Art. 23 NIS 2

Întreruperea furnizorului de cloud conform NIS 2

Faptul că furnizorul dvs. este oprit este testul planului dvs. de continuitate, nu o scutire de la el.

Simon OrzelSimon Orzel·

Ce este această pagină

Un furnizor major de cloud cade. Producția se oprește. Întrebarea din încăpere este dacă obligațiile NIS 2 revin furnizorului sau entității dvs. Răspunsul directivei este că ambele straturi poartă propriile obligații și unul nu îl eliberează pe celălalt. Obligațiile dvs. conform articolului 21(2)(c) NIS 2 de a menține continuitatea activității, copiile de rezervă și recuperarea, și conform articolului 23 de a raporta incidentele semnificative, se aplică entității dvs. indiferent de ce face furnizorul pe propriul său ceas.

Această pagină este scrisă pentru un responsabil IT sau un director general dintr-o companie cu 50 până la 250 de persoane care rulează cea mai mare parte a producției pe un hyperscaler sau un cloud regional. Nu este consultanță juridică. Este mecanica privind care clauză se aplică cui când pagina de stare a furnizorului devine roșie.

Cea mai utilă propoziție: o întrerupere de cloud este testul live al planului dvs. de recuperare conform articolului 21(2)(c). Dacă planul funcționează, nu a avut loc niciun incident semnificativ la entitatea dvs. Dacă planul nu funcționează, articolul 23 începe să curgă pe ceasul dvs., nu pe cel al furnizorului.

Ancorare juridică
Trei straturi suprapuse: directiva, regulamentul de punere în aplicare pentru furnizorii de infrastructură digitală și exemplul de transpunere germană.

Directiva (UE) 2022/2555 (NIS 2)

Articolul 21(2)(c): politici și proceduri privind continuitatea activității, cum ar fi gestionarea copiilor de rezervă și recuperarea în caz de dezastru, și gestionarea crizelor. Articolul 21(2)(d): securitatea lanțului de aprovizionare, inclusiv aspecte legate de securitate privind relațiile dintre fiecare entitate și furnizorii sau prestatorii săi direcți de servicii.

Articolul 21(2)(c) plasează obligația de continuitate, copii de rezervă și recuperare pe entitate. Directiva nu permite ca acea obligație să fie delegată unui furnizor de cloud printr-un contract. Articolul 21(2)(d) este componenta de risc al furnizorilor: vi se cere să evaluați și să gestionați securitatea furnizorilor dvs. direcți, ceea ce include clauze contractuale de notificare pentru întreruperi și incidente la furnizor. Articolul 23 stabilește apoi cascada de raportare cu avertizarea timpurie la 24 de ore, notificarea incidentului la 72 de ore, o actualizare intermediară la cerere și un raport final în termen de o lună.

Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690

Articolul 23(3) NIS 2: Un incident este considerat semnificativ dacă a cauzat sau poate cauza perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză, sau dacă a afectat sau poate afecta alte persoane fizice sau juridice prin cauzarea unor daune materiale sau morale considerabile.

CIR cuantifică ce contează ca semnificativ pentru cele 11 categorii de infrastructură digitală și de servicii digitale pe care le acoperă, ceea ce include furnizorii de servicii de cloud computing conform Anexei I sectorul 8 din NIS 2. Secțiunea 11 din anexa CIR listează scenariile care constituie un incident semnificativ la acel strat de furnizor. Pentru entitățile din afara domeniului de aplicare al CIR, testul de semnificație din articolul 23(3) este cel care se aplică, iar o întrerupere în cascadă care oprește producția îl îndeplinește aproape întotdeauna.

BSIG (Germania)

§30 BSIG: măsuri tehnice și organizatorice adecvate riscului. §32 BSIG: notificarea incidentelor semnificative către BSI prin Meldeportal la bsi.bund.de. §31 BSIG: obligații de securitate a lanțului de aprovizionare pentru entitate.

