Suntem o entitate a administrației publice conform NIS 2?
Administrația publică se află în Anexa I sectorul 10 și articolul 2(2)(f) NIS 2. Administrația centrală intră indiferent de mărime. Administrația regională intră dacă statul dumneavoastră membru a efectuat evaluarea bazată pe riscuri. Excluderile din articolul 2(5) până la (7) sunt înguste și funcționale, nu instituționale.
Pe scurt
Administrația publică se află în Anexa I sectorul 10 NIS 2. Testul de mărime care elimină societățile private mici nu se aplică aici. Articolul 2(2)(f) spune că entitățile administrației publice ale administrației centrale intră indiferent de mărime, iar entitățile administrației publice la nivel regional intră dacă statul membru le-a identificat în urma unei evaluări bazate pe riscuri.
Directiva exclude apoi activități specifice, nu instituții specifice. Articolul 2(5) exclude securitatea națională, apărarea, securitatea publică, aplicarea legii și activitățile judiciare. Articolul 2(7) exclude parlamentele și băncile centrale. O autoritate de poliție care operează IT intern de resurse umane și financiar intră pentru acel IT. Aceeași autoritate este exclusă pentru sistemele sale operaționale de aplicare a legii. Funcția decide, nu eticheta de pe ușă.
În Germania, §28 BSIG operaționalizează regula pentru Bundesverwaltung. §29 BSIG oferă landurilor temeiul juridic pentru a aduce Landes- și Kommunalverwaltung în domeniul de aplicare. Până când un land folosește §29 BSIG, municipalitățile din acel land sunt formal în afară, chiar dacă fiecare agendă de conferință NIS 2 le tratează ca fiind înăuntru. Citiți Landes-Cybersicherheitsgesetz înainte să vă încadrați singuri.
Articolul 2(2)(f) Directiva NIS 2 (2022/2555)
Prezenta directivă se aplică entităților de un tip menționat în Anexa I sau II, indiferent de mărimea lor, în cazul în care entitatea este o entitate a administrației publice (i) a administrației centrale, astfel cum este definită de un stat membru în conformitate cu dreptul național; sau (ii) la nivel regional, astfel cum este definită de un stat membru în conformitate cu dreptul național, care, în urma unei evaluări bazate pe riscuri, prestează servicii a căror perturbare ar putea avea un impact semnificativ asupra unor activități societale sau economice critice.
Textual din JO L 333/110. Două jumătăți. Administrația centrală intră automat. Administrația regională intră doar după ce statul membru a efectuat evaluarea bazată pe riscuri și a identificat entitățile. Testul de mărime din articolul 2(1) nu se aplică niciuneia.
Articolul 2(5) Directiva NIS 2 (excluderile)
Prezenta directivă nu se aplică entităților administrației publice care își desfășoară activitățile în domeniile securității naționale, securității publice, apărării sau aplicării legii, inclusiv prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor.
Excluderea este funcțională. Excluderea urmează activitatea, nu instituția. O autoritate federală de poliție este exclusă pentru sistemele sale de aplicare a legii și inclusă pentru IT-ul său corporativ. Articolul 2(7) adaugă parlamentele și băncile centrale. Articolul 2(6) permite statelor membre să excepteze entitățile care desfășoară activități în temeiul articolului 2(5) doar în acele domenii.
§28 și §29 BSIG (Germania)
§28 BSIG transpune regula administrației centrale și obligă Einrichtungen der Bundesverwaltung. §29 BSIG împuternicește landurile să aducă Einrichtungen der Landes- und Kommunalverwaltung în domeniul de aplicare prin propriile Landes-Cybersicherheitsgesetze, în urma evaluării bazate pe riscuri cerute de articolul 2(2)(f)(ii) NIS 2.
Două ancore germane, nu una. Bundesverwaltung intră prin lege federală. Landesverwaltung și Kommunalverwaltung așteaptă legislația de land. Unele landuri au publicat deja proiecte de Landes-Cybersicherheitsgesetze; altele nu. Statutul juridic al unei Kommune depinde de landul în care se află.
