Sunt furnizor de servicii de încredere conform NIS 2?
Furnizorii de servicii de încredere se află în Anexa I sectorul 8 din NIS 2. TSP-urile calificate sunt obligate indiferent de mărime conform articolului 2(2)(b). TSP-urile necalificate urmează testul standard de mărime din articolul 2(1). eIDAS se află în paralel și reglementează serviciul de încredere în sine.
Pe scurt
Un furnizor de servicii de încredere este oricine furnizează unul sau mai multe servicii de încredere conform definiției din articolul 3(16) din Regulamentul eIDAS (UE) 910/2014: semnături electronice, sigilii electronice, mărci temporale electronice, distribuție electronică înregistrată, certificate de autentificare a site-urilor web sau păstrarea oricăruia dintre acestea. Anexa I sectorul 8 din NIS 2 denumește furnizorii de servicii de încredere în mod explicit ca parte a Infrastructurii digitale.
Articolul 2(2)(b) NIS 2 acționează apoi o pârghie care nu se aplică majorității celorlalte sectoare. Furnizorii calificați de servicii de încredere, astfel cum sunt definiți în articolul 3(17) eIDAS, sunt în domeniul de aplicare indiferent de mărime. Un TSP calificat de două persoane care emite certificate calificate pentru semnături electronice este obligat în același mod ca o autoritate de certificare de 500 de persoane. Pragul întreprinderii mijlocii din articolul 2(1) nu îi condiționează.
TSP-urile necalificate urmează testul obișnuit de mărime: cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală sau bilanț îi pune în domeniul de aplicare. Sub acel prag se află în afara NIS 2, deși articolul 19 eIDAS îi obligă în continuare cu un prag de securitate. Două regimuri rulează în paralel în orice caz: eIDAS pentru serviciul de încredere în sine, NIS 2 pentru obligațiile cibernetice transorganizaționale (formarea conducerii conform articolului 20, raportarea incidentelor semnificative conform §32 BSIG, măsurile de gestionare a riscurilor conform articolului 21).
Directiva NIS 2 (2022/2555), Anexa I sectorul 8 (Infrastructura digitală)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Textual din OJ L 333/146. Sectorul 8 este Infrastructura digitală. Furnizorii de servicii de încredere sunt prima subcategorie enumerată. Lista sectorului nu separă calificat de necalificat; acea separare este făcută de articolul 2(2)(b) și de eIDAS.
Articolul 2(2)(b) NIS 2 + articolele 3(16) și 3(17) eIDAS
Articolul 2(2)(b) NIS 2: Prezenta directivă se aplică, de asemenea, entităților de un tip menționat în Anexa I sau II, indiferent de mărimea lor, în cazul în care entitatea este un furnizor calificat de servicii de încredere. Articolul 3(16) eIDAS: „serviciu de încredere” înseamnă un serviciu electronic furnizat în mod normal contra cost care constă în: (a) crearea, verificarea și validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuție electronică înregistrată și a certificatelor aferente acestor servicii sau (b) crearea, verificarea și validarea certificatelor pentru autentificarea site-urilor web sau (c) păstrarea semnăturilor, a sigiliilor sau a certificatelor electronice aferente acestor servicii. Articolul 3(17): „serviciu de încredere calificat” înseamnă un serviciu de încredere care îndeplinește cerințele aplicabile prevăzute în prezentul regulament.
Două definiții suprapuse. Articolul 3(16) eIDAS vă spune ce contează ca serviciu de încredere. Articolul 3(17) vă spune când unul este calificat (îndeplinește cerințele din Anexa eIDAS și este listat pe lista națională de încredere). Articolul 2(2)(b) NIS 2 spune apoi: dacă sunteți calificat, sunteți în NIS 2 indiferent de numărul de angajați sau de cifra de afaceri.
§28 BSIG + Vertrauensdienstegesetz (Germania)
§28 BSIG transpune domeniul de aplicare din Anexa I în dreptul german și surprinde explicit furnizorii calificați de servicii de încredere ca „besonders wichtige Einrichtungen” indiferent de mărime. Vertrauensdienstegesetz (VDG) este legea națională de însoțire a Regulamentului eIDAS; desemnează Bundesnetzagentur ca organism de supraveghere pentru serviciile de încredere și operează lista germană de încredere.
Regulamentul eIDAS se aplică direct, fără transpunere germană. VDG adaugă doar mecanismul de supraveghere. NIS 2 se așază separat deasupra ambelor: §28 BSIG plasează TSP-urile calificate în nivelul cel mai înalt (besonders wichtige Einrichtung), indiferent de mărime, cu BSI ca autoritate de reglementare cibernetică.