BSIG este exemplul de transpunere germană. Țările de Jos (Cyberbeveiligingswet) și Austria (NISG 2024) au propriile lor. Cascada de 24 / 72 de ore / intermediar / o lună este la nivelul directivei și identică în toate statele membre. Un furnizor de cloud care este el însuși o entitate NIS 2 în UE are propria obligație de raportare conform §32 BSIG sau echivalentului național. Acea obligație nu o stinge pe a dvs.

Trei lucruri pe care directiva le așteaptă de la dvs. în timpul întreruperii
Evaluați în raport cu propriul plan de continuitate, gestionați dependența conform clauzelor dvs. de furnizor, raportați dacă întreruperea se transformă în cascadă într-un incident semnificativ la entitatea dvs.
Pasul 1

Evaluați în raport cu planul dvs. conform articolului 21(2)(c)

Deschideți planul de continuitate a activității și de recuperare în caz de dezastru și rulați-l. Întrebarea nu este dacă furnizorul este oprit. Întrebarea este dacă serviciile dvs. pot continua să funcționeze conform planului pe care l-ați scris. Comutați la o regiune secundară, treceți la un flux de lucru offline documentat sau restaurați dintr-o copie de rezervă păstrată în afara furnizorului afectat. Articolul 21(2)(c) NIS 2 plasează obligația de continuitate pe entitatea dvs. Dacă întreruperea expune faptul că nu exista niciun plan, aceea este prima constatare, nu întreruperea.

Pasul 2

Declanșați procesul dvs. de furnizor conform articolului 21(2)(d)

Articolul 21(2)(d) NIS 2 vă cere să gestionați securitatea furnizorilor dvs. direcți. În practică, aceasta înseamnă trei lucruri într-o întrerupere: deschideți contractul și citiți clauzele de notificare și SLA, înregistrați referința de incident a furnizorului și orice cronologie pe care o publică, și captați dovezile în pista dvs. de audit. Dacă contractul nu impune notificarea de către furnizor a incidentelor care vă afectează, aceea este a doua constatare, separată de întrerupere în sine.

Pasul 3

Raportați dacă entitatea dvs. are un incident semnificativ

Testul din articolul 23(3) este aplicat entității dvs., nu furnizorului. Dacă întreruperea cauzează perturbări operaționale grave ale serviciilor dvs., pierderi financiare pentru dvs. sau daune considerabile altora care depind de dvs., atunci articolul 23 NIS 2 începe să curgă pe ceasul dvs. Avertizare timpurie către CSIRT-ul național sau autoritatea competentă în termen de 24 de ore de la luarea la cunoștință, notificarea incidentului în termen de 72 de ore, raport intermediar la cerere, raport final în termen de o lună. În Germania, aceasta trece prin BSI Meldeportal conform §32 BSIG. Raportul propriu al furnizorului conform propriei sale stări NIS 2 este separat și nu se depune pentru dvs.

Două principii care decid dacă întreruperea este o constatare sau doar o zi de marți
Ambele se află în textul directivei și în poziția BSI privind continuitatea.

Continuitatea este obligația entității, nu a furnizorului

Articolul 21(2)(c) NIS 2 plasează obligația de continuitate, copii de rezervă și recuperare pe entitate. Un contract cu un hyperscaler care promite o țintă de disponibilitate de 99,99 la sută nu este un plan de continuitate în sensul directivei. Planul trebuie să descrie ce face entitatea dvs. când furnizorul este indisponibil. Auditorul de anul viitor testează dacă există un astfel de plan și dacă a fost exersat, nu dacă SLA-ul a fost respectat.

Copiile de rezervă trebuie să fie recuperabile, nu doar prezente

Poziția BSI este că existența unei copii de rezervă nu este testul. Capacitatea de restaurare în condițiile unui incident real este. O copie de rezervă păstrată în aceeași regiune cloud ca sistemul de producție, în raport cu același furnizor de identitate, nu este o copie de rezervă în sensul articolului 21(2)(c) când regiunea sau stratul de identitate este ceea ce se defectează. Obligația de copie de rezervă recuperabilă impune separarea în raport cu domeniul de defectare pe care încercați să îl supraviețuiți.

Două straturi de reglementare, nu unul
Furnizorul dvs. de cloud poate fi el însuși o entitate NIS 2. Obligațiile sale și ale dvs. rulează în paralel.
Stratul dvs.

