Suntem furnizor de servicii gestionate conform NIS 2?
NIS 2 a adăugat MSP-urile ca sector nou, care nu exista în NIS 1. Dacă operați de la distanță IT-ul clienților, sunteți foarte probabil în domeniul de aplicare. Anexa I sectorul 9 denumește activitatea. Articolul 6(39) definește ce contează. Testul de mărime se aplică în continuare, cu o singură excepție îngustă care nu acoperă majoritatea MSP-urilor.
Pe scurt
NIS 1 nu avea deloc MSP-urile ca o categorie. Directiva din 2022 le-a adăugat. Anexa I sectorul 9 enumeră gestionarea serviciilor TIC pe bază de relație între întreprinderi, iar articolul 6(39) oferă definiția juridică: o entitate care furnizează servicii legate de instalarea, gestionarea, operarea sau întreținerea produselor TIC, a rețelelor, a infrastructurii, a aplicațiilor sau a oricăror altor rețele și sisteme informatice, prin asistență sau administrare activă efectuată fie la sediul clienților, fie de la distanță. Dacă acest lucru vă descrie, sunteți cel mai probabil un MSP în domeniul de aplicare.
MSP și MSSP sunt două categorii separate. Articolul 6(39) definește MSP-ul. Articolul 6(40) definește MSSP-ul ca un furnizor de servicii gestionate care desfășoară sau oferă asistență pentru activități legate de gestionarea riscurilor în materie de securitate cibernetică. Ambele se află în Anexa I sectorul 9. O entitate poate fi ambele în același timp. Majoritatea caselor generale de servicii IT sunt MSP-uri și nu MSSP-uri. Un SOC pur sau un atelier de teste de penetrare este un MSSP.
Testul de mărime se aplică în continuare. NIS 2 se aplică în mod normal întreprinderilor mijlocii și mai mari: cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri și bilanț, conform articolului 2(1) și Recomandării 2003/361/CE. Articolul 2(2)(g) exceptează un set restrâns de sectoare în care mărimea nu condiționează domeniul de aplicare, dar acea derogare acoperă DNS, registrele TLD, furnizorii calificați de servicii de încredere și câteva alte tipuri de infrastructură digitală. Nu atrage MSP-urile mici indiferent de mărime. Un MSP mic, sub testul de mărime, este în afara domeniului de aplicare al NIS 2.
Directiva NIS 2 (2022/2555), Anexa I sectorul 9
Gestionarea serviciilor TIC (de la întreprindere la întreprindere): furnizori de servicii gestionate; furnizori de servicii gestionate de securitate.
NIS 1 nu conținea deloc acest sector. NIS 2 l-a introdus ca o categorie nouă, ceea ce reprezintă una dintre cele mai mari extinderi practice ale domeniului de aplicare din directivă. Atât MSP, cât și MSSP se află în aceeași categorie a Anexei I sectorul 9. Calificativul „de la întreprindere la întreprindere” contează: deservirea consumatorilor nu este acoperită de sectorul 9, deservirea altor întreprinderi este.
Articolul 6(39) din Directiva NIS 2 (definiția MSP)
Furnizor de servicii gestionate înseamnă o entitate care furnizează servicii legate de instalarea, gestionarea, operarea sau întreținerea produselor TIC, a rețelelor, a infrastructurii, a aplicațiilor sau a oricăror altor rețele și sisteme informatice, prin asistență sau administrare activă efectuată fie la sediul clienților, fie de la distanță.
Articolul 6(40) adaugă definiția MSSP: un furnizor de servicii gestionate care desfășoară sau oferă asistență pentru activități legate de gestionarea riscurilor în materie de securitate cibernetică. Directiva alege verbele deliberat: instalare, gestionare, operare, întreținere, administrare activă. Vânzarea unui produs fără operare continuă nu îndeplinește definiția. Un serviciu de asistență care resetează parole fără a opera sistemele nu o îndeplinește nici el.
§28 BSIG (Germania), Anlage 1 sectorul „Digitale Infrastruktur”
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG împreună cu Anlage 1 din BSIG denumesc „Anbieter von verwalteten Diensten” (MSP) și „Anbieter von verwalteten Sicherheitsdiensten” (MSSP) în mod explicit sub Sektor Digitale Infrastruktur, care corespunde Anexei I sectorul 9 din NIS 2. FAQ-ul sectorial specific al BSI adaugă o clarificare practică utilă: găzduirea web pură nu vă face un MSP, iar o predare de proiect unică nu o face nici ea. Administrarea activă continuă este cea care contează.
