La disciplina NIS per le aziende del settore digitale: anche le piccole imprese sono interessate

NIS per le imprese digitali

La direttiva NIS2 è stata introdotta a livello europeo per garantire un livello comune elevato di sicurezza e resilienza informatica dei soggetti pubblici e privati che operano in quelli che sono ritenuti i 18 settori critici o altamente critici per il funzionamento del tessuto socio/economico di ogni Stato membro.

La normativa ha inoltre disciplinato alcuni obblighi e adempimenti ulteriori per talune tipologie di soggetti privati operanti nei settori legati alle infrastrutture o servizi digitali e alla gestione dei servizi ICT, in ragione della particolare rilevanza che rivestono per il funzionamento della società dell’informazione.

Alcuni di loro, in effetti, rientrano tra i soggetti interessati NIS a prescindere dalla dimensione aziendale; in tal caso, dunque, la normativa si applica anche alle piccole imprese.

Oltre alla Dir. (UE) 2022/2555 (direttiva “NIS2”), il quadro normativo a cui fare riferimento include il Reg. Esec. (UE) 2024/2690 e, in ambito nazionale, il D.Lgs. 138/2024 (“decreto NIS”) che recepisce la direttiva NIS2 in Italia. Vediamo come il combinato disposto di tali atti precisa gli ulteriori doveri e adempimenti richiesti alle imprese appartenenti ai settori del digitale e dei servizi ICT.

I Settori interessati

I settori di attività che prevedono obblighi e adempimenti specifici sono quelli elencati dal decreto NIS ai punti 8 e 9 dei settori altamente critici (allegato I al decreto) e al punto 6 dei settori critici (allegato II al decreto):

  • Settori altamente critici
    1. Infrastrutture digitali
    2. Gestione dei servizi ICT B2B
  • Settori critici
    1. Fornitori di servizi digitali

Di seguito si possono consultare le tabelle con l’elenco completo delle tipologie di soggetti appartenenti a tali settori, comprensive delle relative definizioni fornite in base all’art.2 c.1 del decreto stesso.