BSI Meldeportal (Germania), CSIRT național (alte state membre)

Dacă întreruperea cauzează un incident semnificativ la entitatea dvs. conform articolului 23(3), raportul trece prin canalul dvs. național. În Germania, acesta este BSI Meldeportal conform §32 BSIG. În Țările de Jos, National Cyber Security Centre, în Austria GovCERT. Raportul este al dvs. de depus, chiar dacă cauza principală se află la furnizor. Pagina de stare a unui furnizor nu este o depunere.

Stratul furnizorului

Furnizorul de cloud ca entitate NIS 2, Anexa I sectorul 8

Un furnizor de servicii de cloud computing stabilit în UE este o entitate esențială sau importantă conform Anexei I sectorul 8 din NIS 2 (infrastructură digitală). Datorează propria raportare conform articolului 23 pe propriul ceas, către propria autoritate competentă sau CSIRT. CIR 2024/2690 specifică pragurile de semnificație pentru furnizorii de infrastructură digitală. Raportul furnizorului nu este raportul dvs. Un furnizor din afara UE este în afara domeniului de aplicare al directivei, caz în care gestionarea riscului furnizorilor conform articolului 21(2)(d) este singurul dvs. mijloc de control asupra lui.

Stratul UE

ENISA și rețeaua CSIRT

Întreruperile transfrontaliere ale furnizorilor majori de cloud sunt coordonate prin rețeaua CSIRT coordonată de ENISA conform articolului 15 NIS 2. ENISA publică informări situaționale între statele membre. Pentru o entitate individuală, acesta este material de referință, nu un canal de raportare. Canalul de raportare este național. ENISA este locul unde citiți ce se întâmplă la nivelul UE când furnizorul este oprit în mai multe țări.

Capcane frecvente
Trei moduri de eșec observate în analizele publicate ale incidentelor de întrerupere a furnizorilor de cloud.
  • Cloudul este problema furnizorului. NIS 2 le revine lor.

    Articolul 21(2)(c) NIS 2 plasează obligația de continuitate, copii de rezervă și recuperare pe entitatea dvs. Articolul 21(2)(d) plasează obligația de risc al furnizorilor pe entitatea dvs. Furnizorul are propriile obligații conform directivei dacă este un furnizor de cloud stabilit în UE conform Anexei I sectorul 8, dar acele obligații rulează în paralel cu ale dvs. și nu le eliberează. Auditul de anul viitor vă testează planul, nu SLA-ul furnizorului.

  • Așteptați raportul SLA post-incident al furnizorului înainte de a depune sau a revizui.

    Articolul 23(4) NIS 2 impune avertizarea timpurie în termen de 24 de ore de la luarea la cunoștință a unui incident semnificativ la entitatea dvs. Raportul furnizorului poate dura săptămâni. Dacă întreruperea a cauzat perturbări operaționale grave la entitatea dvs., ceasul de 24 de ore curge împotriva dvs. indiferent dacă furnizorul a emis ceva sau nu. Așteptarea raportului SLA este cel mai frecvent motiv pentru care entitățile ratează termenul în cazurile de întrerupere a cloudului.

  • Furnizorul a revenit, totul funcționează din nou, incidentul este închis.

    Articolul 21(2)(c) NIS 2 așteaptă ca planul de continuitate și recuperare să fie exersat și îmbunătățit. O întrerupere de cloud este un exercițiu live al acelui plan, iar analiza post-incident este ceea ce alimentează următoarea iterație. Auditorul va întreba ce s-a schimbat în planul de recuperare după ultima întrerupere. Dacă nimic nu s-a schimbat și aceeași lacună este încă acolo, aceea este o constatare. Revenirea la operațiunile normale nu este un incident închis în sensul directivei.

