- Xehetasunak
NIS2 Zuzentaraua
Europako Parlamentuaren eta Kontseiluaren 2022/2555 Zuzentaraua, NIS2 izenez ezagutzen dena, Europar Batasun osorako zibersegurtasunaren arloan onartutako legeria da. EBko zibersegurtasunaren maila orokorra eta Europako azpiegitura kritikoen eta zerbitzu digitalen erresilientzia sustatzeko legezko neurriak ematen ditu. Zibersegurtasuneko, gainbegiratzeko eta betearazteko betebeharrak ezartzen dizkie estatu kideei, bai eta arriskuak kudeatzeko neurriak eta haien aplikazio-eremuko erakundeentzako jakinarazpen-betebeharrak (I. eta II. eranskinak) eta zibersegurtasunari buruzko informazio-trukeari buruzkoak ere.
Zuzentaraua 2023ko urtarrilean sartu zen indarrean eta 2024ko urriaren 17rako transposatu behar zen.
Kontsulta-zerbitzua
Zentro Kriptologiko Nazionalak zerbitzu bat prestatu du erakundeei laguntzeko NIS2ren neurri teknikoak, operatiboak eta antolamendukoak betetzen. Zalantzak postaren bidez bidal ditzakezue:
Ohiko galderak
2022ko abenduaren 14ko 2022/2555 (EB) Zuzentaraua (NIS2 Zuzentaraua), 2016ko uztailaren 6ko 2016/1148 (EB) Zuzentaraua (NIS1 Zuzentaraua) eguneratu eta indargabetuko duena, Europako arau juridikoa da, eta Europar Batasun osoan informazio-sare eta -sistemetan segurtasun-maila handia bermatzeko arau-esparru bat ezartzea du helburu, zibersegurtasun-maila komun handia lortzeko helburuarekin.
Horretarako, betebeharrak ezartzen dira, beren aplikazio-eremuan sartzen diren erakundeek har ditzaten. Betebehar horiek honako hauek dira: gorabehera eta segurtasun-neurri tekniko, operatibo eta antolaketa-neurri egokiei buruzko informazioa jakinarazteko eta trukatzeko betebeharrak, erakunde horiek beren eragiketetan edo zerbitzuak ematean erabiltzen dituzten informazio-sistemen eta sareen zibersegurtasun-arriskuak kudeatzeko ezarritakoak.
Entitateei beren esparruan eska dakizkiekeen zibersegurtasun-baldintzak hobeto egokitzeko, NIS2 Zuzentarauak funtsezko erakundeak eta erakunde garrantzitsuak bereizten ditu. Nolanahi ere, 21. artikuluan zehazten diren segurtasun-neurrien 10 multzoak bi erakunde mota horiei aplikatuko zaizkie, nahiz eta exijentzia-maila handiagoa izan funtsezko erakundeetan.
NIS2 Zuzentaraua 2022ko abenduaren 27an argitaratu zen Europar Batasunaren Egunkari Ofizialean (EBAO), formalki onartu ondoren, eta hogei egun geroago sartu zen indarrean. Hala ere, Europako edozein Zuzentaraurekin gertatzen den bezala, estatu kide bakoitzak NIS2 Zuzentaraua bere ordenamendu juridiko nazionalera eramango du, Espainian bere aurrekoarekin (NIS1 Zuzentaraua) egin zen bezala, informazio-sareen eta -sistemen segurtasunari buruzko irailaren 7ko 12/2018 Errege Lege Dekretuaren bidez.
NIS2 Zuzentarauaren 41. artikuluaren arabera, estatu kide guztietan transposizioa egin beharko da, Espainian, 2024ko urriaren 17a baino lehen, eta urte horretako urriaren 18an aplikatuko da.
Directiva NIS2
1) NIS2 Zuzentarauak kritikotasun handiko sektoreetako erakundeei eragiten die (Zuzentarauaren I. eranskinean zehaztutakoak), bai eta sektore publikoko zein sektore pribatuko beste sektore kritiko batzuetako erakundeei ere (II. eranskina), enpresa ertain edo handitzat jotzen badira (2003/361/EE Gomendioaren arabera, enpresa ertain batek 50 eta 250 langile artean ditu, 50 milioi eurotik beherako negozio-bolumena du eta urteko balantze orokorra 43 milioi eurotik beherakoa da).