all.I – 8. Infrastrutture digitali
Tipologia di soggettoDefinizione
8.1. Fornitori di punti di interscambio internet«punto di interscambio internet»: cosiddetto internet exchange point (IXP), un’infrastruttura di rete che consente l’interconnessione di più di due reti indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce interconnessione soltanto ai sistemi autonomi e che non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo né altera o interferisce altrimenti con tale traffico.
8.2. Fornitori di servizi di sistema dei nomi di dominio (DNS), esclusi gli operatori dei server dei nomi radice«fornitore di servizi di sistema dei nomi di dominio» (servizi DNS): un soggetto che fornisce alternativamente: 1) servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; 2) servizi di risoluzione dei nomi di dominio autoritativi per uso da parte di terzi, fatta eccezione per i server dei nomi radice (cosiddetto root nameserver).
8.3. Gestori di registri dei nomi di dominio di primo livello (top level domain – TLD)«gestore di registro dei nomi di dominio di primo livello»: cosiddetto registro dei nomi TLD (top level domain) o registry, soggetto cui è stato delegato uno specifico dominio di primo livello e che è responsabile dell’amministrazione di tale dominio di primo livello, compresa la registrazione dei nomi di dominio sotto tale dominio di primo livello, e del funzionamento tecnico di tale dominio di primo livello, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona del dominio di primo livello tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi di dominio di primo livello sono utilizzati da un registro esclusivamente per uso proprio.
8.4. Fornitori di servizi di cloud computing«servizio di cloud computing»: un servizio digitale che consente l’amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l’ampio accesso remoto a quest’ultimo, anche ove tali risorse sono distribuite in varie ubicazioni.
8.5. Fornitori di servizi di data center«servizio di data center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare in modo centralizzato, interconnettere e far funzionare apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell’energia e il controllo ambientale.
8.6. Fornitori di reti di distribuzione dei contenuti (content delivery network)«rete di distribuzione dei contenuti»: cosiddetta content delivery network (CDN), una rete di server distribuiti geograficamente allo scopo di garantire l’elevata disponibilità, l’accessibilità o la rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di fornitori di contenuti e servizi.
8.7. Prestatori di servizi fiduciari«prestatore di servizi fiduciari»: una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato, quale definito dal regolamento europeo sull’identità digitale (eIDAS).
8.8. Fornitori di reti pubbliche di comunicazione elettronica«rete pubblica di comunicazione elettronica»: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete.
8.9. Fornitori di servizi di comunicazione elettronica accessibili al pubblico«servizio di comunicazione elettronica»: un servizio di comunicazione elettronica quale definito dal Codice Europeo delle Comunicazioni Elettroniche (EECC).
Tipologie di soggetti NIS appartenenti al settore altamente critico 8: Infrastrutture digitali
all.I – 9. Gestione dei servizi ICT B2B
Tipologia di soggettoDefinizione
9.1. Fornitori di servizi gestiti«fornitore di servizi gestiti»: un soggetto che fornisce servizi relativi all’installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni ICT o di qualsiasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza.
9.2. Fornitori di servizi di sicurezza gestiti«fornitore di servizi di sicurezza gestiti»: un fornitore di servizi gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di sicurezza informatica.
Tipologie di soggetti NIS appartenenti al settore altamente critico 9: Gestione dei servizi ICT B2B
all.II – 6. Fornitori di servizi digitali (FSD)
Tipologia di soggettoDefinizione
6.1. Fornitori di mercati online«mercato online»: un servizio che utilizza un software, compresi siti web, parte di siti web o un’applicazione, gestito da o per conto del professionista, che permette ai consumatori di concludere contratti a distanza con altri professionisti o consumatori.
6.2. Fornitori di motori di ricerca online«motore di ricerca online»: un servizio digitale che consente all’utente di formulare domande al fine di effettuare ricerche, in linea di principio, su tutti i siti web, o su tutti i siti web in una lingua particolare, sulla base di un’interrogazione su qualsiasi tema sotto forma di parola chiave, richiesta vocale, frase o di altro input, e che restituisce i risultati in qualsiasi formato in cui possono essere trovate le informazioni relative al contenuto richiesto.
6.3. Fornitori di piattaforme di social network«piattaforma di servizi di social network»: una piattaforma che consente agli utenti finali di entrare in contatto, condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, video e raccomandazioni.
6.4. Fornitori di servizi di registrazione dei nomi di dominio«fornitore di servizi di registrazione di nomi di dominio»: un registrar o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy.
Tipologie di soggetti NIS appartenenti al settore critico 6: Fornitori di servizi digitali (FSD)

Quando la dimensione non conta

Nel settore privato, la normativa generalmente si applica alle imprese di media e grande dimensione. Tuttavia, in ragione della particolare rilevanza che rivestono nella società dell’informazione, alcune tipologie di soggetti rientrano comunque nel campo di applicazione della normativa NIS a prescindere dalla loro dimensione, e dunque anche nel caso si tratti di piccole imprese.

L’art. 3 del decreto NIS, infatti, chiarisce che la normativa si applica, indipendentemente dalle dimensioni, anche:

  • ai soggetti identificati come “critici” in base alla normativa CER
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico
  • ai prestatori di servizi fiduciari
  • ai gestori di registri dei TLD e ai fornitori di servizi di sistema dei nomi di dominio
  • ai fornitori dei servizi di registrazione dei nomi di dominio
  • alle imprese collegate ad un soggetto interessato NIS, qualora a tali imprese siano riconducibili le decisioni sulla sicurezza informatica, la gestione dei sistemi informativi e di rete, o la gesione delle attività di sicurezza informatica del soggetto interessato.

L’ACN può inoltre individuare ulteriori soggetti che sono ritenuti critici per il particolare settore in cui operano (come ad esempio il tasporto pubblico locale), per il mantenimento di attività socio-economiche fondamentali, per la sicurezza e la salute pubblica, per l’impatto transfrontaliero che un incidente da loro subito potrebbe comportare, per la loro particolare importanza a livello nazionale o regionale nel settore in cui operano, o infine per essere un elemento sistemico della catena di approvvigionamento, anche digitale, di altri soggetti interessati NIS.

