Sunt furnizor de telecomunicații conform NIS 2?
NIS 2 enumeră telecomunicațiile în Anexa I sectorul 8 (Infrastructură digitală). Articolul 2(2)(a) elimină apoi pragul de dimensiune, astfel încât obligațiile se aplică fiecărui furnizor orientat către public, mare sau mic. Definițiile provin din Codul european al comunicațiilor electronice, nu din uzul colocvial.
Pe scurt
Dacă operați o rețea publică de comunicații electronice sau dacă furnizați un serviciu de comunicații electronice disponibil public, intrați sub incidența NIS 2. Anexa I sectorul 8 vă desemnează direct în cadrul Infrastructurii digitale.
Articolul 2(2)(a) din directivă elimină apoi pragul obișnuit de dimensiune pentru telecomunicații. Nu contează dacă aveți 5 angajați sau 500. Declanșatorul este rolul de serviciu public, nu numărul de angajați. Un mic ISP regional, un mic revânzător de VoIP și un operator național de telefonie mobilă intră toți sub incidență pe aceeași bază.
Germania pune asta în legislația națională prin §28 BSIG împreună cu Telekommunikationsgesetz (TKG). Unele obligații operaționale trec prin Bundesnetzagentur (BNetzA), nu direct prin BSI. Această pagină parcurge directiva, definițiile sectoriale ale UE și transpunerea germană, în această ordine.
Directiva NIS 2 (2022/2555), Anexa I Sectorul 8 și Art. 2(2)(a)
Sectorul 8 Infrastructură digitală: furnizori de rețele publice de comunicații electronice; furnizori de servicii de comunicații electronice disponibile public. Prezenta directivă se aplică, de asemenea, entităților, indiferent de dimensiunea lor, care îndeplinesc oricare dintre următoarele criterii: (a) furnizori de rețele publice de comunicații electronice sau furnizori de servicii de comunicații electronice disponibile public.
Două piese trebuie citite împreună. Anexa I sectorul 8 desemnează telecomunicațiile drept infrastructură esențială. Articolul 2(2)(a) creează apoi o includere indiferent de dimensiune pentru aceiași furnizori de telecomunicații. Pragul obișnuit pentru întreprinderi mijlocii (50 de angajați sau 10 mil. EUR cifră de afaceri) nu se aplică aici.
Directiva (UE) 2018/1972 (Codul european al comunicațiilor electronice), Art. 2
Prin "rețea publică de comunicații electronice" se înțelege o rețea de comunicații electronice utilizată în întregime sau în principal pentru furnizarea de servicii de comunicații electronice disponibile public. Prin "serviciu de comunicații electronice disponibil public" se înțelege un serviciu furnizat în mod normal contra cost prin rețele de comunicații electronice, care cuprinde serviciul de acces la internet, serviciul de comunicații interpersonale și serviciile care constau în întregime sau în principal în transmiterea de semnale.
NIS 2 nu redefinește acești termeni. Îi împrumută din Codul european al comunicațiilor electronice (EECC). "Disponibil public" este cuvântul-cheie: un serviciu pe care îl vindeți publicului larg contează, un VoIP corporativ intern pe care îl rulați doar pentru propriul personal nu contează.
§28 BSIG și Telekommunikationsgesetz (TKG), Germania
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Germania transpune obligațiile de telecomunicații prin §28 BSIG în combinație cu TKG. BSI este autoritatea centrală NIS 2, dar Bundesnetzagentur (BNetzA) se ocupă de reglementarea operațională sectorială pentru furnizorii de telecomunicații (măsuri de securitate conform fostului §109 TKG, notificări de incidente, înregistrarea serviciilor). Așteptați-vă să aveți de-a face cu ambele.
Operați o rețea publică?
O rețea publică de comunicații electronice este o rețea utilizată în întregime sau în principal pentru a furniza servicii publicului: fibră, cablu, mobil, satelit, acces fix fără fir. Dacă rulați transportul de bază pentru clienții altcuiva, intrați sub incidență pe componenta de operator de rețea.