Administrația centrală
Entitățile administrației publice ale administrației centrale, astfel cum sunt definite de dreptul național, intră indiferent de mărime. Ministere federale, agenții federale, autorități federale. Niciun prag de mărime. În Germania, acesta este Bundesverwaltung în temeiul §28 BSIG. Eticheta 'centrală' este stabilită de dreptul național, deci lista diferă între statele membre, dar regula structurală este aceeași.
Administrația regională
Entitățile administrației publice la nivel regional intră doar dacă statul membru le-a identificat în urma unei evaluări bazate pe riscuri. Directiva nu le desemnează automat. În Germania, landurile folosesc §29 BSIG și Landes-Cybersicherheitsgesetze pentru a efectua acea identificare și a obliga Landesverwaltung și Kommunalverwaltung. Până când landul relevant a acționat, entitățile regionale sunt formal în afara directivei.
Excluderi funcționale
Articolul 2(5) exclude activitățile din securitatea națională, securitatea publică, apărare și aplicarea legii. Articolul 2(7) exclude parlamentele și băncile centrale. Excluderea se atașează activității, nu instituției. IT-ul administrativ general al unui minister rămâne înăuntru. Sistemul de gestionare a cazurilor al unei forțe de poliție este exclus. Documentați care sisteme se află pe care parte a liniei.
Mărimea nu se aplică
Testul de mărime din articolul 2(1) (50 de angajați, 10 milioane de euro) nu se aplică administrației publice. Articolul 2(2)(f) este o excepție indiferent de mărime. O autoritate federală cu 12 persoane intră. O Bundesoberbehörde cu 4 persoane intră. Singurele filtre sunt 'este aceasta administrație centrală', 'este aceasta administrație regională pe care statul membru a identificat-o' și 'este această activitate exclusă prin articolul 2(5) sau (7)'.
Excluderile urmează funcția, nu instituția
Considerentul 8 face acest lucru explicit. Excluderile din articolul 2(5) nu sunt o trecere generală pentru poliție, apărare și serviciile de informații. Acoperă activitățile din acele domenii. Aceeași autoritate poate fi exclusă pentru sistemele sale operaționale și inclusă pentru IT-ul său corporativ, sistemele de resurse umane, sistemele financiare și sistemele orientate spre furnizori. Cartografiați-vă activitățile, apoi cartografiați-vă sistemele în raport cu ele.
BSI / §28 BSIG
BSI este autoritatea competentă pentru Bundesverwaltung în temeiul §28 BSIG. Ministerele și agențiile federale intră prin lege federală, fără test de mărime, fără opt-in. BSI publică Verwaltungsvorschriften specifice și profiluri IT-Grundschutz pentru autoritățile federale (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
§29 BSIG împuternicește fiecare land să legifereze ce entități Landes- și Kommunalverwaltung sunt în domeniul de aplicare. Landul efectuează evaluarea bazată pe riscuri cerută de articolul 2(2)(f)(ii). Până când acea legislație există, BSIG-ul federal nu obligă entitățile regionale. Verificați dacă landul dumneavoastră a publicat un proiect de Cybersicherheitsgesetz înainte să încadrați o Kommune.
Instrumentul ENISA de urmărire a transpunerii NIS 2
ENISA publică o pagină de transpunere NIS 2 care enumeră legile naționale, autoritățile competente per stat membru și deciziile naționale de încadrare pentru administrația publică. Este cea mai curată sursă unică pentru autoritățile transfrontaliere sau organizațiile de servicii partajate care stabilesc cu ce autoritate de reglementare depun în fiecare țară.
Legi naționale de transpunere
Articolul 2(2)(f) obligă administrația publică în toată UE. NL îl acoperă prin Cyberbeveiligingswet, FR prin Ordonnance n° 2024-1093, AT prin NISG. Regula indiferent de mărime a directivei este aceeași peste tot. Fiecare stat membru decide ce se contabilizează drept central și care entități regionale trec evaluarea bazată pe riscuri.
