicii de cloud computing în anexa sa. Acesta este artificiul juridic care contează: un regulament este direct aplicabil, fără a fi nevoie de transpunere națională. CIR stabilește cadrul detaliat de management al riscului (§2), cerințele pentru gestionarea incidentelor, securitatea lanțului de aprovizionare, gestionarea vulnerabilităților și pragurile de „incident semnificativ” pentru aceste sectoare. Furnizorii de cloud se confruntă, prin urmare, cu un strat de directivă (transpus prin BSIG) plus un strat de regulament care îi obligă cu aceeași formulare în toate statele membre.
§28 BSIG, Germania
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
Germania transpune obligațiile pentru cloud prin §28 BSIG. BSI este autoritatea centrală NIS 2 pentru înregistrare, cadrul de management al riscului și raportarea incidentelor. Furnizorii de cloud peste pragul de dimensiune sunt clasificați ca „besonders wichtige Einrichtungen” (entități esențiale). Sub prag, obligațiile nu se aplică decât dacă este declanșată una dintre includerile limitate din articolul 2(2) sau (3). Cloudul ca atare nu se află pe acele liste.
Furnizați un serviciu de cloud computing?
Aplicați definiția din articolul 6(30). Serviciul trebuie să fie digital, la cerere, larg accesibil de la distanță și să ruleze pe un grup scalabil și flexibil de resurse partajabile. IaaS (calcul, stocare, rețea), PaaS (medii de execuție gestionate, baze de date ca serviciu) și SaaS (aplicații de afaceri multi-tenant vândute prin rețea) îndeplinesc toate definiția. O aplicație găzduită cu un singur tenant vândută ca serviciu de obicei o îndeplinește și ea, deoarece grupul de resurse subiacent este partajat la nivelul furnizorului.
Depășiți pragul de dimensiune?
Furnizorii de cloud urmează testul normal din articolul 2(1). Conform Recomandării 2003/361/CE, nivelul mijlociu începe de la 50 de angajați sau cifră de afaceri anuală peste 10 milioane EUR (cu bilanț anual total peste 10 milioane EUR ca alternativă). La 250 de angajați sau cifră de afaceri peste 50 de milioane EUR deveniți o întreprindere mare și sunteți clasificați ca „esențiali”. Sub 50 de angajați și cifră de afaceri sub 10 milioane EUR, sunteți în mod normal în afara domeniului de aplicare ca furnizor de cloud.
CIR vă obligă direct
Odată ce sunteți în domeniul de aplicare, se suprapun două straturi. BSIG (în Germania) transpune directiva. CIR (UE) 2024/2690 vă listează în anexa sa și vă obligă direct. Aceasta înseamnă că cadrul de management al riscului din §2 CIR, regulile privind lanțul de aprovizionare din §6 și pragurile de semnificație a incidentelor se aplică cu aceeași formulare în fiecare stat membru. Nu există o variantă națională a CIR de consultat.
Toate cele trei straturi de servicii contează
Articolul 6(30) este neutru față de strat. IaaS, PaaS și SaaS satisfac toate definiția deoarece toate trei se bazează pe un grup partajat de resurse scalabil și flexibil. O greșeală frecventă este să presupui că „cloud” înseamnă doar IaaS de hyperscaler. Textul prinde un furnizor german de SaaS care vinde un instrument HR multi-tenant la fel cum prinde AWS, Azure și GCP. Pragul de dimensiune filtrează apoi cine are cu adevărat obligații.
Flexibil și partajabil este linia de demarcație
Dacă grupul de resurse nu este scalabil și flexibil sau nu este partajabil, serviciul nu este un serviciu de cloud computing conform articolului 6(30). Un server dedicat unui singur client cu capacitate fixă pe care îl operați în numele clientului este găzduire, nu cloud. O cușcă de centru de date dedicată unui client este colocare, nu cloud. Ambele pot intra totuși sub alte rânduri din Anexa I sectorul 8 (serviciu de centru de date, serviciu gestionat), dar nu sub rândul cloud. Definiția face filtrarea.
BSI / §28 BSIG
BSI este autoritatea centrală NIS 2. Înregistrarea, cadrul de management al riscului, calendarul de raportare a incidentelor (avertizare timpurie la 24h, notificare la 72h, raport final la 1 lună) trec toate prin BSI. §28 BSIG clasifică furnizorii de cloud din domeniul de aplicare ca „besonders wichtige Einrichtungen”. Odată ce depășiți pragul de dimensiune, vă înregistrați la BSI.
BSI C5 (referință operațională)
C5 este catalogul de securitate cloud al BSI. Nu este o obligație NIS 2, dar în practică mulți clienți germani de cloud solicită o atestare C5 de tip 2 în contractele lor. Setul de controale se suprapune puternic cu cadrul de management al riscului din §2 CIR, astfel încât furnizorii care dețin deja o atestare C5 pot reutiliza cea mai mare parte a dovezilor pentru documentația lor de management al riscului NIS 2.