2) Tamaina edozein dela ere, NIS2 Zuzentarauak honako hauei ere eragiten die:
- Kritikotasun handiko sektoreetako edo beste sektore kritiko batzuetako erakundeak, honako kasu hauetan:
- Herritarrentzat eskuragarri dauden komunikazio elektronikoen sare publikoen edo zerbitzuen hornitzaileak.
- Konfiantzazko zerbitzuen emaileak, lehen mailako domeinu-izenen erregistroak eta DNS zerbitzuen hornitzaileak.
- Erakundea denean jarduera sozial edo ekonomiko kritikoei eusteko funtsezko zerbitzu baten hornitzaile bakarra estatu kide batean.
- Erakundeak emandako zerbitzuaren nahasmendu batek ondorio esanguratsuak izan ditzakeenean segurtasun publikoan, ordena publikoan edo osasun publikoan.
- Erakundeak emandako zerbitzuaren asaldura batek arrisku sistemiko esanguratsuak eragin ditzakeenean, bereziki nahasmendu horrek mugaz haraindiko ondorioak izan ditzakeen sektoreetan.
- Erakundea kritikoa denean, estatuan edo eskualdean sektore edo zerbitzu-mota zehatzarentzat edo estatu kidean elkarren mendekoak diren beste sektore batzuentzat duen garrantzi espezifikoaren argitan.
- Sektore publiko zentraleko edo erregionaleko erakundeak: Zuzenbide nazionalaren arabera, Administrazio publiko zentraleko edo erregionaleko erakundeak, jarduera sozial edo ekonomiko kritikoetan eragin nabarmena izan dezaketen nahasmenduak eragin ditzaketen zerbitzuak ematen dituztenak.
- Estatu kide bakoitzaren irizpidearen arabera: Horrez gain, estatu kideek honako hauek sartu ahal izango dituzte:
- Ikastetxeei, bereziki ikerketa-jarduera kritikoak egiten dituztenean.
- Tokiko herri-administrazioa.
- Erakunde kritikoak, Europako beste zuzentarau baten arabera: Europako Parlamentuaren eta Kontseiluaren 2022ko abenduaren 14ko 2022/2557 (EB) Zuzentarauaren 2.1 artikuluan definitutakoaren arabera, kritikotzat identifikatutako erakundeak, erakunde kritikoen erresilientziari buruzkoak.
Zuzentarauaren I. eranskinean, herri-administrazioko erakundeak kritikotasun handiko sektoretzat jotzen dira, botere judiziala, parlamentuak eta banku zentralak alde batera utzita. Eranskin honetan administrazio publiko zentrala eta autonomikoa (eskualdekoa) baino ez dira aipatzen. Hala ere, adierazten da estatu kideek xedatu ahal izango dutela zuzentarau hau Administrazio publikoko erakundeei eta ikastetxeei aplikatzea, bereziki ikerketa-jarduera kritikoak egiten dituztenean.
Era berean, zuzentarau hau ez zaie aplikatuko beren jarduerak segurtasun nazionalaren, segurtasun publikoaren, defentsaren edo legea betetzeko bermearen arloetan gauzatzen dituzten administrazio publikoko erakundeei, arau-hauste penalen prebentzioa, ikerketa, detekzioa eta auzipetzea barne.
NIS2 Zuzentarauak, 3. artikuluan, funtsezko erakundeak eta erakunde garrantzitsuak bereizten ditu, dagokien sektorearen kritikotasun-mailaren, ematen dituzten zerbitzuen eta haien tamainaren arabera.
Zuzentarauak kritikotasun handiko sektoreak (I. eranskina) eta beste sektore kritiko batzuk (II. eranskina) hartzen ditu kontuan. Halaber, enpresa handitzat jotzen du enpresa ertain batekiko gehieneko mugak gainditzen dituena (2003/361/EE Gomendioaren arabera, enpresa ertain batek 50 eta 250 langile artean ditu, 50 milioi eurotik beherako negozio-bolumena eta 43 milioi eurotik beherako urteko balantze orokorra).