Furnizați un serviciu public?
Un serviciu de comunicații electronice disponibil public este unul pe care îl vindeți publicului: acces la internet (ISP), comunicații interpersonale (telefon, SMS, e-mail, VoIP, mesagerie) sau pură transmitere de semnale. Revânzarea rețelei altcuiva sub propriul brand contează.
Dimensiunea nu vă scoate din schemă
Art. 2(2)(a) elimină pragul obișnuit de 50 de angajați / 10 mil. EUR pentru telecomunicații. Un ISP regional de fibră cu 5 persoane și un mic revânzător de telefonie IP intră sub incidență pe aceeași bază juridică precum Deutsche Telekom. Nu există nicio excludere pentru întreprinderi mici în acest sector.
Includere indiferent de dimensiune (Art. 2(2)(a))
Pentru majoritatea sectoarelor NIS 2, intrați sub incidență doar dacă depășiți pragul pentru întreprinderi mijlocii. Telecomunicațiile sunt una dintre excepții. Directiva se aplică explicit indiferent de dimensiune, deoarece rolul de serviciu public în sine creează o dependență societală. Mic nu înseamnă în afară.
Definițiile sunt cele din EECC
Ceea ce contează drept serviciu "disponibil public" este testul juridic din Codul european al comunicațiilor electronice, nu cel colocvial. Un serviciu pe care îl vindeți publicului este în. O rețea sau un serviciu pe care îl rulați doar pentru propria organizație sau doar ca grup închis de utilizatori de obicei nu este. În caz de îndoială, definițiile, considerentele EECC și ghidul autorității naționale de reglementare sunt referința.
BSI / §28 BSIG
BSI este autoritatea centrală NIS 2. Înregistrarea, cadrul de management al riscurilor, raportarea incidentelor conform NIS 2 trec toate prin BSI. Pentru telecomunicații, §28 BSIG desemnează operatorii de rețele publice și furnizorii de servicii publice drept "besonders wichtige Einrichtungen" în mod direct, indiferent de dimensiune.
Bundesnetzagentur (BNetzA) / TKG
BNetzA este reglementatorul sectorial pentru telecomunicații. Gestionează obligațiile operaționale din TKG (securitatea rețelelor și serviciilor, notificarea incidentelor pe componenta de telecomunicații, înregistrarea serviciilor). NIS 2 se suprapune peste regimul TKG existent, nu îl înlocuiește. Majoritatea furnizorilor de telecomunicații raportează prin ambele canale.
ENISA
ENISA, agenția UE pentru securitate cibernetică, coordonează între statele membre și publică Ghidul tehnic de implementare conform CIR (UE) 2024/2690. Operatorii de rețele publice și furnizorii de servicii publice sunt enumerați în Anexa CIR, ceea ce înseamnă că părți din CIR sunt direct obligatorii pentru furnizorii de telecomunicații fără a fi nevoie de o transpunere națională suplimentară.
Reglementatori naționali de telecomunicații
Fiecare stat membru are propriul reglementator de telecomunicații care gestionează acest strat: ACM în Țările de Jos, ARCEP în Franța, RTR în Austria, AGCOM în Italia. Obligația NIS 2 este aceeași în întreaga UE, deoarece directiva stabilește un singur prag minim. Ce diferă: la cine vă înregistrați, ce formular de incident folosiți și cum își împart sarcina echivalentul BSI și reglementatorul de telecomunicații.
Avem doar 5 angajați, deci pragul de dimensiune ne scoate din schemă.
Nu pentru telecomunicații. Art. 2(2)(a) din NIS 2 enumeră operatorii de rețele publice și furnizorii de servicii publice ca o categorie aplicabilă indiferent de dimensiune. Pragul de 50 de angajați / 10 mil. EUR care filtrează majoritatea celorlalte sectoare nu se aplică aici. Un ISP regional cu 5 persoane intră sub incidența NIS 2 pe aceeași poziție ca un operator național.