Furnizați un serviciu de încredere?
Comparați oferta dvs. cu articolul 3(16) eIDAS. Lista închisă este: semnături electronice, sigilii electronice, mărci temporale electronice, servicii de distribuție electronică înregistrată, certificate de autentificare a site-urilor web și păstrarea oricăruia dintre acestea. Serviciul este furnizat în mod normal contra cost. Dacă oferta dvs. nu se potrivește în niciuna dintre aceste categorii, nu sunteți un TSP conform eIDAS, oricâtă criptografie ați livra.
Sunteți furnizorul sau doar un utilizator?
Un TSP emite sau operează serviciul de încredere pentru alții. O companie care își semnează propriile facturi cu un serviciu de semnătură calificată extern este un utilizator al acelui serviciu, nu un TSP. O firmă de consultanță care ajută un client să implementeze fluxuri de semnătură este și ea un utilizator. Statutul de furnizor depinde de dacă creați, validați, distribuiți sau păstrați serviciul de încredere în sine, pentru altcineva, contra cost.
Calificat sau necalificat?
Verificați lista națională de încredere (în Germania: lista de încredere a Bundesnetzagentur conform VDG). Dacă sunteți listat acolo ca furnizor calificat, articolul 2(2)(b) NIS 2 vă obligă indiferent de mărime. Dacă nu sunteți listat, sunteți necalificat și se aplică testul standard de mărime din articolul 2(1): întreprindere mijlocie sau mai mare. TSP-urile calificate de două și trei persoane sunt comune în acest sector și sunt toate în domeniul de aplicare.
Calificat înseamnă indiferent de mărime
Articolul 2(2)(b) NIS 2 este una dintre cele șapte derogări indiferent de mărime din directivă. Serviciile de încredere au intrat pe listă deoarece prejudiciul cauzat de un certificat calificat compromis este structural: fiecare semnătură, sigiliu sau marcă temporală emisă sub acesta își pierde efectul juridic. Mărimea furnizorului nu are nicio legătură cu mărimea pagubei din aval. O autoritate de certificare de două persoane poate rupe întregul lanț de semnături al unui stat membru. De aceea testul de mărime este dezactivat.
TSP-urile calificate rulează două regimuri paralele
Articolul 19 eIDAS obligă securitatea serviciului de încredere în sine, cu audituri la fiecare 24 de luni conform articolului 24 pentru TSP-urile calificate. NIS 2 adaugă obligațiile cibernetice transorganizaționale: formarea conducerii conform articolului 20, măsurile de gestionare a riscurilor conform articolului 21, raportarea incidentelor semnificative conform articolului 23. Articolul 4 NIS 2 nu dezactivează NIS 2 aici. Ambele regimuri se aplică integral. Organismul de supraveghere eIDAS și autoritatea competentă NIS 2 pot fi diferite (în Germania: Bundesnetzagentur pentru eIDAS, BSI pentru NIS 2).
BSI / §28 BSIG (latura NIS 2)
BSI este autoritatea competentă NIS 2. Operează portalul de înregistrare conform §33 BSIG, primește notificările de incidente semnificative conform §32 BSIG și supraveghează măsurile de gestionare a riscurilor conform §30 BSIG. TSP-urile calificate ajung în nivelul „besonders wichtige Einrichtung” prin §28 BSIG, ceea ce înseamnă supraveghere mai strictă și aceleași termene de raportare a incidentelor ca operatorii KRITIS.
Bundesnetzagentur (latura eIDAS)
Bundesnetzagentur este organismul de supraveghere pentru serviciile de încredere conform Vertrauensdienstegesetz. Operează lista germană de încredere, acreditează statutul calificat, primește rapoartele de evaluare a conformității conform articolului 20 eIDAS și gestionează ciclul de audit de 24 de luni conform articolului 24. Atunci când un incident este atât un incident semnificativ conform §32 BSIG, cât și o încălcare conform articolului 19(2) eIDAS, raportați ambele, ambelor autorități.
Orientarea tehnică de punere în aplicare a ENISA + activitatea EUDI Wallet
ENISA publică orientarea tehnică pentru serviciile de încredere conform articolului 19 eIDAS și scrie pragul de securitate cibernetică care alimentează așteptările supraveghetorilor naționali. Același organism scrie acum pachetul de lucru privind serviciile de încredere pentru Portofelul european pentru identitate digitală, care extinde perimetrul TSP-urilor calificate începând din 2026.