In tali eventualità, l’ACN può stabilire che tali soggetti rientrino comunque nel campo di applicazione della normativa NIS indipendentemente dalla loro dimensione aziendale.

Registro europeo dei soggetti “digitali”

L’art. 27 della direttiva NIS2 prevede che l’Agenzia Europea per la Cybersicurezza “ENISA” (European Network and Information Security Agency) crei e mantenga un registro europeo di tutti i soggetti NIS che forniscono servizi digitali (FSD) o servizi gestiti ICT per il B2B, oppure che operano nelle infrastrutture digitali quali gestori dei registri dei TLD (top-level domain) ovvero quali fornitori di servizi DNS, cloud computing, data center o CDN (content delivery network).

A tale scopo, la direttiva richiede agli Stati membri di procedere al censimento esigendo che entro il 17 gennaio 2025 tali soggetti trasmettano alle autorità nazionali competenti NIS (in Italia, l’Agenzia per la Cybersicurezza Nazionale “ACN”) le seguenti informazioni:

  • il proprio nome
  • settore e tipologia di appartenenza, come da allegato I e allegato II della direttiva
  • indirizzo dello stabilimento principale e degli altri stabilimenti legali nell’Unione (o del rappresentante nell’Unione per i soggetti extra-UE)
  • dati di contatto aggiornati, compresi indirizzi e-mail e numeri di telefono (inclusi quelli dell’eventuale rappresentante nell’Unione per i soggetti extra-UE)
  • gli Stati membri in cui il soggetto fornisce i propri servizi
  • le serie degli indirizzi IP del soggetto.

Conformemente a tale prescrizione, l’art.42 del decreto NIS italiano prevede dunque che i soggetti che rientrano nelle suddette tipologie debbano registrarsi sulla Piattaforma ACN entro il 17 gennaio 2025, ovvero con 6 settimane di anticipo rispetto al termine del 28 Febbraio fissato per tutte le altre tipologie di soggetti interessati.

Banca dati dei nomi di dominio

Ai soggetti che operano come registri dei nomi di dominio di primo livello (TLD) o come fornitori di servizi di registrazione dei nomi di dominio si applicano alcuni requisiti ulteriori.

Per contribuire alla sicurezza, alla stabilità e alla resilienza del sistema dei nomi a dominio (DNS), l’art. 28 della direttiva NIS2 prevede infatti che gli Stati membri impongano alle suddette tipologie di soggetti di raccogliere e mantenere dati di registrazione dei nomi di dominio accurati e completi in un’apposita banca dati, con la dovuta diligenza e conformemente a quanto previsto dal GDPR (General Data Protection Regulation) e dal diritto dell’Unione in materia di protezione dei dati personali.

L’art. 29 del decreto NIS italiano, nel recepire tale prescrizione, ribadisce che la banca dati di registrazione dei nomi di dominio deve contenere le informazioni necessarie per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che amministrano i nomi di dominio presenti, registrati o censiti nel registro dei nomi di dominio di primo livello (top level domain – TLD).

Tali informazioni includono, almeno:

  • il nome di dominio;
  • la data di registrazione;
  • il nome, l’indirizzo e-mail di contatto e il numero di telefono del soggetto che procede alla registrazione;
  • l’indirizzo e-mail di contatto e il numero di telefono del punto di contatto che amministra il nome di dominio, qualora siano diversi dai precedenti.

