NIS 2 Annex I sector 9

Companiile de IT ale grupului ca furnizori de servicii gestionate în temeiul NIS 2

Atunci când IT-ul central al grupului dvs. deservește filialele, acea companie de IT poate intra în domeniul de aplicare al NIS 2 pe cont propriu. Anexa I sectorul 9 (gestionarea serviciilor TIC, business-to-business) numește MSP și MSSP. Articolul 6(40) și (41) le definesc. Practicienii germani au început să aplice acest lucru structurilor de grup.

Simon OrzelSimon Orzel·

Pe scurt

Multe grupuri germane și europene își grupează IT-ul într-un departament central sau într-o companie de servicii care administrează infrastructura, aplicațiile și securitatea pentru restul grupului. Întrebarea NIS 2 este dacă acea companie de IT contează ea însăși ca furnizor de servicii gestionate (MSP), separat de ceea ce fac societatea-mamă sau filialele.

Acest lucru contează deoarece MSP și MSSP se află în anexa I sectorul 9 din directivă (gestionarea serviciilor TIC, business-to-business). Dacă vă aflați acolo ca MSP sau MSSP și atingeți pragul de dimensiune al întreprinderii mijlocii, sunteți o entitate importantă. Pe cont propriu. Cu propria înregistrare, propria gestionare a riscurilor și propria obligație de raportare a incidentelor. Faptul de a face parte dintr-un grup nu absoarbe nimic din toate acestea.

Pagina parcurge trei straturi. În primul rând, ce spune efectiv directiva în anexa I sectorul 9 și la articolul 6(40) și (41). În al doilea rând, un test în trei părți care vă spune dacă o companie de IT a grupului intră în domeniul de aplicare. În al treilea rând, interpretarea practicienilor germani și interpretările greșite pe care le auzim cel mai des.

Sursa juridică
Trei straturi. Anexa directivei enumeră serviciile gestionate ca sector. Articolul 6 spune ce este un furnizor de servicii gestionate. Practicienii germani au publicat o interpretare a modului în care acest lucru se aplică structurilor de grup.

Anexa I sectorul 9 din Directiva NIS 2 (2022/2555)

Gestionarea serviciilor TIC (business-to-business): furnizori de servicii gestionate; furnizori de servicii de securitate gestionate.

Anexa I sectorul 9 ('Verwaltung von IKT-Diensten, Business-to-Business' în textul german) numește MSP și MSSP ca tipuri de entități incluse în domeniul de aplicare. Acestea se află în propriul sector, separat de anexa I sectorul 8 (infrastructură digitală: cloud, centre de date, DNS, CDN, servicii de încredere).

Articolul 6(40) și 6(41) din Directiva NIS 2

Furnizor de servicii gestionate înseamnă o entitate care furnizează servicii legate de instalarea, gestionarea, operarea sau întreținerea produselor TIC, a rețelelor, a infrastructurii, a aplicațiilor sau a oricăror alte rețele și sisteme informatice, prin asistență sau administrare activă efectuată fie la sediul clienților, fie de la distanță. Furnizor de servicii de securitate gestionate înseamnă un furnizor de servicii gestionate care desfășoară sau oferă asistență pentru activități legate de gestionarea riscurilor de securitate cibernetică.

Articolul 6(40) definește MSP. Articolul 6(41) definește MSSP. Testul este ce face entitatea (instalare, gestionare, operare, întreținere, administrare activă), nu dacă facturează clienți externi.

Interpretarea practicienilor germani (Piltz Legal)

Companiile care operează exclusiv operațiunile IT centrale ale unui grup de societăți intră de regulă sub incidența definiției MSP.

Piltz Legal a citit transpunerea germană și a ajuns la această concluzie: companiile de servicii IT centrale care deservesc filialele grupului intră sub incidența definiției MSP. Materialele legislative germane pe care le citează indică în aceeași direcție: serviciile către entități de grup distincte din punct de vedere juridic sunt servicii gestionate.