Legi naționale de transpunere
eIDAS este un regulament, deci regulile privind serviciile de încredere sunt uniforme în întreaga UE. NIS 2 este o directivă, deci fiecare stat membru o transpune: NL prin Cyberbeveiligingswet, AT prin NISG, FR prin Ordonnance 2024-1093. Anexa I sectorul 8 și regula indiferent de mărime din articolul 2(2)(b) sunt identice în toate. Autoritatea competentă pentru latura NIS 2 diferă de la o țară la alta.
Serviciile de încredere necalificate sunt în afara NIS 2.
Greșit. TSP-urile necalificate sunt în continuare în Anexa I sectorul 8. Nu beneficiază de scutirea indiferent de mărime din articolul 2(2)(b), deci testul standard din articolul 2(1) decide. Un furnizor necalificat de mărci temporale cu 60 de angajați este integral în NIS 2 ca entitate importantă. Doar statutul de calificare schimbă dacă se aplică testul de mărime, nu dacă se aplică sectorul.
eIDAS acoperă deja securitatea cibernetică, deci NIS 2 nu adaugă nimic.
Articolul 19 eIDAS stabilește pragul de securitate pentru serviciul de încredere. Articolele 20, 21 și 23 din NIS 2 adaugă obligații transorganizaționale: formarea organismului de conducere, întregul catalog de gestionare a riscurilor de la criptografie la lanțul de aprovizionare și raportarea incidentelor semnificative conform §32 BSIG cu o avertizare timpurie în 24 de ore. Lex specialis din articolul 4 NIS 2 nu dezactivează NIS 2 pentru serviciile de încredere. Două regimuri paralele, niciunul nu îl înlocuiește pe celălalt.
Suntem prea mici pentru NIS 2.
Dacă sunteți un TSP calificat, mărimea este întrebarea greșită. Articolul 2(2)(b) vă include indiferent de numărul de angajați, cifra de afaceri sau bilanț. O autoritate de certificare calificată de două persoane se află în același nivel NIS 2 ca o autoritate de certificare multinațională. Motivul este în aval: fiecare semnătură emisă sub un certificat calificat compromis își pierde efectul juridic, indiferent de cine a emis-o.
Caz tipic: un TSP calificat de 12 persoane care emite certificate calificate pentru semnături electronice, cu un ciclu de evaluare a conformității eIDAS de 24 de luni și o intrare în lista națională de încredere prin Bundesnetzagentur. Domeniul de aplicare al NIS 2 este automat prin articolul 2(2)(b). §28 BSIG plasează compania în nivelul „besonders wichtige Einrichtung”. Doi autorități de reglementare, două canale de raportare, o singură companie.
Ce fac practicienii în realitate: iau dovezile de audit conform articolului 24 eIDAS și le reutilizează pentru controalele relevante din articolul 21 NIS 2 (criptografie, control al accesului, tratarea incidentelor, continuitatea activității). Rulează înregistrarea conform §33 BSIG la BSI. Adaugă elementele pe care eIDAS nu le acoperă: formarea conducerii conform articolului 20, riscul furnizorilor conform articolului 21(2)(d), canalul de incidente semnificative conform §32 BSIG. Cele două regimuri se suprapun pe criptografie și răspunsul la incidente; tot restul este suplimentar.
Verificarea aplicabilității identifică TSP-urile calificate prin articolul 2(2)(b) și dezactivează automat testul de mărime. Rezultatul este o Anwendbarkeitsprüfung scrisă care citează Anexa I sectorul 8 și articolul 2(2)(b), semnată de organismul de conducere, fixată la versiunea textului directivei.
Catalogul de controale reflectă realitatea celor două regimuri. Controalele din articolul 19 eIDAS sunt etichetate astfel încât să puteți atașa o singură dată cel mai recent raport de evaluare a conformității și să îl aveți contabilizat față de măsurile relevante din articolul 21 NIS 2. Registrul furnizorilor semnalează orice subprocesatori care sunt ei înșiși TSP-uri, astfel încât obligațiile privind lanțul de aprovizionare din articolul 21(2)(d) să rămână trasabile.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 8 și articolul 2(2)(b). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul (UE) 910/2014 (eIDAS), articolul 3(16), articolul 3(17), articolul 19, articolul 24. eur-lex.europa.eu/eli/reg/2014/910/oj
- Legea BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) și §33 (Registrierung) astfel cum au fost modificate prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- Vertrauensdienstegesetz (VDG). gesetze-im-internet.de/vdg
- Lista germană de încredere a Bundesnetzagentur conform articolului 22 eIDAS
- Orientarea tehnică de punere în aplicare a ENISA pentru serviciile de încredere conform articolului 19 eIDAS. enisa.europa.eu