ENISA / Anexa CIR
ENISA, agenția UE pentru securitate cibernetică, publică Ghidul tehnic de implementare pentru CIR. Deoarece furnizorii de cloud sunt listați în anexa CIR, acel ghid este referința de zi cu zi pentru managementul riscului din §2, așteptările privind lanțul de aprovizionare și modelul pragului de „incident semnificativ”. Textul este identic la nivelul UE, astfel încât un furnizor de cloud care deservește DE, NL, FR și IT aplică aceeași formulare CIR în fiecare piață.
Autorități naționale de securitate cibernetică
Fiecare stat membru are propria autoritate NIS 2 care operează stratul de înregistrare și supraveghere: RDI în Țările de Jos, ANSSI în Franța, ACN în Italia, INCIBE în Spania. Obligațiile din directivă sunt transpuse local, CIR obligă cu aceeași formulare peste tot. Pentru un furnizor de cloud care vinde în întreaga UE, înregistrările sunt naționale, cadrul de management al riscului este un singur document folosit peste tot.
Închiriem servere dedicate, deci suntem furnizor de cloud conform NIS 2.
De obicei nu, pe rândul cloud. Articolul 6(30) impune un grup scalabil și flexibil de resurse partajabile. Un server bare-metal închiriat unui singur client cu capacitate fixă este găzduire. Vă poate aduce sub rândul serviciu de centru de date din Anexa I sectorul 8 (definiție diferită, același sector) sau sub furnizor de servicii gestionate dacă îl și operați pentru client, dar nu sub serviciu de cloud computing. Citiți definițiile, nu eticheta de marketing din propria listă de prețuri.
Suntem un SaaS mic, deci regulile pentru cloud nu ni se aplică.
Testul juridic este în două părți. Mai întâi articolul 6(30): un SaaS multi-tenant vândut prin rețea pe o infrastructură partajată îndeplinește definiția. Apoi articolul 2(1): pragul de dimensiune. Dacă aveți sub 50 de angajați și sub 10 milioane EUR cifră de afaceri, sunteți în afara domeniului de aplicare pe rândul cloud. Dacă depășiți oricare, sunteți înăuntru. „De nișă” nu este o categorie juridică. Cifrele și definiția fac treaba.
Operăm un cloud privat pentru propriul nostru grup, deci suntem furnizor de cloud în domeniul de aplicare.
De obicei nu. Serviciul din articolul 6(30) trebuie furnizat clienților. Un cloud privat pur intern care deservește doar propria organizație nu este un serviciu în sens de reglementare, deci nu contează pentru rândul cloud. Puteți fi totuși în domeniul de aplicare NIS 2 pe sectorul în care operează grupul dvs. (energie, sănătate, transport, producție), dar nu ca furnizor de servicii de cloud computing pe baza unei platforme interne.
Un furnizor german de SaaS cu 60 de persoane, cu un produs multi-tenant și 12 milioane EUR cifră de afaceri anuală, este în domeniul de aplicare NIS 2 pe rândul cloud. Anexa I sectorul 8 numește furnizorii de servicii de cloud computing; articolul 6(30) este îndeplinit deoarece grupul de resurse este partajat, flexibil și accesibil de la distanță; articolul 2(1) este îndeplinit deoarece compania este mijlocie. §28 BSIG o clasifică drept „besonders wichtige Einrichtungen”. Anexa CIR o plasează sub cadrul de management al riscului direct obligatoriu din §2. Nimic din toate acestea nu este discreționar.
Ce vedem în practică: furnizorul scrie un cadru de management al riscului conform §2 CIR pentru stiva sa de producție (aplicație, mediu de execuție, strat de date, identitate, conturi cloud de suport), mapează subiectele din articolul 21(2) pe cadru și folosește proporționalitatea din articolul 21(1) pentru a scala profunzimea la o operațiune de 60 de persoane. Detectarea incidentelor, ritmul de notificare 24h / 72h / 1 lună și obligațiile privind lanțul de aprovizionare din §6 CIR se bazează toate pe aceeași listă de active. O atestare C5 de tip 2, dacă furnizorul deține una, acoperă o mare parte din dovezile §2 și este reutilizată ca documentație, nu refăcută.
Verificarea noastră de aplicabilitate parcurge articolul 6(30) pas cu pas. Întreabă ce furnizați, dacă grupul de resurse este partajat și flexibil și dacă serviciul este vândut clienților. Rezultatul vă spune ce rând din Anexa I se aplică (cloud, centru de date, serviciu gestionat, toate definiții separate), dacă pragul de dimensiune din articolul 2(1) vă prinde și ce categorii din anexa CIR vă obligă direct, pe lângă BSIG.
Modulul de active acoperă stiva de producție într-un singur inventar: limite de tenant, furnizori de identitate, depozite de date, conturi cloud de suport, procesatori terți. Cadrul de management al riscului din §2 CIR rulează apoi pe acel inventar, astfel încât aceeași listă de active alimentează înregistrarea la BSI, evaluările lanțului de aprovizionare din §6 CIR și dovezile de atestare C5, fără întreținere dublă.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 8 și definiția serviciului de cloud computing din articolul 6(30). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 2(1) domeniul de aplicare pe dimensiune și sector; articolul 2(2) includeri indiferent de dimensiune. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii. eur-lex.europa.eu/eli/reco/2003/361/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexă (listează furnizorii de servicii de cloud computing printre entitățile obligate direct). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §28 astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), ediția curentă. bsi.bund.de