1) NIS2 zuzentarauak funtsezko erakundetzat jotzen ditu:
- Estatu kide bakoitzak zuzenbide nazionalaren arabera definitutako administrazio publiko zentrala.
- Kritikotasun handiko edozein sektoretan kokatutako enpresa handiak.
- Konfiantzazko zerbitzuen emaile kualifikatuak, lehen mailako domeinu-izenen erregistroak eta DNS zerbitzuen hornitzaileak.
- Gaur egun transposizio-prozesuan dauden entitate kritikoen erresilientziari buruzko Europako Parlamentuaren eta Kontseiluaren 2022/2557 (EB) Zuzentarauaren arabera kritikotzat jotako erakundeak.
- Estatu kide bakoitzak 2023ko urtarrilaren 16a baino lehen funtsezko zerbitzuen operadore gisa identifikatutako erakundeak, 2016/1148 (NIS1) Zuzentarauarekin (EB) bat etorriz edo bere zuzenbide nazionalaren arabera, estatu horrek hala irizten badio.
2) NIS2 zuzentarauak entitate garrantzitsutzat jotzen ditu:
- Kritikotasun handiko sektoreetako edo beste sektore kritiko batzuetako erakundeak (NIS2 Zuzentarauaren I. eta II. eranskinetan ezarritakoaren arabera), funtsezko erakundetzat hartu ezin direnak.
3) NIS2 Zuzentarauaren transposizio-prozesuan, estatu kide bakoitzak beste erakunde batzuk funtsezkotzat edo garrantzitsutzat jo ditzake, bere irizpidearen arabera, baldin eta, tamaina edozein dela ere:
- Erakundea izatea estatu kide batean jarduera sozial edo ekonomiko kritikoak mantentzeko funtsezko zerbitzu baten hornitzaile bakarra.
- Erakundeak emandako zerbitzua nahasteak ondorio nabarmenak izan ditzake segurtasun publikoan, ordena publikoan edo osasun publikoan.
- Erakundeak emandako zerbitzuaren asaldurak arrisku sistemiko esanguratsuak eragin ditzake, bereziki nahasmendu horrek mugaz haraindiko ondorioak izan ditzakeen sektoreetan.
- Erakundea kritikoa izatea, estatu kideko sektore edo zerbitzu-mota zehatzarentzat edo estatu kidean elkarren mendekoak diren beste sektore batzuentzat nazio- edo eskualde-mailan duen garrantzi espezifikoaren argitan.
Horretarako, estatu kideek funtsezko erakunde garrantzitsuen zerrenda bat egingo dute 2025/04/17a baino lehen, eta gutxienez bi urtean behin eguneratuko da.
Directiva NIS2
NIS2 Zuzentarauaren 21. artikuluan adierazten den bezala, funtsezko erakunde garrantzitsuek beren eragiketetan edo zerbitzuak emateko erabiltzen dituzten informazio-sare eta -sistemen segurtasunari buruzko arriskuak kudeatu beharko dituzte, eta, aldi berean, gerta daitezkeen segurtasun-intzidenteen ondorioak minimizatu beharko dituzte.
Neurriek arriskuarekiko proportzionalak izan beharko dute, erakundeak arriskuekiko duen esposizio-maila, erakundearen tamaina eta gorabeherak gertatzeko probabilitatea eta horien larritasuna kontuan hartuta, ondorio sozialak eta ekonomikoak barne.
NIS2 Zuzentarauaren 21. artikulu horrek, oro har, erakunde bakoitzak ezarri beharko dituen gutxieneko hamar (10) baldintza edo segurtasun-neurri multzo ezartzen ditu.
Espainian, 311/2022 Errege Dekretua dugu, maiatzaren 3koa, Segurtasun Eskema Nazionala (ENS) arautzen duena, NIS2 Zuzentarauaren betekizun guztiak biltzen dituena. SEN nahitaez bete behar dute Espainian sektore publiko osoak (estatukoa, autonomikoa eta tokikoa), konponbideak ematen dizkioten edo zerbitzuak ematen dizkioten hornitzaileek eta, borondatez, zibersegurtasuna hobetu nahi duen edozein erakundek. Horrez gain, ziurta daitekeen arau juridikoa da, eta, horri esker, betetzen dela ikus daiteke.