I registri dei nomi di TLD e i fornitori di servizi di registrazione dei nomi di dominio devono inoltre:

  • Predisporre e rendere pubbliche apposite politiche e procedure, incluse le procedure di verifica, al fine di garantire che le suddette banche dati contengano informazioni accurate e complete;
  • Rendere pubblicamente disponibili, senza ingiustificato ritardo dopo la registrazione di un nome di dominio, i dati di registrazione dei nomi di dominio che non siano dati personali;
  • Fornire l’accesso a specifici dati di registrazione dei nomi di dominio, dietro richiesta motivata dei soggetti legittimati, rispondendo senza ingiustificato ritardo e, comunque, entro 72 ore dalla ricezione della richiesta di accesso.
  • Dare evidenza pubblica alle politiche e alle procedure relative alla divulgazione dei suddetti dati.

Tra i soggetti legittimati ad accedere a specifici dati di registrazione dei nomi di dominio rientra naturalmente anche l’ACN.

Servizi di natura transfrontaliera

Pur fornendo un quadro comune per l’adozione di misure di sicurezza contro i rischi informatici e di notifica degli incidenti significativi, la direttiva NIS2 lascia ai soggetti interessati il compito di identificare le misure e procedure da adottare, e alle Autorità competenti NIS dei singoli Stati membri di valutarne adeguatezza ed efficacia.

Questo può evidentemente generare alcune frammentazioni o differenze tra Stati diversi, che aumenterebbero le difficoltà di gestione da parte dei soggetti che forniscono servizi di natura transfrontaliera, comportando in definitiva un rischio maggiore.

Per contenere tale rischio, la direttiva ha previsto che per alcune tipologie di soggetti, data la loro natura transfrontaliera, l’attuazione delle misure di gestione del rischio di cibersicurezza sia indirizzata mediante un atto di esecuzione europeo, che garantisca un elevato livello di armonizzazione nell’Unione.

Il Reg. Esec. (UE) 2024/2690 del 17/10/2024 stabilisce i requisiti tecnici e metodologici delle misure di sicurezza minime e specifica ulteriormente i casi in cui un incidente debba considerarsi significativo, per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti (CDN), i fornitori di servizi ICT e di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari (cosiddetti soggetti pertinenti).

Il citato regolamento di esecuzione riporta in un apposito allegato i dettagli dei requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza richiesti ai soggetti pertinenti.

Si tratta, invero, di requisiti basati su norme europee e internazionali, quali ISO/IEC 27001, ISO/IEC 27002 ed ETSI EN 319401, e su specifiche tecniche, quali CEN/TS 18026:2024, pertinenti per la sicurezza dei sistemi informativi e di rete.

In conclusione

Di seguito si riportano i quadri sinottici riepilogativi dei requisiti particolari ulteriori applicabili alle tipologie di soggetti privati appartenenti ai settori delle infrastrutture o servizi digitali e della gestione dei servizi ICT B2B.

