Furnizorii entităților NIS 2 nu sunt automat entități NIS 2
Articolul 2 NIS 2 stabilește domeniul de aplicare pe baza a ceea ce sunteți, nu a celor către care vindeți. Relațiile cu clienții nu vă atrag în domeniul de aplicare. Obligațiile clientului dumneavoastră ajung în căsuța dumneavoastră prin contractul lor de achiziție în temeiul articolului 21(2)(d).
Pe scurt
Dacă NIS 2 se aplică firmei dumneavoastră este stabilit doar de articolul 2 din Directivă. Două teste. Sectorul dumneavoastră trebuie să fie listat în Anexa I sau II. Și trebuie să atingeți pragul de mărime (întreprindere mijlocie conform Recomandării 2003/361/CE a Comisiei, cu câteva excepții independente de mărime în articolul 2(2) până la (4)). Cine sunt clienții dumneavoastră nu face parte din test.
Așadar, vânzarea către un client NIS 2 nu vă aduce în domeniul de aplicare. Deveniți entitate NIS 2 doar dacă sectorul dumneavoastră plus mărimea dumneavoastră trec singure de articolul 2. Dacă nu trec, sunteți în afara domeniului de aplicare, chiar dacă fiecare client de pe lista dumneavoastră este în domeniul de aplicare.
Ceea ce coboară pe lanțul de aprovizionare este contractual, nu legal. Articolul 21(2)(d) le cere entităților NIS 2 să gestioneze securitatea furnizorilor lor direcți. Instrumentul folosit este contractul de achiziție: clauze, chestionare, cereri de dovezi. Simțiți presiunea pentru că clientul dumneavoastră vrea răspunsul, nu pentru că un autoritate de reglementare vă vorbește.
Directiva NIS 2 (UE) 2022/2555, articolul 2(1)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Domeniul de aplicare este legat de două fapte despre entitatea însăși: sectorul din Anexa I sau II și pragul de mărime. Relațiile cu clienții, contractele și legăturile din lanțul de aprovizionare nu sunt în text și nu extind domeniul de aplicare. Articolul 2(2) până la (4) adaugă câteva excepții independente de mărime pentru tipuri specifice de entități, dar niciuna nu este declanșată de faptul că sunteți furnizorul cuiva.
NIS 2 articolul 21(2)(d) plus Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
Articolul 21(2)(d) pune obligația pe entitatea NIS 2 (cumpărătorul), nu pe furnizor. CIR 2024/2690 §5 transformă acest lucru într-o politică de securitate a furnizorilor cu criterii scrise de selecție și un registru al riscurilor furnizorilor. Furnizorul face ce spune contractul. Autoritatea de reglementare vorbește doar cu cumpărătorul.
BSIG §30 (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
Germania copiază articolul 21(2)(d) aproape cuvânt cu cuvânt în §30 BSIG. Obligația cade asupra entității din domeniul de aplicare. Ea nu declară furnizorii săi ca fiind în domeniul de aplicare. Alte state membre transpun același articol 21 cu același mecanism aplicat cumpărătorului (NL Cyberbeveiligingswet, AT NISG, succesorul francez al LPM).
Sectorul dumneavoastră este în Anexa I sau II?
Anexa I (critic ridicat): energie, transport, sectorul bancar, infrastructura pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, gestionarea serviciilor TIC, administrație publică, spațiu. Anexa II (critic): poștă, deșeuri, produse chimice, alimente, fabricarea de dispozitive medicale și utilaje, furnizori digitali, cercetare. Dacă activitatea dumneavoastră nu se încadrează în una dintre acestea, sunteți în afară, indiferent cui vindeți. O mică tipografie care aprovizionează un spital rămâne tot o tipografie.
Sunteți o întreprindere mijlocie sau mai mare?
Pragul este definiția IMM-ului din Recomandarea 2003/361/CE a Comisiei: cel puțin 50 de angajați și cel puțin 10 milioane EUR cifră de afaceri sau bilanț, sau mai mare. Dacă sunteți sub acest prag, sunteți în afară, cu excepția cazului în care una dintre excepțiile independente de mărime din articolul 2(2) până la (4) vă prinde oricum (de exemplu, sunteți singurul furnizor al unui serviciu esențial, un furnizor calificat de servicii de încredere sau un furnizor de servicii DNS).
Vă exclude o derogare?
