NIS 2 când sediul dumneavoastră este în afara UE
NIS 2 urmează serviciul, nu antetul. Dacă vindeți în UE într-unul dintre sectoarele acoperite, articolul 26 din directivă decide care stat membru vă supraveghează și dacă aveți nevoie de un reprezentant desemnat în interiorul Uniunii.
Pe scurt
Mulți fondatori presupun că o societate-mamă din SUA, Regatul Unit sau Elveția îi pune în afara NIS 2. Nu așa funcționează directiva. Articolul 26 NIS 2 leagă jurisdicția de locul unde este oferit serviciul și unde sunt luate deciziile de securitate cibernetică, nu de locul unde este înregistrată firma.
Dacă sunteți o entitate de sector normal (energie, apă, transport, fabricație, alimente, sănătate, deșeuri, administrație publică și așa mai departe), supravegherea urmează sediile pe care le operați efectiv în Uniune. Dacă aveți o filială germană, BSI supraveghează acea filială. Dacă aveți birouri în trei state membre, fiecare este supravegheat local.
Dacă vă aflați într-unul dintre sectoarele digitale listate în articolul 26(3) (DNS, registre TLD, furnizori de cloud, furnizori de centre de date, rețele de livrare de conținut, furnizori de servicii gestionate, furnizori de servicii gestionate de securitate, piețe online, motoare de căutare online, servicii de rețele sociale), regulile sunt mai stricte. Un singur sediu principal vă supraveghează pentru întreaga Uniune, iar dacă sediul dumneavoastră este în afara UE, trebuie să desemnați un reprezentant în interiorul Uniunii conform articolului 26(4).
Articolul 26(2) Directiva NIS 2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
Aceasta este cascada care decide cine vă supraveghează atunci când mai mult de un stat membru ar putea revendica în mod plauzibil jurisdicția. Ea se aplică entităților din sectoarele digitale numite în articolul 26(3). Deciziile de securitate cibernetică vin pe primul loc, operațiunile de securitate cibernetică pe al doilea, numărul de angajați pe al treilea.
Articolul 26(4) Directiva NIS 2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Se citește ca o obligație pentru entitățile din afara UE din sectoarele digitale ale articolului 26(3). Reprezentantul devine punctul de contact și ancorează jurisdicția. Articolul 27 adaugă apoi obligația de înregistrare: reprezentantul depune entitatea în registrul operat de ENISA în numele entității.
§28 BSIG (Germania)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
BSIG oglindește directiva: BSI vă supraveghează în Germania dacă articolul 26 NIS 2 plasează jurisdicția acolo. Nu există un test național separat de jurisdicție. Cascada directivei este testul.
Regula generală: jurisdicția urmează sediul
În afara sectoarelor digitale, sunteți supravegheat în fiecare stat membru unde aveți un sediu legal. Un grup american cu un GmbH german și un GmbH austriac este supravegheat de BSI pentru entitatea germană și de autoritatea austriacă pentru entitatea austriacă. Articolul 26(2) rezolvă doar departajarea între statele membre pentru sectoarele digitale acoperite de articolul 26(3).
Regula specială pentru sectoarele digitale
Furnizorii de servicii DNS, registrele TLD, serviciile de cloud computing, serviciile de centre de date, rețelele de livrare de conținut, furnizorii de servicii gestionate, furnizorii de servicii gestionate de securitate, piețele online, motoarele de căutare online și platformele de rețele sociale au un singur sediu principal în Uniune. Acel stat membru unic vă supraveghează în întreaga UE. Cascada din articolul 26(2) decide care stat membru este.
Obligația de reprezentant pentru furnizorii din afara UE
Dacă vă aflați într-unul dintre sectoarele digitale ale articolului 26(3) și nu sunteți stabilit în Uniune, trebuie să desemnați un reprezentant în interiorul Uniunii. Reprezentantul trebuie să se afle într-un stat membru unde oferiți efectiv serviciul. Jurisdicția urmează apoi reprezentantul. Fără unul, orice stat membru unde deserviți clienți poate iniția acțiune în justiție conform directivei.
Un singur supraveghetor, nu cinci
Pentru sectoarele digitale din articolul 26(3), regula sediului principal înseamnă un singur supraveghetor pentru întreaga Uniune. Asta evită situația în care un furnizor de cloud cu clienți în fiecare stat membru este auditat de douăzeci și șapte de ori pentru aceleași controale. Cascada din articolul 26(2) alege supraveghetorul într-o ordine previzibilă: întâi deciziile de securitate cibernetică, apoi operațiunile de securitate cibernetică, apoi numărul de angajați din UE.
Nicio cale de scăpare printr-un sediu străin
Articolul 26(4) închide bucla. Un furnizor din afara UE din sectoarele digitale acoperite nu poate oferi servicii în Uniune fără un reprezentant desemnat în interiorul ei. Fără unul, orice stat membru unde este vândut serviciul poate iniția acțiune în justiție. Înregistrarea în SUA, Regatul Unit sau Elveția nu vă scoate din domeniul de aplicare dacă serviciul atinge Uniunea.