Settore altamente critico 8. Infrastrutture digitali
Tipologia di soggettoDimensione di impresa
[art.3 decreto NIS]
Registro dei soggetti entro il 17/01/2025 e DB nomi di dominio
[artt.42 e 29 decreto NIS]
Natura transfrontaliera
[si applica il Reg.Esec. (UE) 2024/2690]
8.1. Fornitori di punti di interscambio internetMedie e Grandi impresen/an/a
8.2. Fornitori di servizi di sistema dei nomi di dominio (DNS), esclusi gli operatori dei server dei nomi radiceQUALSIASI dimensione (anche piccole imprese)SISI
8.3. Gestori di registri dei nomi di dominio di primo livello (top level domain – TLD)QUALSIASI dimensione (anche piccole imprese)SI + DB nomi di dominioSI
8.4. Fornitori di servizi di cloud computingMedie e Grandi impreseSISI
8.5. Fornitori di servizi di data centerMedie e Grandi impreseSISI
8.6. Fornitori di reti di distribuzione dei contenuti (content delivery network)Medie e Grandi impreseSISI
8.7. Prestatori di servizi fiduciariQUALSIASI dimensione (anche piccole imprese)n/aSI
8.8. Fornitori di reti pubbliche di comunicazione elettronicaQUALSIASI dimensione (anche piccole imprese)n/an/a
8.9. Fornitori di servizi di comunicazione elettronica accessibili al pubblicoQUALSIASI dimensione (anche piccole imprese)n/an/a
Requisiti particolari applicabili ai soggetti NIS del settore altamente critico 8: Infrastrutture digitali
Settore altamente critico 9. Gestione dei servizi ICT B2B
Tipologia di soggettoDimensione di impresa
[art.3 decreto NIS]
Registro dei soggetti entro il 17/01/2025 e DB nomi di dominio
[artt.42 e 29 decreto NIS]
Natura transfrontaliera
[si applica il Reg.Esec. (UE) 2024/2690]
9.1. Fornitori di servizi gestitiMedie e Grandi impreseSISI
9.2. Fornitori di servizi di sicurezza gestitiMedie e Grandi impreseSISI
Requisiti particolari applicabili ai soggetti NIS del settore altamente critico 9: Gestione dei servizi ICT B2B
Settore critico 6. Fornitori di servizi digitali (FSD)
Tipologia di soggettoDimensione di impresa
[art.3 decreto NIS]
Registro dei soggetti entro il 17/01/2025 e DB nomi di dominio
[artt.42 e 29 decreto NIS]
Natura transfrontaliera
[si applica il Reg.Esec. (UE) 2024/2690]
6.1. Fornitori di mercati onlineMedie e Grandi impreseSISI
6.2. Fornitori di motori di ricerca onlineMedie e Grandi impreseSISI
6.3. Fornitori di piattaforme di social networkMedie e Grandi impreseSISI
6.4. Fornitori di servizi di registrazione dei nomi di dominioQUALSIASI dimensione (anche piccole imprese)SI + DB nomi di dominion/a
Requisiti particolari applicabili ai soggetti NIS del settore critico 6: Fornitori di servizi digitali (FSD)

Come abbiamo visto, gli adempimenti e requisiti a cui occorre dar seguito per ottemperare alla normativa NIS possono essere molti e articolati; d’altra parte, questo è comprensibile se si pensa all’importanza delle tematiche affrontate dalla normativa.

In effetti, l’ACN, in qualità di “Autorità nazionale competente NIS” in Italia, oltre a stabilire gli obblighi di base in materia di misure di sicurezza informatica e notifica degli incidenti, ha il potere di imporre ai singoli soggetti interessati obblighi ulteriori in base alla valutazione della loro criticità nel quadro della sicurezza nazionale.

Tuttavia, benché per ogni azienda possano esistere distinguo evidenti in base alla tipologia dei servizi offerti e alla criticità del ruolo ricoperto nel contesto in cui opera, i principi base a cui fare riferimento per impostare una gestione adeguata dei rischi informatici restano uguali per tutti, e fanno riferimento alle migliori pratiche internazionali in tema di sicurezza informatica.

Non a caso, sia la direttiva NIS2 che il regolamento di esecuzione (UE) 2024/2690 fanno riferimento agli standard internazionali in materia, citando in primis la norma ISO/IEC 27001, che rappresenta in effetti il punto di partenza più naturale per affrontare adeguatamente il problema e rispondere ai requisiti normativi.

Adeguarsi alla normativa NIS attraverso l’adozione di un Sistema di Gestione certificato secondo lo standard ISO/IEC 27001, che tenga conto degli specifici requisiti di sicurezza e di notifica richiesti dalla norma, rappresenta infatti un’ottima soluzione, oltre che un importante elemento utilizzabile per dimostrare l’aderenza ai requisiti normativi da parte dei soggetti interessati NIS.

NEUS ha maturato una lunga esperienza nel settore dell’innovazione tecnologica e della sicurezza informatica, ed è in grado di mettere le sue competenze a disposizione delle aziende che intendono migliorare la propria postura di cybersecurity, supportandole nell’implementazione di sistemi di gestione e nell’adozione di soluzioni in grado di rispondere ai requisiti normativi.

Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.

Vuoi approfondire?

Lasciaci un messaggo e ti ricontatteremo


    Articoli recenti

    Scopri i nostri articoli più recenti ricchi di informazioni e consigli utili per l’evoluzione aziendale in modalità sicura.