Chiar dacă Testele 1 și 2 sunt da, articolul 2(7) până la (11) vă poate scoate (securitate națională, securitate publică, apărare, aplicarea legii) sau o lege UE mai specifică poate prevala (entitățile financiare DORA sar peste articolul 21 și articolul 23, dar tot se înregistrează în temeiul articolului 27). Faptul că sunteți furnizor al unei entități NIS 2 nu este niciodată o derogare care vă atrage înăuntru. Și nu este niciodată un factor declanșator care vă atrage înăuntru.
Domeniu de aplicare per entitate
Articolul 2 atașează Directiva unei entități specifice pe baza propriilor atribute. Nu există domeniu de aplicare derivat. DORA funcționează la fel (entități financiare după tip și mărime). Directiva CER funcționează la fel (entități critice după sector). CRA funcționează la fel (producători de produse cu elemente digitale). Fiecare instrument stabilește domeniul de aplicare după ceea ce este partea reglementată, nu după cine îi vinde.
Contractele se propagă în cascadă, nu legea
Articolul 21(2)(d) îl face pe cumpărător responsabil de gestionarea riscului de securitate al furnizorilor săi. Instrumentul cumpărătorului este contractul. Așadar, furnizorii simt presiune comercială, nu presiune de reglementare. Clauza de proporționalitate din articolul 21(1) reglementează câte dovezi poate cere cumpărătorul: un furnizor de software cu risc ridicat primește un chestionar mai aprofundat, un SaaS de birou cu risc scăzut primește unul mai ușor. Sarcina dumneavoastră ca furnizor este să citiți aceste cereri ca termeni comerciali, nu ca ordine de la o autoritate de reglementare.
BSI / BMI: §28 și §30 BSIG separă cumpărătorul de furnizor
§28 BSIG listează tipurile de entități din domeniul de aplicare și rulează testul de mărime pe entitatea însăși. §30 BSIG (obligația privind lanțul de aprovizionare) face o anumită besonders wichtige sau wichtige Einrichtung responsabilă de relațiile cu furnizorii săi. Nicio secțiune nu atrage în domeniul de aplicare un furnizor care nu se califică. Verificarea aplicabilității a BSI (Betroffenheitsprüfer) testează sectorul plus mărimea pentru cel care rulează verificarea, nu pentru clienții săi.
ENISA: domeniul de aplicare conform articolului 2, riscul furnizorilor conform articolului 21
Ghidul de punere în aplicare al ENISA tratează domeniul de aplicare și măsurile privind lanțul de aprovizionare ca două chestiuni separate. Domeniul de aplicare este Anexa I sau II plus mărimea. Securitatea furnizorilor este unul dintre controalele pe care entitatea din domeniul de aplicare le rulează ca parte a propriei gestionări a riscurilor. Ea nu atrage furnizorii în NIS 2. Registrul ENISA conform articolului 27 listează doar entitățile care sunt ele însele în domeniul de aplicare.
Alte state membre aplică același test per entitate
Cyberbeveiligingswet din Țările de Jos, NISG din Austria și transpunerea franceză (care înlocuiește LPM pentru sectoarele civile) citesc toate articolul 2 la fel. O firmă olandeză de gestionare a deșeurilor care aprovizionează un operator energetic belgian este în domeniul de aplicare doar dacă gestionarea deșeurilor este una dintre propriile activități și atinge pragul de mărime în Țările de Jos. Autoritățile naționale nu pot extinde Directiva prin dreptul național pentru a acoperi firme care nu se califică pe cont propriu.
Clientul nostru este în domeniul de aplicare, deci suntem și noi.
Nu. Articolul 2(1) vă aplică Directiva pe baza sectorului și mărimii dumneavoastră. Statutul clientului dumneavoastră nu este în test. Este posibil să trebuiască totuși să respectați clauzele de securitate contractuale pe care clientul vi le pune în față. Asta nu vă face entitate NIS 2. Vă face parte contractantă.
NIS 2 se propagă în cascadă pe lanțul de aprovizionare.
Nu. Contractele se propagă în cascadă. Directiva nu. Articolul 21(2)(d) îl face pe cumpărător responsabil de gestionarea securității furnizorilor săi direcți. Cumpărătorul împinge asta în contractele de achiziție. Datorați cumpărătorului (prin contract), nu autorității de reglementare (prin NIS 2). Aceeași logică pentru subfurnizori: doar relația directă este în domeniul de aplicare al articolului 21(2)(d), nu furnizorul furnizorului.