Era berean, NIS2 Zuzentarauak funtsezko eta garrantzizko erakundeak behartzen ditu edozein gertakari esanguratsu jakinaraztera erreferentziako segurtasun-intzidenteei erantzuteko beren taldeari (CSIRT).
SEN arautzen duen 311/2022 Errege Dekretuaren 33. artikuluak, segurtasun-intzidenteei erantzuteko gaitasunari buruzkoak, honako hau adierazten du, irailaren 7ko 12/2018 Errege Lege Dekretuaren 11. artikuluan xedatutakoaren arabera (12/2018 Errege Lege Dekretua, Informazio-sare eta -sistemen segurtasunari buruzkoa (NIS1 Zuzentarauaren transposizioa):
- Inteligentzia Zentro Nazionalari atxikitako eta Defentsa Ministerioaren mendeko Kriptologia Zentro Nazionalaren CCN-CERT izeneko egiturak Espainiako sektore publikoko segurtasun informatikoko gertakariei erantzuteko taldeen erantzun teknikoaren koordinazio nazionala egingo du, informazio-sare eta -sistemen segurtasunaren arloan, eta, era berean, lotura-funtzioa beteko du, administrazio publikoetako CSIRTen eta nazioarteko CSIRTen arteko mugaz gaindiko lankidetza bermatzeko.
- INCIBE-CERT izeneko egitura, Espainiako Zibersegurtasuneko Institutu Nazionalari (M.P., S.A.) atxikia, Ekonomia Gaietarako eta Eraldaketa Digitalerako Ministerioaren mendekoa, Espainiako herritarrentzako eta zuzenbide pribatuko erakundeentzako erreferentziako segurtasun-intzidenteei erantzuteko zentro gisa jardungo du.
- Ziberespazioko Aginte Bateratuaren ESPDEF-CERT (MCCE) izeneko egiturak, Defentsa Ministerioari atxikiak, Defentsa nazionalaren esparruan erreferentziazko segurtasun-intzidenteei erantzuteko gaitasuna izango du, betiere operadore batek bere irismenagatik Defentsa Ministerioaren funtzionamenduan edo Indar Armatuen eraginkortasunean eragina izan dezakeen gertakari bat jasaten badu.
- Azkenik, Barne Ministerioaren Segurtasuna Koordinatzeko Bulegoak (OCC) parte hartuko du eragile kritikoen gorabeherei erantzuteko koordinazioan, azpiegitura kritikoak babesteko neurriak ezartzen dituen apirilaren 28ko 8/2011 Legeak (LPIC) eta azpiegitura horiek babesteko erregelamendua onartzen duen maiatzaren 20ko 704/2011 Errege Dekretuak ezarritakoaren arabera.
Hori guztia NIS2 zuzentarauaren transposizioak etorkizunean xedatu dezakeenari kalterik egin gabe, BOEn argitaratu ondoren indarrean sartzen denean.
Zerrenda ez oso bat aurkeztu da, NIS2 Zuzentarauaren I. eranskinetik eratorria:
- Energia
- Elektrizitatea (enpresa elektrikoak, banaketa-sarearen kudeatzaileak, garraio-sarearen kudeatzaileak, ekoizleak, merkatu elektrikorako izendatutako operadoreak, energia gehitzeko edo biltegiratzeko zerbitzuak, karga-puntu baten kudeaketaz eta ustiapenaz arduratzen diren operadoreak)
- Berokuntzako eta hozteko hiri-sistemetako operadoreak.
- Gordina (oliobideen operadoreak, produkzio-operadoreak, fintzeko eta tratatzeko, biltegiratzeko eta garraiatzeko instalazioak, biltegiratzeko erakunde zentralak).
