Sunt furnizor de centre de date conform NIS 2?
NIS 2 enumeră serviciile de centre de date în Anexa I sectorul 8 (Infrastructura digitală). Articolul 6(31) definește serviciul ca incluzând energia și răcirea. Testul standard de mărime din articolul 2(1) și Recomandarea 2003/361/CE decide apoi dacă se aplică obligațiile. Germania transpune prin §28 BSIG. KRITIS-V (sarcină IT de 3,5 MW) este o suprapunere națională separată, nu poarta de intrare în NIS 2.
Pe scurt
Dacă vindeți un serviciu de centru de date unor terți, intrați în domeniul de aplicare de îndată ce atingeți pragul standard de mărime din NIS 2. Anexa I sectorul 8 denumește direct furnizorii de servicii de centre de date sub Infrastructura digitală. Articolul 6(31) vă spune ce contează ca serviciu: parcul IT și de rețea plus distribuția de energie de susținere și controlul mediului. Acoperișul, UPS-ul, instalațiile de răcire și generatorul diesel fac parte din serviciu, nu sunt adiacente acestuia.
Testul de mărime este cel standard pentru NIS 2. Articolul 2(1) din directivă leagă domeniul de aplicare de Recomandarea 2003/361/CE: entitățile mijlocii (50 sau mai mulți angajați sau cifră de afaceri anuală și bilanț peste 10 milioane EUR) intră sub regim, entitățile mari sunt „esențiale”, nu „importante”. Nu există o includere indiferent de mărime pentru centrele de date, spre deosebire de telecomunicații sau DNS.
Germania transpune prin §28 BSIG. Pragul KRITIS-Verordnung (sarcină IT de 3,5 MW) este o suprapunere germană separată care decide dacă același centru de date este în plus KRITIS, cu obligații suplimentare. Nu decide dacă se aplică NIS 2. CIR (UE) 2024/2690 enumeră furnizorii de servicii de centre de date în Anexa sa, astfel încât părți din regulamentul de punere în aplicare obligă direct centrele de date, fără o transpunere națională suplimentară.
Directiva NIS 2 (2022/2555), Anexa I sectorul 8 și articolul 6(31)
„serviciu de centru de date” înseamnă un serviciu care cuprinde structuri sau grupuri de structuri dedicate găzduirii, interconectării și operării centralizate a echipamentelor de tehnologie a informației și de rețea care furnizează servicii de stocare, prelucrare și transport al datelor, împreună cu toate facilitățile și infrastructurile pentru distribuția energiei și controlul mediului.
Două lucruri de citit împreună. Anexa I sectorul 8 denumește furnizorii de servicii de centre de date ca Infrastructură digitală. Articolul 6(31) vă spune că serviciul nu este doar rack-urile IT. Distribuția energiei și controlul mediului fac parte din definiția juridică. Acesta este lucrul care fixează serviciile de clădire (UPS, generatoare, răcire, stingerea incendiilor) în cadrul de gestionare a riscurilor NIS 2.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, Anexa
Prezentul regulament stabilește cerințele tehnice și metodologice ale măsurilor menționate la articolul 21(2) din Directiva (UE) 2022/2555 în ceea ce privește furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de distribuire a conținutului, furnizorii de servicii gestionate, furnizorii de servicii gestionate de securitate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de rețele sociale, precum și furnizorii de servicii de încredere.
Furnizorii de servicii de centre de date sunt enumerați nominal în Anexa CIR. Aceasta înseamnă că cerințele tehnice de gestionare a riscurilor din CIR (gestionarea activelor, controlul accesului, criptografie, lanțul de aprovizionare, tratarea incidentelor) obligă direct centrele de date. Transpunerea națională nu este necesară pentru stratul CIR. Stratul directivei are nevoie în continuare de §28 BSIG pentru a produce efecte în Germania.
§28 BSIG (Germania) și KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
§28 BSIG transpune obligațiile NIS 2 privind centrele de date. Testul de mărime din articolul 2(1) (50 de angajați / 10 mil. EUR cifră de afaceri) decide dacă entitatea este „wichtig” sau „besonders wichtig”. KRITIS-Verordnung este un strat german separat cu propriul prag de 3,5 MW sarcină IT pentru centrele de date. KRITIS adaugă obligații deasupra, nu este condiția de intrare pentru NIS 2. Un operator de co-locație de 25 MW se află în ambele regimuri. Un sediu de co-locație cu 200 de angajați la 1 MW sarcină IT este în domeniul de aplicare al NIS 2, dar nu KRITIS.
Vindeți un serviciu de centru de date?
