Conformità a NIS2 per il settore delle infrastrutture digitali

Le infrastrutture digitali sono alla base del funzionamento delle economie moderne. Internet exchange point, sistemi di nomi a dominio, servizi cloud, data center e le reti backbone delle telecomunicazioni costituiscono la base tecnica dei servizi critici in tutta l'Unione Europea. Un'interruzione in questo settore può propagarsi all'energia, ai trasporti, alla finanza, alla salute e all'amministrazione pubblica.

La direttiva NIS2 stabilisce obblighi di cybersicurezza a livello UE per le entità Essenziali e Importanti e amplia significativamente l'ambito del quadro NIS originario. La conformità a NIS2 per il settore delle infrastrutture digitali riflette l'importanza sistemica di mantenere servizi Internet e di connettività fondamentali resilienti e sicuri.

La direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano in settori designati, incluse le infrastrutture digitali. Molti operatori che forniscono servizi Internet o di rete fondamentali rientreranno nell'ambito.

Se la vostra organizzazione opera nelle infrastrutture digitali, potreste rientrare in NIS2 come entità Essenziale o Importante.

Il settore delle infrastrutture digitali è classificato come:

Allegato rilevante: Allegato I (Entità Essenziali)

• Entità Essenziale ai sensi dell'Allegato I

• Fornitori di punti di scambio Internet (IXP)
• Fornitori di servizi del sistema dei nomi di dominio (DNS)
• Registri dei nomi di dominio di primo livello (TLD)
• Fornitori di servizi di cloud computing
• Fornitori di servizi di data centre
• Fornitori di reti di distribuzione dei contenuti (CDN)
• Fornitori di servizi fiduciari
• Fornitori di reti di comunicazioni elettroniche pubbliche
• Fornitori di servizi di comunicazioni elettroniche accessibili al pubblico

Copertura dei sottosettori (Allegato I – Infrastrutture digitali):

La conformità a NIS2 per il settore delle infrastrutture digitali si applica a:

Questo include fornitori cloud, operatori di data centre, operatori DNS, fornitori di reti di telecomunicazione e fornitori di servizi fiduciari che soddisfano le soglie dimensionali UE.

L'applicabilità di NIS2 alle PMI è particolarmente rilevante in questo settore, poiché molti fornitori specializzati di cloud, hosting, CDN e servizi fiduciari operano a livello di impresa di medie dimensioni. Anche le organizzazioni senza grandi infrastrutture fisiche possono rientrare nell'ambito a causa del fatturato o della criticità del servizio.

• Imprese di medie dimensioni (≥50 dipendenti e/o €10 milioni di fatturato annuo o totale di bilancio)
• Grandi imprese che superano tali soglie
• Determinati fornitori critici designati dalla normativa nazionale, ove applicabile

Ai sensi dell'Articolo 21 della direttiva NIS2, le entità delle infrastrutture digitali devono implementare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi di cybersicurezza.

Le misure obbligatorie includono:

Per il settore delle infrastrutture digitali, queste misure di sicurezza NIS2 devono proteggere l'architettura di rete centrale, i sistemi di instradamento, gli ambienti di virtualizzazione, l'infrastruttura DNS e le piattaforme cloud. Alta disponibilità, ridondanza e modelli di resilienza distribuita sono elementi centrali per la conformità.

La conformità a NIS2 per il settore delle infrastrutture digitali richiede un forte controllo della catena di fornitura, in particolare quando l'infrastruttura dipende da fornitori di hardware, provider software e accordi di connettività transfrontaliera. I principi di security-by-design e il monitoraggio continuo sono essenziali.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche su crittografia e crittografia
• Controllo degli accessi e MFA (autenticazione multifattore)
• Gestione delle vulnerabilità e delle patch
• Formazione su igiene informatica
• Uso di comunicazioni sicure

Le entità delle infrastrutture digitali devono rispettare i tempi di segnalazione previsti da NIS2 in caso di incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere presentate al CSIRT nazionale o all'autorità competente.

La regola di segnalazione NIS2 delle 24 ore è particolarmente critica in questo settore, poiché interruzioni o compromissioni di DNS, servizi cloud o reti di comunicazione possono avere un impatto diffuso su più settori. Gli incidenti che interessano la disponibilità, l'integrità o la riservatezza dell'infrastruttura centrale spesso saranno considerati significativi.

Il mancato rispetto dei termini di segnalazione può comportare azioni di applicazione e sanzioni amministrative.

La conformità a NIS2 per il settore delle infrastrutture digitali impone una responsabilità diretta all'organo di gestione.

Requisiti chiave di governance includono:

L'Articolo 21 della direttiva NIS2 eleva la cybersicurezza a un obbligo a livello di consiglio/dirigenza. La direzione esecutiva deve garantire che i controlli di cybersicurezza siano adeguatamente finanziati, documentati e revisionati regolarmente.

Per i fornitori di infrastrutture digitali, i fallimenti di governance possono comportare interruzioni cross-settore e un aumento dell'attenzione regolamentare.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Sorveglianza continua dell'implementazione
• Formazione obbligatoria in materia di cybersecurity per l'organo di gestione
• Possibile esposizione a responsabilità personali ai sensi della normativa nazionale

In quanto entità dell'Allegato I, le organizzazioni di infrastrutture digitali classificate come Entità Essenziali sono soggette a vigilanza proattiva. Le autorità competenti possono effettuare audit, ispezioni e valutazioni di cybersicurezza indipendentemente dal verificarsi di un incidente.

Le sanzioni amministrative per la non conformità sono:

Le leggi nazionali di recepimento possono dettagliare il coordinamento della vigilanza, ma la direttiva stabilisce soglie minime armonizzate per le sanzioni tra gli Stati membri.

Dato l'impatto sistemico delle interruzioni delle infrastrutture digitali, l'attività di applicazione è prevista essere strutturata, basata sul rischio e coordinata tra le giurisdizioni.

• Entità Essenziali: Fino a €10 milioni o il 2% del fatturato annuo mondiale totale (quantounque sia maggiore)

Le PMI del settore delle infrastrutture digitali dovrebbero adottare passi strutturati per la conformità a NIS2:

La preparazione precoce riduce il rischio di sanzioni e protegge la continuità del servizio.

1. Effettuare una valutazione delle lacune rispetto a NIS2
2. Mappare le dipendenze critiche di rete e piattaforma
3. Formalizzare un quadro documentato di gestione del rischio informatico
4. Aggiornare e testare i piani di risposta agli incidenti e di continuità dei servizi
5. Rivedere i contratti con fornitori terzi di hardware e software
6. Formare la direzione esecutiva e i responsabili tecnici
7. Istituire un flusso di lavoro per le segnalazioni 24h/72h/1 mese

Le entità delle infrastrutture digitali affrontano rischi specifici del settore ai sensi di NIS2:

La conformità a NIS2 per il settore delle infrastrutture digitali è quindi un requisito fondamentale per la resilienza digitale dell'UE.

• Interruzioni di servizio: Gli incidenti informatici possono interrompere servizi cloud, DNS o di comunicazione.
• Impatto cross-settore: Le interruzioni possono propagarsi nei settori dell'energia, dei trasporti, della finanza e della sanità.
• Compromissione della catena di fornitura: Fornitori di hardware e software possono introdurre vulnerabilità.
• Sanzioni regolamentari: La non conformità espone i fornitori a significative penalità finanziarie.
• Dann o reputazionale: L'affidabilità del servizio è centrale per la fiducia dei clienti.