Testul în trei părți
Dacă o companie de IT a grupului intră sub incidența NIS 2 ca MSP depinde de trei întrebări. Toate trei trebuie să fie da pentru ca entitatea să intre în domeniul de aplicare pe cont propriu.
Pasul 1

Entitate juridică proprie

Este IT-ul central constituit ca entitate juridică proprie (o GmbH, o AG sau echivalentul în alte state membre)? Dacă da, NIS 2 o evaluează pe cont propriu. Dacă IT-ul este doar un centru de cost intern, fără personalitate juridică, domeniul de aplicare trece prin societatea-mamă care îl operează.

Pasul 2

Servicii gestionate către alte părți

Entitatea instalează, gestionează, operează, întreține sau administrează activ produse TIC, rețele, infrastructură, aplicații sau sisteme pentru alte părți? Filialele sunt distincte din punct de vedere juridic de compania de servicii IT, chiar și în interiorul aceluiași grup. Serviciile către acestea contează ca servicii către alte părți în temeiul articolului 6(40).

Pasul 3

Pragul de dimensiune este atins

Atinge entitatea de IT pragul întreprinderii mijlocii (50 sau mai mulți angajați sau cifră de afaceri peste 10 milioane EUR cu un bilanț peste 10 milioane EUR)? Atenție la regula întreprinderilor legate din Recomandarea 2003/361/CE a Comisiei: aceasta numără personalul și datele financiare la nivelul întregului grup. O companie de IT cu 30 de persoane în interiorul unui grup de 400 de persoane se numără la nivelul grupului.

Două reguli care decid fiecare caz limită
Anexa I sectorul 9 și articolul 6 se bazează pe două reguli. Dacă le interpretați greșit, cazurile limită vor ieși greșit.

Fiecare entitate juridică este evaluată pe cont propriu

Domeniul de aplicare al NIS 2 se decide per entitate juridică. Faptul că societatea-mamă intră în domeniul de aplicare (de exemplu, ca producător) nu atrage automat și filiala de IT. Faptul că filiala de IT intră în domeniul de aplicare nu atrage și societatea-mamă. Fiecare entitate se înregistrează, își gestionează riscurile și raportează incidentele pe baza propriei obligații.

Funcția decide domeniul de aplicare, nu scopul

Articolul 6(40) descrie ce face entitatea, nu de ce. Serviciile nu trebuie să fie comerciale, evaluate în condiții de concurență deplină sau vândute unor clienți externi. O companie de IT care există doar pentru a-și deservi propriul grup furnizează totuși servicii gestionate conform definiției. Ceea ce faceți decide domeniul de aplicare. De ce faceți acest lucru nu contează.

Cum este interpretat acest lucru în Europa
Directiva stabilește o singură definiție la articolul 6 pentru toți. Practicienii din diferite țări au început să o aplice.
Germania

Analiza practicienilor Piltz Legal

Interpretarea publicată de Piltz Legal: companiile germane de IT ale grupurilor intră de regulă sub incidența definiției MSP atunci când administrează IT-ul central pentru restul grupului. Materialele legislative germane referitoare la legea de implementare NIS2 indică în aceeași direcție: serviciile către filiale ale grupului distincte din punct de vedere juridic sunt servicii gestionate în sensul articolului 6(40).

La nivelul UE

Articolul 6 este același în întreaga UE

Articolul 6 din directivă este un singur set de definiții care obligă fiecare stat membru. Legile naționale copiază formularea aproape cuvânt cu cuvânt. Transpunerile germană, neerlandeză, austriacă și belgiană reflectă toate articolul 6(40) și (41), așa că testul în trei părți vă oferă același răspuns peste tot.

Alte state membre

Transpuneri-oglindă

Țările de Jos (Cyberbeveiligingswet), Austria (NISG) și Belgia (NIS2-Wet) introduc definițiile MSP și MSSP în legislația națională. O companie de IT a grupului care operează la nivel transfrontalier poate intra în domeniul de aplicare în mai multe state membre simultan, cu o înregistrare separată la fiecare autoritate națională competentă.

Trei capcane pe care le vedem tot timpul
Trei ipoteze despre IT-ul de grup și categoria MSP care apar în aproape fiecare discuție de stabilire a domeniului de aplicare. Niciuna nu rezistă în fața textului de mai sus.

  • IT-ul intern nu contează ca MSP.