Articolul 6(31) este testul. Furnizați structuri dedicate găzduirii, interconectării și operării centralizate a echipamentelor IT și de rețea, împreună cu infrastructura de energie și de control al mediului. Co-locația, găzduirea și sălile dedicate se califică toate. Sarcina IT și serviciile de clădire sunt un singur serviciu în drept.
Sunteți peste pragul de mărime?
Articolul 2(1) NIS 2 face trimitere la Recomandarea 2003/361/CE. Entitățile mijlocii (50 sau mai mulți angajați sau cifră de afaceri anuală și total al bilanțului peste 10 milioane EUR) intră sub regim ca „importante”. Entitățile mari (peste 250 de angajați sau cifră de afaceri peste 50 milioane EUR) intră sub regim ca „esențiale”. Nu există o includere indiferent de mărime pentru centrele de date.
Se aplică suprapunerea germană KRITIS?
KRITIS-V stabilește un prag de sarcină IT de 3,5 MW pentru centrele de date în Germania. Depășirea lui face ca sediul să fie KRITIS în plus față de NIS 2, cu obligații suplimentare (ciclu de audit, standarde minime sectoriale specifice). KRITIS nu este condiția de intrare în NIS 2. Un operator de co-locație de 1 MW cu 200 de angajați este NIS 2-înăuntru, dar KRITIS-afară.
Co-locația, găzduirea și serviciile dedicate se califică toate
Definiția din articolul 6(31) nu face distincție între modelele de livrare. Indiferent dacă închiriați rack-uri (co-locație), închiriați servere (găzduire gestionată) sau operați un sediu cu un singur locatar pentru un client plătitor, serviciul este același în drept: găzduirea centralizată a echipamentelor IT și de rețea, plus distribuția de energie de susținere și controlul mediului. Obligațiile se atașează serviciului, nu ambalajului comercial.
Centrele de date interne nu sunt un serviciu de centru de date
Dacă operați un centru de date pur și simplu pentru propriul grup, nu furnizați un serviciu de centru de date în sensul NIS 2. Nu există un serviciu către un terț. Sediul poate alimenta în continuare o altă rută de încadrare (grupul dvs. poate fi în domeniul de aplicare pe un sector diferit, cu propriile sale active), dar nu vă surprinde sub Anexa I sectorul 8 ca furnizor de centru de date. Testul depinde de dacă serviciul este vândut.
BSI / §28 BSIG
BSI este autoritatea centrală NIS 2. Înregistrarea, cadrul de gestionare a riscurilor și raportarea incidentelor conform NIS 2 trec toate prin BSI. §28 BSIG denumește furnizorii de servicii de centre de date peste pragul întreprinderii mijlocii ca „wichtige Einrichtungen” și peste pragul întreprinderii mari ca „besonders wichtige Einrichtungen”.
BSI C5 și IT-Grundschutz
BSI deține și standardele de bază relevante pentru sector. Catalogul C5 (Cloud Computing Compliance Criteria) acoperă latura de cloud și găzduire. Blocurile constitutive IT-Grundschutz INF.1 (clădire generală) și INF.2 (centru de calcul / sală de servere) sunt referința germană de punere în aplicare pentru controalele fizice și de mediu pe care articolul 6(31) le încorporează în serviciu. Auditorii se așteaptă să le vadă corelate în cadrul dvs. CIR.
ENISA
ENISA, agenția UE pentru securitate cibernetică, coordonează între statele membre și publică Orientarea tehnică de punere în aplicare conform CIR (UE) 2024/2690. Furnizorii de servicii de centre de date sunt enumerați nominal în Anexa CIR, ceea ce înseamnă că părți din regulamentul de punere în aplicare sunt direct obligatorii pentru centrele de date, fără a fi nevoie de o transpunere națională suplimentară.
Autorități naționale de securitate cibernetică
Fiecare stat membru are propria autoritate NIS 2: NCSC-NL în Țările de Jos, ANSSI în Franța, NCSC.AT în Austria, ACN în Italia. Rândul Anexei I sectorul 8 și definiția din articolul 6(31) sunt aceleași la nivelul întregii UE, deoarece directiva stabilește un singur prag minim. Ce diferă: la cine vă înregistrați, ce formular de incident folosiți și dacă țara suprapune un regim național de infrastructură critică deasupra (Germania are KRITIS-V, altele folosesc praguri diferite).
Operăm o sală de servere pentru propria noastră companie, deci suntem furnizor de centru de date.
