Un furnizor este compromis. Ce impune NIS 2 de la entitate?
Articolul 21(2)(d) NIS 2 plaseaza securitatea lantului de aprovizionare in sarcina entitatii. Articolul 23 reglementeaza raportarea incidentelor. Ambele se aplica atunci cand un furnizor afectat expune propriile servicii ale entitatii.
Ce acopera aceasta pagina
Articolul 21(2)(d) NIS 2 impune entitatilor sa ia masuri adecvate si proportionale pentru a aborda riscul de securitate a lantului de aprovizionare la adresa propriilor retele si sisteme informatice. Obligatia revine entitatii, nu furnizorului. Directiva nu reglementeaza furnizorii care sunt ei insisi in afara domeniului de aplicare; ea reglementeaza modul in care entitatea din domeniul de aplicare ii gestioneaza.
Cand un furnizor direct este compromis, urmeaza doua intrebari separate. Mai intai, daca a fost afectata propria livrare de servicii a entitatii, ceea ce poate declansa un raport de incident in temeiul Articolului 23 la nivelul entitatii. Apoi, daca lantul contractual de notificare prevazut de Articolul 21(2)(d) functioneaza, astfel incat entitatea sa afle de breasa in timpul convenit si pe canalul convenit.
O breasa la furnizorul afectat nu este, in sine, un incident care trebuie raportat de catre entitate. Devine unul atunci cand breasa cauzeaza un incident semnificativ la entitate in sensul Articolului 23(3) NIS 2.
Articolul 21(2)(d) NIS 2
securitatea lantului de aprovizionare, inclusiv aspectele legate de securitate privind relatiile dintre fiecare entitate si furnizorii sai directi sau prestatorii sai de servicii.
Articolul abordeaza relatia cu furnizorii directi, nu furnizorul in sine. Entitatea ramane raspunzatoare pentru gestionarea acelei relatii, inclusiv pentru incidentele care se propaga din ea.
Considerentul 90 NIS 2
entitatile ar trebui sa evalueze si sa ia in considerare calitatea generala si rezilienta produselor si serviciilor, masurile de management al riscului de securitate cibernetica incorporate in acestea si practicile de securitate cibernetica ale furnizorilor si prestatorilor lor de servicii, inclusiv procedurile lor de dezvoltare sigura.
Considerentul 90 explica logica de politica din spatele Articolului 21(2)(d). El incadreaza securitatea lantului de aprovizionare ca o evaluare continua a posturii furnizorului, nu o verificare unica la integrare.
Articolul 23(3) NIS 2
un incident este considerat semnificativ daca: (a) a cauzat sau este susceptibil sa cauzeze o perturbare operationala grava a serviciilor sau o pierdere financiara pentru entitatea in cauza; (b) a afectat sau este susceptibil sa afecteze alte persoane fizice sau juridice prin cauzarea unui prejudiciu material sau moral considerabil.
Articolul 23(3) defineste pragul de semnificatie la nivelul entitatii. Un incident la furnizor este apreciat prin aceasta lentila odata ce ajunge la propriile servicii ale entitatii.
Aflati de breasa la timp
Articolul 21(2)(d) se operationalizeaza intr-o clauza contractuala. Furnizorul afectat trebuie sa notifice entitatea intr-un timp definit si pe un canal definit. Fara acea clauza, entitatea afla din comunicate de presa, ceea ce este prea tarziu pentru un termen al Articolului 23.
Evaluati propria expunere a entitatii
Intrebarea nu este daca furnizorul este in dificultate. Intrebarea este daca propriile retele si sisteme informatice ale entitatii, sau serviciile pe care le furnizeaza, sunt afectate. Acesta este un exercitiu factual: ce date, ce interfata, ce dependenta, ce solutie de rezerva.
Decideti asupra propriului raport al entitatii
Daca propriile servicii ale entitatii depasesc pragul Articolului 23(3), entitatea depune avertizarea timpurie in 24 de ore, notificarea incidentului in 72 de ore si raportul final intr-o luna. Raportul este depus de entitate pentru entitate, chiar daca cauza principala se afla la furnizor.
Obligatia revine entitatii
Articolul 21 enumera masuri pe care entitatea trebuie sa le adopte. Nu reglementeaza furnizorul. Daca furnizorul afectat se afla el insusi in domeniul de aplicare al NIS 2, are propriile obligatii. Acele obligatii nu inlocuiesc obligatiile entitatii; ele coexista in paralel.