Clientul nostru ne-a spus să ne înregistrăm la autoritatea națională, deci trebuie.
Nu. Înregistrarea conform articolului 27 este necesară doar pentru entitățile care sunt ele însele în domeniul de aplicare conform articolului 2 (cu reguli suplimentare pentru furnizorii DNS, furnizorii de cloud, MSP-uri și câteva altele). Un client nu vă poate inventa o obligație de înregistrare. Dacă un cumpărător insistă, întrebați-l sub care intrare din Anexă și sub care prag de mărime crede că vă încadrați. Dacă răspunsul nu este în articolul 2, obligația nu există.
Dacă sunteți cumpărătorul (o entitate NIS 2), sarcina dumneavoastră conform articolului 21(2)(d) și CIR §5 este să scrieți o politică de securitate a furnizorilor cu criterii de selecție, să rulați un registru al riscurilor furnizorilor și să puneți clauze de securitate proporționale în contractele furnizorilor dumneavoastră direcți. Evaluați și gestionați. Nu delegați asta autorității de reglementare. CIR §5 spune explicit că puteți alege dovezi adecvate riscului: certificare ISO 27001, rapoarte SOC 2, rezumate de teste de penetrare, atestări de dezvoltare securizată. Articolul 21(1) vă permite să scalați profunzimea dovezilor la riscul real al furnizorului. Un furnizor de software cu risc ridicat primește o cerere mai aprofundată decât firma care vă tipărește cărțile de vizită.
Dacă sunteți furnizorul și clientul dumneavoastră este în domeniul de aplicare, rulați mai întâi testul articolului 2 pe dumneavoastră înșivă. Dacă nu îl treceți, nu sunteți entitate NIS 2. Clientul dumneavoastră vă va trimite totuși obligații de securitate contractuale. Citiți-le ca termeni comerciali: negociați domeniul de aplicare, profunzimea dovezilor, drepturile de audit, termenele de notificare a încălcărilor. Dacă treceți de articolul 2 pe cont propriu, înregistrați-vă conform articolului 27 și respectați articolul 21 și articolul 23 în nume propriu, indiferent ce cere vreun client individual.
Pentru cumpărători, platforma transformă obligația articolului 21(2)(d) și CIR §5 într-un instrument funcțional: un registru al furnizorilor cu niveluri de risc, o bibliotecă de clauze, un flux de lucru pentru dovezi și un portal al furnizorilor unde furnizorii dumneavoastră răspund la chestionar. Dumneavoastră păstrați registrul. Furnizorul dumneavoastră vede doar întrebările care îi sunt adresate.
Pentru furnizori, portalul furnizorilor vă permite să răspundeți o singură dată la chestionarul de securitate și să refolosiți răspunsul la mai mulți clienți. Portalul face vizibilă natura comercială a cererii: răspundeți la politica de achiziții a clientului dumneavoastră, nu unei autorități de reglementare. Dacă se dovedește că sunteți în domeniul de aplicare pe cont propriu conform articolului 2, aceeași platformă gestionează propriul dumneavoastră registru de obligații NIS 2 din partea cumpărătorului.
- Directiva (UE) 2022/2555 (NIS 2), articolul 2 (domeniul de aplicare), Anexa I și Anexa II (sectoare), articolul 21(2)(d) (securitatea lanțului de aprovizionare) și articolul 21(3) (luarea în considerare a vulnerabilităților specifice furnizorilor).
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 din 17 octombrie 2024, §5 (securitatea lanțului de aprovizionare): politică de achiziții cu criterii de selecție, registru al riscurilor furnizorilor, obligații de securitate contractuale.
- Recomandarea 2003/361/CE a Comisiei, articolul 2 din Anexă (definiția întreprinderii mijlocii: cel puțin 50 de angajați și cel puțin 10 milioane EUR cifră de afaceri sau total bilanț).
- BSIG (Germania) §28 (Einrichtungsarten und Größenkriterien) și §30 (Risikomanagementmaßnahmen, inclusiv Lieferkettensicherheit), care pun în aplicare articolele 2 și 21 NIS 2.
- Ghidul de punere în aplicare NIS 2 al ENISA și specificația registrului entităților din articolul 27: domeniul de aplicare conform articolului 2 guvernează dacă o entitate este înregistrată; măsurile privind lanțul de aprovizionare conform articolului 21 guvernează ce face o entitate din domeniul de aplicare în privința furnizorilor săi.