Operați activ IT-ul clienților?
Articolul 6(39) enumeră verbele care contează: instalare, gestionare, operare, întreținere, administrare activă. Efectuate la sediul clientului sau de la distanță. Relația cu clientul trebuie să fie continuă, nu o instalare unică. Găzduirea web pură, fără administrare, este exclusă. Vânzarea unei licențe software și plecarea este exclusă. Operarea unui firewall gestionat, aplicarea de patch-uri pe serverele clienților, operarea tenantului lor Microsoft 365, gestionarea de la distanță a endpoint-urilor: toate sunt incluse.
Sunteți mijlocie sau mai mare?
Articolul 2(1) plus Recomandarea 2003/361/CE: cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri și bilanț. Aplicați testul entității juridice. Articolul 2(2)(g) enumeră derogări sectoriale înguste în care mărimea nu condiționează domeniul de aplicare, dar MSP nu se află pe acea listă de derogări. Derogarea se aplică furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor calificați de servicii de încredere și câtorva alte tipuri de infrastructură digitală. Un MSP mic, situat sub testul de mărime, este în afara domeniului de aplicare, punct.
Furnizați și servicii de securitate?
Articolul 6(40) definește MSSP-ul ca un furnizor de servicii gestionate care desfășoară sau oferă asistență pentru activități legate de gestionarea riscurilor în materie de securitate cibernetică. Un SOC, un serviciu gestionat de detectare și răspuns, o misiune de teste de penetrare cu sprijin continuu de remediere, un serviciu de gestionare a vulnerabilităților: acelea sunt activități MSSP. O casă generală de servicii IT care operează servere și endpoint-uri este un MSP. O casă care operează deasupra și stiva de securitate este ambele. Anexa I tratează ambele ca „wichtige Einrichtung” conform §28(2) BSIG în mod implicit.
„Gestionat” este o listă largă de verbe, nu o etichetă de marketing
Unele entități nu se autodenumesc MSP și totuși îndeplinesc definiția. Altele se autodenumesc MSP și nu o îndeplinesc. Testul juridic este lista de verbe din articolul 6(39): instalare, gestionare, operare, întreținere, administrare activă a produselor TIC, a rețelelor, a infrastructurii, a aplicațiilor sau a sistemelor pentru alte părți. Dacă acele verbe descriu ceea ce faceți în mod recurent, sunteți un MSP conform NIS 2, indiferent dacă site-ul dvs. spune asta sau nu.
Propriul dvs. IT intern nu vă face un MSP
Operarea IT-ului pentru dvs. înșivă nu este un serviciu gestionat. Clientul trebuie să fie altcineva. Departamentele IT interne care își deservesc propriul angajator nu intră în domeniul de aplicare ca MSP. O societate de servicii separată din interiorul unui grup care operează IT-ul pentru entitățile surori este o chestiune diferită și de obicei contează, deoarece surorile sunt părți distincte din punct de vedere juridic. Consultați pagina despre IT-ul de grup pentru acel caz.
BSI / §28 BSIG și Anlage 1
BSI este autoritatea cibernetică pentru MSP-uri în Germania. Anlage 1 din BSIG enumeră „Anbieter von verwalteten Diensten” și „Anbieter von verwalteten Sicherheitsdiensten” sub Digitale Infrastruktur, ceea ce se corelează direct cu Anexa I sectorul 9 din NIS 2. FAQ-ul sectorial specific al BSI are cel mai util text practic: găzduirea web pură nu este MSP, un proiect unic nu este MSP, administrarea activă continuă este. Portalul de înregistrare conform §33 BSIG este locul în care se înregistrează MSP-urile aflate peste testul de mărime.
Orientarea tehnică de punere în aplicare a ENISA
TIG-ul ENISA acoperă activitățile MSP și MSSP sub capitolul Anexei I sectorul 9 și corelează controalele din articolul 21 cu operațiunile pe care le desfășoară un MSP tipic. Tabelul de corespondență al TIG face legătura cu ISO 27001, NIST CSF 2.0 și ETSI 319 401, astfel încât MSP-urile care operează deja un ISMS sau o operațiune aliniată la ETSI pot reutiliza cea mai mare parte a acelei munci.
MSP-urile în NL, AT, BE și restul
Articolul 6 din directivă este un singur set de definiții pentru întreaga UE. Alte transpuneri copiază formularea: Austria prin NISG, Țările de Jos prin Cyberbeveiligingswet, Belgia prin NIS2-Wet. Un MSP care deservește clienți transfrontalier intră în domeniul de aplicare oriunde are un sediu și se înregistrează în fiecare stat membru în care furnizează serviciul. Definiția de fond nu se schimbă între țări.