Suntem o Kommune, deci suntem automat în NIS 2.
Nu doar prin lege federală. §28 BSIG obligă Bundesverwaltung. Landes- și Kommunalverwaltung intră în domeniul de aplicare prin §29 BSIG și Landes-Cybersicherheitsgesetz relevant, după ce landul a efectuat evaluarea bazată pe riscuri cerută de articolul 2(2)(f)(ii). Verificați statutul landului dumneavoastră înainte să presupuneți.
Facem muncă de aplicare a legii, deci suntem în afara NIS 2.
Excluderea din articolul 2(5) este funcțională. Acoperă activitățile de aplicare a legii, nu întreaga instituție. O autoritate de poliție este exclusă pentru sistemele sale de gestionare a cazurilor și de supraveghere, și inclusă pentru IT-ul său de resurse umane, financiar, de achiziții și administrativ general. Aceeași autoritate, două domenii de aplicare. Documentați linia per sistem.
Stadtwerk-ul nostru este deținut municipal, deci intră sub administrația publică din sectorul 10.
Proprietatea nu mută un Stadtwerk în sectorul 10. O utilitate deținută municipal este în NIS 2 prin sectoarele 1 (energie), 6 (apă potabilă), 7 (apă uzată) sau 8 (infrastructură digitală) din Anexa I, cu testul de mărime obișnuit din articolul 2(1). Sectorul 10 este pentru entitățile administrației publice astfel cum sunt definite de statul membru, nu pentru operatorii comerciali deținuți de stat.
Caz tipic: o agenție federală cu 90 de angajați. Se aplică articolul 2(2)(f)(i) (Bundesverwaltung), deci testul de mărime nu rulează niciodată. Agenția operează IT administrativ general și o platformă specializată care sprijină coordonarea federală de aplicare a legii. Articolul 2(5) exclude platforma de aplicare a legii. IT-ul administrativ rămâne înăuntru. Rezultat: un singur Anwendbarkeitsprüfung care enumeră care sisteme intră sub §30 BSIG și care se află în spatele excluderii, cu semnătura organului de conducere.
Caz tipic la nivel regional: o Kommune cu 220 de angajați într-un land care nu și-a adoptat încă Landes-Cybersicherheitsgesetz. Formal în afara NIS 2 astăzi. Practicienii construiesc totuși baza (registrul de riscuri, lista de furnizori, procesul de incidente) deoarece proiectul de lege este în consultare, iar obligațiile vor apărea în 2026 sau 2027. Tratați anul de pauză ca pregătire, nu ca vacanță.
Verificarea de aplicabilitate parcurge cele trei elemente în ordine: sunteți administrație centrală, sunteți o entitate regională pe care statul dumneavoastră membru a identificat-o și care dintre activitățile dumneavoastră se află în spatele unei excluderi din articolul 2(5) sau (7). Răspundeți la întrebări o singură dată și primiți un Anwendbarkeitsprüfung scris care numește temeiul juridic (§28 BSIG, §29 BSIG plus legea dumneavoastră de land, sau în afara domeniului de aplicare) și sistemele excluse.
Rezultatul nu este un da/nu. Este o justificare: care dispoziție se aplică, ce a decis statul membru cu privire la entitățile regionale și care sisteme se află pe care parte a excluderii funcționale. Semnat de organul de conducere, stocat cu pistă de audit, fixat pe versiunea textului UE și BSIG pe care îl cităm.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 2(2)(f), Articolul 2(5) până la (7), considerentele 7 și 8, Anexa I sectorul 10. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legea BSI (BSIG), §28 (Bundesverwaltung) și §29 (Länder) astfel cum a fost modificată prin NIS2-Umsetzungsgesetz
- Instrumentul ENISA de urmărire a transpunerii NIS 2. enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (per land, proiecte și legi adoptate)