Perspectiva practicianului: companie de logistică cu 110 angajați, întrerupere regională

O companie de logistică cu 110 persoane din Renania de Nord-Westfalia, clasificată ca wichtige Einrichtung conform NIS 2 deoarece sectorul și numărul de angajați o pun în domeniul de aplicare. Marți, ora 09:14: regiunea centrală UE a hyperscalerului se degradează, iar sistemul de management al transportului, furnizorul de identitate și stocarea partajată de fișiere ale companiei devin toate inaccesibile. 09:20: responsabilul IT deschide planul de continuitate, comută dispecerizarea la fluxul de lucru offline documentat pe laptopuri locale și informează directorul general. 09:35: organul de conducere este informat, decizia este înregistrată în pista de audit de a trata aceasta ca un eveniment de continuitate conform articolului 21(2)(c) și de a monitoriza în raport cu testul de semnificație din articolul 23(3). Pagina de stare a furnizorului este capturată în imagine și atașată la fișa incidentului.

11:50: întreruperea a durat peste două ore și afectează acum angajamentele de livrare către clienți. Testul din articolul 23(3) este reevaluat: perturbarea operațională gravă a serviciilor este îndeplinită. Avertizarea timpurie de 24 de ore este depusă prin BSI Meldeportal conform §32 BSIG, citând referința de incident a furnizorului și propriul impact al companiei. 14:30: furnizorul recuperează regiunea. Compania rulează analiza post-incident în dimineața următoare. Constatare: furnizorul de identitate secundar era pe hârtie, dar nu fusese niciodată exersat, așa că comutarea a durat cu 40 de minute mai mult decât presupunea planul. Două modificări scrise intră în plan: exercițiu lunar al furnizorului de identitate secundar și un amendament contractual cu furnizorul de cloud pentru a impune notificarea incidentelor regionale în termen de 30 de minute. Raportul intermediar și raportul final la o lună conform articolului 23 sunt depuse din pista de audit, nu din memorie.

Cum ajută platforma

Platforma stochează cele patru lucruri scrise de care aveți nevoie înainte de următoarea întrerupere a furnizorului: planul de continuitate legat de articolul 21(2)(c), configurația copiei de rezervă recuperabile cu dovada separării sale de domeniul principal de defectare, registrul de furnizori cu clauze de notificare și SLA legate de articolul 21(2)(d), și șabloanele de raportare și lista de contacte pentru cascada din articolul 23. Fiecare modificare și fiecare exercițiu sunt captate în pista de audit cu marcaje temporale, astfel încât auditorul de anul viitor vede un plan care a fost rulat cu adevărat, nu un document care a fost scris cândva.

Platforma este gratuită și open source. Nu există un nivel cu plată și niciun lock-in. Scopul acestei pagini nu este să vândă nimic. Este să se asigure că atunci când pagina de stare a furnizorului devine roșie, organul dvs. de conducere știe dacă ceasul directivei ticăie pentru dvs. și care este următorul pas scris.

Surse
  • Directiva (UE) 2022/2555 (NIS 2): articolul 21(2)(c) (continuitatea activității, copii de rezervă, recuperare, gestionarea crizelor), articolul 21(2)(d) (securitatea lanțului de aprovizionare), articolul 23 (cascada de raportare) și articolul 23(3) (testul de semnificație). Anexa I sectorul 8 (infrastructură digitală, inclusiv furnizorii de servicii de cloud computing). EUR-Lex.
  • Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690: cerințe tehnice și metodologice și praguri de semnificație pentru furnizorii de infrastructură digitală și de servicii digitale, inclusiv furnizorii de cloud. Secțiunea 11 din anexă. EUR-Lex.
  • BSIG (Germania): §30 (măsuri de management al riscului), §31 (securitatea lanțului de aprovizionare), §32 (BSI Meldeportal). Gesetze im Internet.
  • BSI: pachete informative NIS 2 privind continuitatea, copiile de rezervă recuperabile și poziția conform căreia existența unei copii de rezervă nu este testul. bsi.bund.de.
  • ENISA: coordonarea rețelei CSIRT conform articolului 15 NIS 2 pentru incidentele transfrontaliere. enisa.europa.eu.
Aveți planul pregătit înainte de următoarea întrerupere regională
Plan de continuitate, configurația copiei de rezervă recuperabile, clauze de furnizor, șabloane de raportare conform articolului 23. Gratuit, open source, fără lock-in.