Doar răspundem la tichete, nu chiar gestionăm sistemele clienților.
Dacă tichetele implică instalarea, configurarea, aplicarea de patch-uri sau operarea sistemelor clienților pe bază continuă, aceasta este administrare activă conform articolului 6(39). Reactiv nu înseamnă în afara domeniului de aplicare. Un serviciu de asistență care doar resetează parole fără a atinge sistemele subiacente este o excepție îngustă. Un serviciu de asistență care aplică patch-uri pe Windows, repornește servicii sau distribuie configurări de endpoint desfășoară servicii gestionate.
Suntem prea mici pentru a fi în domeniul de aplicare, derogarea ne atrage oricum înăuntru.
Articolul 2(2)(g) nu atrage MSP-urile mici înăuntru indiferent de mărime. Derogarea se aplică furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor calificați de servicii de încredere, furnizorilor de rețele și servicii publice de comunicații electronice și câtorva alte tipuri de infrastructură digitală. MSP-urile nu se află pe acea listă. Un MSP mic, sub testul de mărime (sub 50 de angajați și fără a depăși pragurile de cifră de afaceri și bilanț), este în afara domeniului de aplicare al NIS 2 în sine, chiar dacă contractele cu clienții pot solicita în continuare să demonstrați controalele din articolul 21 conform clauzei privind lanțul de aprovizionare.
Deservim doar propriul grup, deci suntem un departament IT intern.
Dacă entitățile pe care le deserviți sunt distincte din punct de vedere juridic de societatea dvs. de servicii, chiar și în cadrul aceluiași grup, acelea sunt servicii pentru alte părți conform articolului 6(39). Un GmbH central de servicii IT care operează infrastructura pentru GmbH-urile surori este un MSP în lectura NIS 2. Pagina separată despre IT-ul de grup tratează acest caz mai în detaliu.
Un MSP tipic de talie medie, cu 70 de angajați, aproximativ 80 de clienți IMM și un mix de servicii format din endpoint-uri gestionate, administrare Microsoft 365, firewall-uri gestionate și gestionarea patch-urilor pentru serverele clienților, se află fără echivoc în domeniul de aplicare al NIS 2. Anexa I sectorul 9 surprinde activitatea. Articolul 6(39) surprinde verbele. Testul de mărime este trecut confortabil la 70 de angajați. Clasificarea implicită conform §28(2) BSIG este „wichtige Einrichtung”.
Registrul de riscuri conform §30 trebuie să acopere infrastructura de gestionare care atinge sistemele clienților: instrumentele RMM, jump host-urile, stiva SOC dacă operați una, stiva de acces privilegiat. Cascada de raportare a incidentelor conform §32 se aplică atunci când un incident afectează propria dvs. infrastructură sau, prin extensie, clienții pe care îi administrați. Înregistrarea conform §33 este o singură depunere la BSI pentru întreaga entitate juridică. Contractele cu clienții au apoi nevoie de clauze conform articolului 21(2)(d) care indică spre aceleași controale, ceea ce este locul în care conformitatea lanțului de aprovizionare întâlnește conformitatea MSP.
Verificarea aplicabilității parcurge MSP-urile prin cazul Anexei I sectorul 9 în mod explicit. Bifați verbele de serviciu pe care le desfășurați, platforma aplică testul de mărime și vă spune în ce categorie §28 BSIG vă încadrați. Dacă operați și servicii de securitate, oferă ramura MSSP în paralel, fără a vă obliga să alegeți una sau alta.
Portalul de furnizori gestionează cealaltă parte a contractului. Clienților care cumpără servicii gestionate de la dvs. li se poate oferi un chestionar structurat și un rezumat publicat al controalelor din articolul 21, astfel încât o singură dovadă acoperă toate clauzele contractuale pe care altfel le-ați trimite în PDF-uri fiecărui client separat.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 9 (gestionarea serviciilor TIC B2B). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 6(39) (definiția furnizorului de servicii gestionate). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 6(40) (definiția furnizorului de servicii gestionate de securitate). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 2(1) și articolul 2(2). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei privind definiția microîntreprinderilor și a întreprinderilor mici și mijlocii
- Legea BSI (BSIG), §28 și Anlage 1 sectorul Digitale Infrastruktur, astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- FAQ sectorial specific al BSI privind Anlage 1 Nr. 6.1.10 (Managed Services Provider). bsi.bund.de