- Gasa (gasa hornitzen duten enpresak, banaketa-sarearen kudeatzaileak, garraio-sarearen kudeatzaileak, biltegiratze-kudeatzailea, gas natural likidotuaren sarearen kudeatzaileak, gas naturalaren konpainiak, finketa-instalazioen operadoreak eta gas naturalaren tratamendua).
- Hidrogenoa (ekoizpen-, biltegiratze- eta garraio-operadoreak).
- Garraioa
- Aireko garraioa (aire-konpainiak, aireportuak kudeatzen dituzten erakundeak, aireportuen barruan instalazio erantsiak ustiatzen dituzten erakundeak, aire-trafikoa kontrolatzeko zerbitzuak ematen dituzten trafikoaren kudeaketa kontrolatzeko operadoreak).
- Trenbide bidezko garraioa (azpiegituren administratzaileak, tren-enpresak).
- Itsas- eta ibai-garraioa (itsas garraioko, ibai-garraioko eta kabotaje-garraioko enpresak, bai bidaiarienak, bai salgaienak, portuak kudeatzen dituzten erakundeak, portuetako instalazioak barne, eta portuetan dauden obrak eta ekipoak egiten dituzten erakundeak, itsasontzien trafikoko zerbitzuetako operadoreak (STB)).
- Errepideko garraioa (trafikoaren kudeaketaren kontrolaz arduratzen diren hainbat agintari, trafikoaren kudeaketa edo garraio-sistema adimendunen ustiapena jarduera orokorraren funtsezko partea ez diren erakunde publikoak izan ezik, garraio-sistema adimendunen operadoreak).
- Bankua
- Kreditu-erakundeak.
- Finantza-merkatuen azpiegiturak
- Negoziazio-zentroen kudeatzaileak.
- Kontrapartida zentraleko erakundeak.
- Osasun-sektorea
- Osasun-laguntza ematen dutenak.
- EBko erreferentziazko laborategiak.
- Sendagaiak (sendagaiak ikertzeko eta garatzeko jarduerak egiten dituzten erakundeak, oinarrizko farmazia-produktuak eta farmazia-espezialitateak fabrikatzen dituzten erakundeak, osasun publikoko larrialdi-egoeretan funtsezkotzat jotzen diren osasun-produktuak fabrikatzen dituzten erakundeak).
- Edateko ura
- Giza kontsumorako uren hornitzaileak eta banatzaileak (giza kontsumorako uren banaketa oinarrizko beste ondasun eta produktu batzuk banatzeko jarduera orokorraren funtsezko ez den banatzaileak izan ezik).
- Hondakin-urak
- Hiriko, etxeko edo industriako hondakin-urak biltzen, ezabatzen edo tratatzen dituzten enpresak (hiriko, etxeko edo industriako hondakin-urak biltzea, ezabatzea edo tratatzea beren jarduera orokorraren funtsezko ez diren enpresak izan ezik).
- Azpiegitura digitala
- Hornitzaileak (Internet trukatzeko puntuak, erroko zerbitzarien operadoreak kanpo utzitako DNS zerbitzuak, lehen mailako domeinu-izenak, Hodeiko konputazio-zerbitzuak, datu-zentroko zerbitzuak, edukiak banatzeko sareak, konfiantzazko zerbitzuak, komunikazio elektronikoen sare publikoak, herritarrentzat eskuragarri dauden komunikazio elektronikoen zerbitzuak).
- IKT B2B zerbitzuen kudeaketa (enpresatik enpresara)
- Kudeatutako zerbitzu-hornitzaileak.
- Kudeatutako segurtasun-zerbitzuen hornitzaileak.
- Administrazio publikoko erakundeak, botere judiziala, parlamentuak eta banku zentralak izan ezik
- Administrazio publiko zentraleko erakundeak (estatu kidean zuzenbide nazionaleko xedapenen arabera definitzen diren bezala).
- Administrazio publikoko erakundeak eskualde-mailan (estatu kidean duten definizioaren arabera, estatuko zuzenbideko xedapenen arabera).
- Espazioa
- Lurreko azpiegituren operadoreak (horien jabetza, kudeaketa eta ustiapena estatu kideetan edo erakunde pribatuetan oinarritzen da, zerbitzu espazialak ematen laguntzen dutenak, komunikazio elektronikoen sare publikoen hornitzaileak izan ezik).