    Depinde de modul în care este configurat. Dacă IT-ul central este propria entitate juridică și deservește alte companii ale grupului, distincte din punct de vedere juridic, acestea sunt servicii gestionate către alte părți în temeiul articolului 6(40). Un centru de cost pur intern, fără personalitate juridică, nu intră în domeniul de aplicare pe cont propriu. O GmbH de servicii din interiorul grupului intră de regulă.

  • Doar MSP-urile comerciale cu clienți externi contează.

    Articolul 6(40) descrie o funcție (instalarea, gestionarea, operarea, întreținerea, administrarea activă a produselor TIC, a rețelelor, a infrastructurii, a aplicațiilor sau a sistemelor), nu un scop comercial. Companiile de IT captive care își deservesc doar propriile filiale îndeplinesc totuși definiția dacă îndeplinesc acea funcție. Interpretarea Piltz Legal și materialele legislative germane spun același lucru.

  • Domeniul de aplicare al societății-mamă acoperă automat filiala de IT.

    NIS 2 analizează fiecare entitate juridică pe cont propriu. Societatea-mamă poate intra în domeniul de aplicare ca producător în temeiul anexei II, în timp ce filiala de IT intră în domeniul de aplicare în temeiul anexei I sectorul 9 ca MSP. Înregistrarea, gestionarea riscurilor și raportarea incidentelor se atașează fiecărei entități separat. Singurul loc în care grupul este tratat ca un întreg este testul de dimensiune.

Practică: scurtătura Konzern-IT și modul în care NIS 2 o inversează

Timp de două decenii, grupurile germane și-au fuzionat IT-ul într-o singură companie de servicii. Operațiuni mai curate, tratament mai bun al TVA, mai puține duplicări. NIS 2 inversează parțial acest stimulent. O GmbH de IT a grupului consolidată, care zbura sub radarul de reglementare, poate fi acum o entitate importantă NIS 2 pe cont propriu, cu propria înregistrare, propriul cadru de gestionare a riscurilor și propria linie de incidente către BSI.

Ce înseamnă acest lucru în practică: deciziile structurale pe care le-ați luat din motive fiscale sau operaționale necesită o a doua privire, cu NIS 2 în față. Dacă entitatea de IT intră în domeniul de aplicare ca MSP, preia și obligațiile privind lanțul de aprovizionare în temeiul articolului 21(2)(d) față de clienții săi din grup. Acei clienți pot intra ei înșiși în domeniul de aplicare în temeiul anexei I sau II. Același contract intern se află atunci sub incidența NIS 2 de la ambele capete.

Cum gestionăm acest lucru pe platformă

Verificarea aplicabilității parcurge cu voce tare testul în trei părți: entitate juridică da sau nu, servicii către alte entități juridice (în interiorul sau în afara grupului), dimensiune inclusiv regula întreprinderilor legate. Răspunsul se transmite în modulul de înregistrare, astfel încât entitatea de IT se înregistrează separat acolo unde trebuie.

Portalul furnizorilor acoperă cealaltă parte a contractului. Filialele care cumpără servicii gestionate de la o companie de IT soră pot rula chestionarul furnizorilor împotriva acestora ca împotriva oricărui alt furnizor. Ambele capete ale tranzacției ajung să fie documentate cu aceleași dovezi conform articolului 21(2)(d).

Surse
  • Directiva (UE) 2022/2555 (NIS 2), articolul 6(40), 6(41) și anexa I sectorul 9 (gestionarea serviciilor TIC B2B). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie'. piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
  • BSIG (transpunerea germană NIS2), §2 nr. 26 (definiția MSP) și §28 (domeniul de aplicare). gesetze-im-internet.de
  • Recomandarea 2003/361/CE a Comisiei privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (regula întreprinderilor legate). eur-lex.europa.eu/eli/reco/2003/361/oj
  • Întrebări frecvente specifice sectorului ale BSI privind tipurile de entități NIS 2. bsi.bund.de
Rulați testul în trei părți pentru IT-ul grupului dvs.
Verificarea aplicabilității, înregistrarea, gestionarea riscurilor și dovezile portalului furnizorilor pe o singură platformă. Gratuit, open source, fără lock-in.
Deschideți platforma gratuită