Nu pe segmentul centrului de date. Articolul 6(31) descrie un serviciu. Dacă parcul IT este operat doar pentru propriul grup și nu este vândut unor terți, nu furnizați un serviciu de centru de date în sensul NIS 2. Grupul dvs. poate fi în continuare în domeniul de aplicare al NIS 2 prin propriul său sector (producție, energie, deșeuri, sănătate și așa mai departe), dar rândul centrului de date din Anexa I sectorul 8 nu surprinde sala internă.
Suntem mult sub pragul KRITIS de 3,5 MW, deci NIS 2 nu se aplică.
KRITIS-V și NIS 2 sunt două regimuri cu două praguri. Pragul de sarcină IT de 3,5 MW este suprapunerea germană KRITIS. NIS 2 are propriul test de mărime din articolul 2(1): mijlocie de îndată ce treceți de 50 de angajați sau 10 mil. EUR cifră de afaceri și total al bilanțului. Un operator de co-locație cu 200 de angajați la 1 MW sarcină IT este în domeniul de aplicare al NIS 2, dar nu în KRITIS. Constatarea KRITIS-afară nu este o constatare NIS 2-afară.
Facem doar co-locație, clientul deține serverele, deci nu furnizăm un serviciu de centru de date.
Co-locația este unul dintre modelele clasice de livrare pentru serviciul din articolul 6(31). Definiția acoperă structuri dedicate găzduirii centralizate a echipamentelor IT și de rețea plus energia și controlul mediului. Nu cere ca rack-urile să vă aparțină. Vânzarea de spațiu în rack, energie și răcire este serviciul. Argumentul cu serverul deținut de client nu schimbă clasificarea juridică.
Un operator regional de co-locație cu 60 de angajați, cu două săli și o sarcină IT combinată de aproximativ 2 MW, este clar în domeniul de aplicare al NIS 2 ca „wichtige Einrichtung”. Anexa I sectorul 8 denumește sectorul. Articolul 6(31) surprinde serviciul cap la cap, inclusiv serviciile de clădire. Testul de mărime din articolul 2(1) plasează compania peste pragul întreprinderii mijlocii. KRITIS-V la 3,5 MW sarcină IT nu este depășit, deci suprapunerea KRITIS nu se aplică. Operatorul rulează întregul cadru de gestionare a riscurilor NIS 2, dar nu preia ciclul de audit KRITIS.
Ce vedem în practică: registrul de riscuri începe cu serviciile de clădire (alimentarea de la rețea, șirurile UPS, autonomia generatorului și combustibilul, redundanța răcirii, stingerea incendiilor, accesul fizic) și apoi suprapune deasupra parcul IT și de rețea (comutarea centrală, cuștile clienților, gestionarea OOB, monitorizarea). Cadrul de gestionare a riscurilor conform §2 CIR rulează pe acel inventar combinat. Se aplică proporționalitatea din articolul 21(1), astfel încât un operator regional cu 60 de angajați nu pune în aplicare la profunzimea unei regiuni hyperscale. Etapizarea este scrisă, justificată de tabloul de risc și aprobată de conducere.
Verificarea noastră a aplicabilității parcurge ruta centrului de date pas cu pas. Întreabă dacă vindeți serviciul unor terți, cum este structurat modelul de livrare (co-locație, găzduire, dedicat), care este numărul dvs. de angajați și cifra de afaceri și unde vă situați față de pragul german KRITIS-V. Rezultatul denumește rândul din Anexa I, clasificarea BSIG („wichtig” sau „besonders wichtig”) și dacă suprapunerea KRITIS se aplică deasupra.
Inventarul de active vă permite să modelați serviciile de clădire (alimentarea de la rețea, UPS, generator, răcire, stingerea incendiilor, acces fizic) și parcul IT și de rețea pe o singură listă. Cadrul de gestionare a riscurilor conform §2 CIR rulează pe acel inventar, astfel încât aceeași listă de active alimentează atât pista NIS 2, cât și, dacă treceți de 3,5 MW sarcină IT, auditul KRITIS, fără întreținere dublă.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 8 și definiția serviciului de centru de date din articolul 6(31). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), testul de mărime din articolul 2(1) care face trimitere la Recomandarea 2003/361/CE a Comisiei. eur-lex.europa.eu/eli/reco/2003/361/oj
- Regulamentul de punere în aplicare (UE) 2024/2690 (CIR) al Comisiei, Anexa (furnizorii de servicii de centre de date enumerați nominal). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §28 astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- KRITIS-Verordnung (BSI-KritisV), sectorul Informationstechnik und Telekommunikation, prag de 3,5 MW sarcină IT pentru centrele de date
- BSI IT-Grundschutz, blocurile constitutive INF.1 (Allgemeines Gebäude) și INF.2 (Rechenzentrum sowie Serverraum); catalogul de cloud BSI C5. bsi.bund.de