Directiva NIS2
Zerrenda ez oso bat aurkeztu da, NIS2 Zuzentarauaren II. eranskinetik eratorria:
- Posta-zerbitzuak
- Posta-zerbitzuen hornitzaileak (mezularitza-zerbitzuen hornitzaileak barne).
- Hondakinen kudeaketa
- Hondakinen kudeaketa egiten duten enpresak (hondakinen kudeaketa jarduera ekonomiko nagusia ez duten enpresak izan ezik).
- Substantzia eta nahaste kimikoen fabrikazioa, ekoizpena eta banaketa
- Substantziak fabrikatzen eta substantziak edo nahasketak banatzen dituzten enpresak (substantziak eta nahasketak oinarri hartuta gaiak ekoizten dituzten enpresak barne).
- Elikagaien ekoizpena, eraldaketa eta banaketa
- Elikagai-enpresak (handizkako banaketan eta industria-ekoizpenean eta -eraldaketan dihardutenak).
- Fabrikazioa
- Osasun-produktuen eta in vitro diagnostikorako osasun-produktuen fabrikazioa (osasun-produktuak fabrikatzen dituzten erakundeak eta in vitro diagnostikorako osasun-produktuak fabrikatzen dituzten erakundeak, salbuespen batzuekin).
- Produktu informatiko, elektroniko eta optikoen fabrikazioa.
- Material elektrikoaren fabrikazioa.
- Beste zati batzuetan sartzen ez diren makineriaren eta ekipoen fabrikazioa.
- Ibilgailu motordunen, atoien eta erdi-atoien fabrikazioa.
- Beste garraio-material batzuen fabrikazioa.
- Zerbitzu digitalen hornitzaileak
- Lineako merkatu-hornitzaileak.
- Lineako bilaketa-motorren hornitzaileak.
- Sare sozialetako zerbitzuen plataformen hornitzaileak.
- Ikerketa
- Ikerketa-erakundeak.
Garraio publikoa ez du esplizituki estaltzen NIS2k. Hala ere, 2. artikuluan (3. paragrafoa) adierazten da 2022/2557 Zuzentarauaren (CER Zuzentaraua) arabera entitate kritiko gisa identifikatzen diren erakundeei aplikatzen zaiela Zuzentaraua. Azken zuzentarau horrek "Garraio" (2) sektorearen barruan "Garraio publikoa" (e) azpisektorea estaltzen du, eta zehazkiago, "zerbitzu publikoko operadoreak, Europako Parlamentuaren eta Kontseiluaren 1370/2007 (EE) Erregelamenduaren (13) 2. artikuluko (d) puntuan definitzen den bezala".
Beraz, garraio publikoaren sektoreko erakunde guztiak, CER Zuzentarauaren arabera identifikatuak, automatikoki eroriko dira NIS2ren irismenera.
NIS2ren aplikazio-eremuan sartzen diren sektore kritikoen artean, "elikagaien ekoizpena, eraldaketa eta banaketa" dago, 178/2002 (EE) Erregelamenduan definitutako "elikagai-enpresek" egiten dutena ("irabazi-asmoa duen edo ez duen edozein enpresa, publikoa zein pribatua, elikagaiak ekoitzi, eraldatu eta banatzeko edozein etaparekin lotutako edozein jarduera egiten duena").
Hala ere, NIS2 Zuzentarauak berak sektore hori mugatzen du "handizkako banaketan eta industria-ekoizpen eta -eraldaketan aritzen diren enpresetara".
Legegilekidearen helburua elikagai-enpresen definizio zabala mugatzea da, txikizkako salmenta eta elikagaiak eskala txikian ekoiztea eta eraldatzea ezabatuz.
Bai, NIS2ren 6 (39) artikuluak honela definitzen ditu kudeatutako zerbitzu-hornitzaileak: produktuak, sareak, azpiegiturak edo IKT aplikazioak edo bestelako sare- eta informazio-sistemak instalatzearekin, kudeatzearekin, ustiatzearekin edo mantentzearekin lotutako zerbitzuak ematen dituen erakundea [...]. Definizioa esplizituki bezeroaren instalazioetan edo urrutitik egindako jarduerei buruzkoa da.