BSI / §28 și §33 BSIG
BSI este autoritatea de supraveghere pentru entitățile al căror sediu principal sau filială germană le plasează sub jurisdicția germană. Înregistrarea se face prin portalul național al BSI, care alimentează registrul ENISA conform articolului 27. Pentru entitățile din sectorul digital cu sediul principal în Germania, BSI este punctul unic de contact pentru întreaga Uniune.
Registrul ENISA conform articolului 27
ENISA operează registrul central pentru sectoarele digitale numite în articolul 27(2): furnizori DNS, registre TLD, cloud, centre de date, rețele de livrare de conținut, furnizori de servicii gestionate, furnizori de servicii gestionate de securitate, piețe online, motoare de căutare online, servicii de rețele sociale. Statele membre alimentează datele entităților în el. Registrul este ceea ce face practică supravegherea transfrontalieră.
Legi naționale de transpunere
Fiecare stat membru are o lege de transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet) și o autoritate națională competentă. Cascada articolului 26 este identică în întreaga Uniune pentru că se află în directivă. Ce diferă este portalul, limba și supraveghetorul local cu care vorbiți efectiv.
Suntem o firmă americană, deci NIS 2 nu ni se aplică.
NIS 2 urmează serviciul în Uniune, nu antetul. Dacă sunteți într-unul dintre sectoarele digitale numite în articolul 26(3) și oferiți serviciul clienților din UE, articolul 26(4) vă cere să desemnați un reprezentant în Uniune. Dacă operați printr-o filială din UE în orice alt sector acoperit, filiala însăși este în domeniul de aplicare. Înregistrarea societății-mamă nu este testul.
Avem birouri în șase state membre, deci ne înregistrăm de șase ori.
Pentru sectoarele digitale din articolul 26(3), aveți un singur sediu principal și un singur supraveghetor în întreaga Uniune. Cascada din articolul 26(2) îl alege: întâi unde sunt luate deciziile de securitate cibernetică, al doilea unde se află operațiunile de securitate cibernetică, al treilea sediul din UE cu cei mai mulți angajați. În afara acelor sectoare digitale, vă înregistrați per stat membru unde sunteți stabilit, dar în interiorul lor nu o faceți.
Avem sediul în Elveția, deci suntem în afara NIS 2 pentru că Elveția nu este în UE.
Elveția nu este stat membru al UE, dar directiva ajunge totuși la firmele elvețiene care vând în Uniune într-un sector acoperit. Un MSP elvețian care deservește clienți germani fie operează printr-o filială din UE care devine entitatea reglementată, fie, pentru sectoarele digitale din articolul 26(3), trebuie să desemneze un reprezentant în UE conform articolului 26(4). Aceeași logică se aplică furnizorilor din Regatul Unit, SUA și alte țări terțe.
Modelul curat: stabiliți dacă sectorul dumneavoastră este pe lista articolului 26(3) înainte de a face orice altceva. Dacă este, sarcina dumneavoastră este să alegeți un singur sediu principal, să documentați în scris cascada articolului 26(2) (decizii, operațiuni, număr de angajați) și fie să vă înregistrați prin portalul acelui stat membru, fie să desemnați un reprezentant dacă sunteți din afara UE. Dacă nu este, vă cartografiați sediile din UE și înregistrați fiecare la autoritatea sa națională.
Modelul dezordonat pe care îl vedem cel mai des sunt societățile-mamă care încearcă să păstreze toată luarea deciziilor de securitate cibernetică la sediul din afara Uniunii, susținând în același timp că filiala din UE este autonomă. Cascada articolului 26(2) nu se interesează de organigrame. Ea se uită la unde sunt luate efectiv deciziile. Dacă răspunsul este 'la sediul din Boston', filiala din UE este în continuare în domeniul de aplicare prin propriul sediu, iar entitățile din sectorul digital au nevoie în continuare de reprezentantul conform articolului 26(4). Calea cea mai curată este să decideți unde în Uniune se află deciziile, să documentați asta și să încetați să rulați structuri de control paralele.
Capturăm cascada articolului 26 ca parte a fluxului de lucru pentru aplicabilitate și înregistrare. Platforma pune întrebările în ordinea proprie a directivei: care sector, care state membre cu sedii, unde sunt luate deciziile de securitate cibernetică, unde se află operațiunile de securitate cibernetică, numărul de angajați din UE. Rezultatul este un sediu principal documentat, cu raționamentul scris o singură dată, nu re-dedus la fiecare audit.
Pentru grupurile din afara UE din sectoarele articolului 26(3), platforma urmărește reprezentantul desemnat ca o entitate separată, cu propriile date de contact și țara de stabilire. Datele de înregistrare conform articolului 27 curg din aceeași înregistrare, astfel încât depunerea în portalul național și alimentarea registrului ENISA provin din aceeași sursă, nu dintr-un tabel paralel.
- Directiva (UE) 2022/2555 (NIS 2), articolele 26 și 27. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legea BSI (BSIG), §28 și §33 astfel cum au fost modificate prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR) privind cerințele tehnice și metodologice specifice sectorului. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Registrul ENISA conform articolului 27(2) NIS 2. enisa.europa.eu
- Pachetele de informații BSI privind domeniul de aplicare și înregistrarea NIS 2. bsi.bund.de/dok/nis-2-infopakete