Nu suntem un MSP, deci sectorul 8 nu ne prinde.
Alt sector, alt test. Furnizorii de servicii gestionate se află în Anexa I sectorul 8 sub "managementul serviciilor TIC (B2B)" și ei respectă pragul de dimensiune. Operatorii de rețele publice și furnizorii de servicii publice sunt un rând separat din același sector, cu propriile definiții din EECC, plus regula aplicabilă indiferent de dimensiune din Art. 2(2)(a). Citiți ambele rânduri.
Rulăm o rețea pentru grupul nostru corporativ, deci intrăm sub incidență ca furnizor de telecomunicații.
De obicei nu, pe componenta de telecomunicații. Testul EECC se bazează pe "disponibil public". O rețea corporativă privată utilizată doar de propria organizație sau de un grup închis de utilizatori este în general în afara definițiilor EECC și, prin urmare, în afara Anexei I sectorul 8 pentru telecomunicații. S-ar putea totuși să intrați sub incidența NIS 2 pe alt sector sau ca entitate vizată, dar nu ca furnizor de telecomunicații.
Un mic ISP regional de fibră cu 8 angajați intră fără echivoc sub incidența NIS 2. Anexa I sectorul 8 desemnează operatorii de rețele publice și furnizorii de servicii publice; Art. 2(2)(a) elimină pragul de dimensiune; testul EECC pentru "disponibil public" este îndeplinit, deoarece serviciul este vândut publicului larg. Aceeași logică prinde un mic revânzător de telefonie IP care servește clienți publici. Nu există nicio citire onestă a textului care să-l scoată din schemă pe vreunul dintre ei.
Ce vedem în practică: operatorul elaborează un cadru de management al riscurilor conform §2.1 în jurul serviciilor orientate către public și al infrastructurii de suport (rețeaua de transport, rutarea de bază, nodurile de acces, OSS/BSS, autentificarea clienților). Proporționalitatea din Art. 21(1) se aplică, deci un ISP cu 8 persoane nu implementează la profunzimea unui operator de top. Eșalonarea trebuie notată în scris, justificată de tabloul de risc și aprobată de organul de conducere. Obligațiile TKG ale BNetzA rulează în paralel și alimentează același registru de riscuri.
Verificarea noastră de aplicabilitate parcurge pas cu pas definițiile EECC. Vă întreabă ce operați, cui vindeți și dacă serviciul este "disponibil public" în sensul EECC. Rezultatul vă spune care rând din Anexă se aplică, dacă Art. 2(2)(a) vă prinde indiferent de dimensiune și cu ce reglementator național (BSI vs BNetzA în Germania, echivalentul BSI vs reglementatorul de telecomunicații în altă parte) discutați mai întâi.
Modulul de active acoperă latura de rețea (transport, bază, acces, OSS/BSS) și latura orientată către serviciu (managementul abonaților, autentificarea, platformele de voce și mesagerie) pe un singur inventar. Cadrul de management al riscurilor din §2 CIR rulează apoi pe acel inventar, astfel încât aceeași listă de active alimentează atât componenta BSIG / NIS 2, cât și componenta TKG, fără întreținere dublă.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I Sectorul 8 și Articolul 2(2)(a). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2018/1972 (Codul european al comunicațiilor electronice), definițiile din Articolul 2. eur-lex.europa.eu/eli/dir/2018/1972/oj
- Legea BSI (BSIG), §28 astfel cum a fost modificată prin Legea de implementare a NIS2 și de consolidare a securității cibernetice
- Telekommunikationsgesetz (TKG), §165 și urm. (securitatea rețelelor și serviciilor)
- Bundesnetzagentur, ghid sectorial privind securitatea și obligațiile de raportare TKG. bundesnetzagentur.de
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa (acoperă DNS, TLD, cloud, centre de date, MSP-uri și alte categorii din sectorul 8). eur-lex.europa.eu/eli/reg_impl/2024/2690/oj