Contract inainte de criza
Considerentul 90 asteapta ca relatia cu furnizorul sa fie evaluata inainte de producerea unui incident. Lantul de notificare, obligatia de cooperare, dreptul de a primi dovezi: acestea traiesc in contract. Dupa o breasa este momentul gresit pentru a le negocia.
§30 + §32 BSIG
§30 BSIG transpune in dreptul german obligatia de management al riscului de lant de aprovizionare. §32 BSIG transpune structura de raportare 24h / 72h / o luna. Entitatea raporteaza prin BSI Meldeportal, indiferent de locul in care s-a produs breasa initiala.
ENISA Threat Landscape for Supply Chain
ENISA publica anual materiale despre tiparele de atac asupra lantului de aprovizionare si despre practica de notificare. Este material de referinta pentru metodologia de risc a entitatii in temeiul Articolului 21(2)(d), nu o obligatie separata.
Indrumari ale CSIRT-ului sectorial
Pentru entitatile de infrastructura digitala, Regulamentul de punere in aplicare al Comisiei 2024/2690 specifica cerintele de lant de aprovizionare la urmatorul nivel de detaliu. Alte sectoare urmeaza Articolul 21(2)(d) direct, rafinat prin indrumari nationale si CSIRT-uri sectoriale.
"Este problema furnizorului."
Articolul 21(2)(d) plaseaza obligatia privind lantul de aprovizionare in sarcina entitatii. Furnizorul poate avea sau nu propriile obligatii NIS 2, in functie de faptul daca se afla in domeniul de aplicare. Obligatia entitatii exista oricum.
"Furnizorul raporteaza, deci entitatea nu trebuie."
Un furnizor aflat in domeniul de aplicare al NIS 2 isi raporteaza propriul incident semnificativ. Acel raport nu indeplineste Articolul 23 pentru entitate. Daca propriile servicii ale entitatii ating pragul Articolului 23(3), entitatea depune separat la nivelul entitatii.
"IT-ul supravegheaza furnizorul, nu e nevoie sa implicam conducerea."
Articolul 20 NIS 2 impune organului de conducere sa aprobe masurile de management al riscului de securitate cibernetica si sa supravegheze implementarea lor. Monitorizarea lantului de aprovizionare este una dintre aceste masuri. Un proces IT tacut, fara aprobarea organului de conducere, nu indeplineste Articolul 20.
Partea grea este rareori raportul. Partea grea este evaluarea dependentei sub presiunea timpului. Daca entitatea nu stie deja care furnizor atinge care serviciu, care date si prin care interfata, primele ore dupa o breasa la furnizor se consuma pentru reconstituirea acelei harti, in loc sa se actioneze pe baza ei.
Un inventar de active si furnizori care enumera, pentru fiecare furnizor, serviciul afectat, categoria de date si canalul contractual de notificare transforma o breasa la furnizor dintr-o urgenta intr-o rutina. Directiva nu prescrie formatul acelui inventar. Impune insa ca el sa existe intr-o forma pe care entitatea o poate folosi efectiv.
Platforma tine un registru al furnizorilor legat de serviciile entitatii si un camp contractual de notificare pentru fiecare furnizor. Cand o breasa la furnizor este inregistrata, serviciile afectate apar imediat, iar contorul de raportare al Articolului 23 poate porni pe o harta de dependente curata.
Aprobarea de catre organul de conducere a abordarii riscului de lant de aprovizionare este surprinsa ca o aprobare unica, cu o pista de audit cu versiuni. Aceeasi pista inregistreaza fiecare breasa la furnizor si decizia de semnificatie in temeiul Articolului 23(3) luata de entitate, astfel incat evaluarea sa poata fi revizuita ulterior.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 20, Articolul 21(2)(d), Articolul 23, Considerentul 90. EUR-Lex.
- Regulamentul de punere in aplicare al Comisiei (UE) 2024/2690, cerinte privind lantul de aprovizionare pentru entitatile de infrastructura digitala.
- BSIG (Germania), §30 (masuri de management al riscului), §32 (raportarea incidentelor).
- ENISA Threat Landscape for Supply Chain Attacks, editie anuala.