Zeregin horietako bakoitza (instalazioa, kudeaketa, ustiapena eta mantentze-lanak) ez da baztertzailea, eta erakunde batek zeregin bat edo batzuk egin ditzake.
Kudeatutako segurtasun-zerbitzuen hornitzaileak, zibersegurtasun-arriskuak kudeatzeko neurrien barruan, gertakariak kudeatzeko zerbitzuak eman ditzake larrialdietan.
NIS2ren 6 (40) artikuluak jasotzen duenez, kudeatutako segurtasun-zerbitzuen hornitzailea "zibersegurtasun-arriskuen kudeaketari buruzko jarduerak gauzatzen dituena edo horretarako laguntza ematen duena da". Zerbitzu horien adibideak 21. artikuluan (2) aurki daitezke. Artikulu horrek zibersegurtasun-arriskuak kudeatzeko hainbat neurri biltzen ditu, hala nola arriskuen analisia, intzidenteen kudeaketa, hornidura-katearen segurtasuna edo jarraipen-planak.
NIS2 Zuzentarauaren 6. artikuluaren (20) (b) puntuak honela definitzen ditu DNS zerbitzuen hornitzaileak: "Interneteko azken erabiltzaileentzako domeinu-izenen ebazpen errekurtsiboaren (a) edo (b) hirugarrenek erabiltzeko domeinu-izenen ebazpen autoritatiboaren (erroko zerbitzariak izan ezik) zerbitzu publikoak ematen dituen erakundea".
Azken kasu horretan, hirugarrenek erabiltzeko jabari-izena baimentzeko ebazpen-zerbitzuak ematen direla joko da zerbitzu horiek erakundea bera ez den beste pertsona legal edo natural batzuei ematen zaizkienean. Hori gertatzen da domeinu baten izen egileen zerbitzariak domeinu horren erregistratzaileak operatzen ez dituenean, baizik eta zerbitzu hori beste entitate batek ematen duenean.
Web-ostatuko edo hostingeko zerbitzuen hornitzaileak ez daude mota horretan jasota, ez I. eranskinean (azpiegitura digitalean DNS zerbitzuen hornitzaileak, domeinu-izenen erregistroak, hodeiko konputazio-zerbitzuak, datu-zentroko zerbitzuak, edukiak banatzeko sareak, konfiantzazko zerbitzuak, komunikazio elektronikoen sare publikoak, herritarrentzat eskuragarri dauden komunikazio elektronikoak), ez II .ean (zerbitzu digitalen hornitzaileak), eta, beraz, ez daude NIS2 Zuzentarauaren irismenaren barruan. Hala ere, kasu askotan, NIS2ren irismenaren barruan egongo diren erakundeak egongo dira beste zerbitzu mota batzuk ematean (hala nola hodeiko hosting-zerbitzua, Data Center zerbitzuak edo domeinu autoritatiboaren izena ebazteko zerbitzuak) eta, aldi berean, web-ostatuko zerbitzuak ere ematen dituzte.
NIS2 Zuzentarauaren 20 (1) eta (2) artikuluak zuzendaritza-organoen eta haien kideen betebeharrak aipatzen ditu berariaz. 137. kontuan hartuzkoak azaltzen duenez, Zuzentarauak "zibersegurtasun-arriskuak kudeatzeko neurriekiko erantzukizun-maila handia eta funtsezko erakunde garrantzitsuen jakinarazpen-betebeharrak bermatu behar ditu". Kontuan hartuzkoak, horregatik, honako hau gaineratzen du: "funtsezko erakunde garrantzitsuen zuzendaritza-organoek zibersegurtasun-arriskuak kudeatzeko neurriak onartu behar dituzte, eta horien aplikazioa gainbegiratu".
Beraz, erakundeek 20. artikuluan aipatutako erantzukizunak beren langileen beste kide batzuen esku utziko balituzte, artikuluaren helburua ez litzateke behar bezala beteko. Beraz, eskuordetza hori ez litzateke onartu behar.





