NIS 2 vs direttiva CER: resilienza cibernetica accanto a resilienza fisica
Due direttive, adottate lo stesso giorno, con lo stesso termine di recepimento, che coprono quasi gli stessi settori critici da due angolazioni diverse.
Due direttive, un pacchetto di resilienza
Il 14 dicembre 2022 l'UE ha adottato in parallelo due direttive. La direttiva (UE) 2022/2555 (NIS 2) è la direttiva sulla cybersicurezza. La direttiva (UE) 2022/2557 (CER) è la direttiva sulla resilienza dei soggetti critici. Entrambe dovevano essere recepite entro il 17 ottobre 2024.
La NIS 2 protegge i sistemi informatici e di rete. La CER protegge il funzionamento fisico dei soggetti critici contro minacce non cibernetiche quali calamità naturali, sabotaggio, terrorismo, attacchi interni e pandemie. I settori coperti si sovrappongono fortemente, ma l'oggetto della protezione è diverso.
Per gli operatori nei settori dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, dell'acqua potabile, delle acque reflue, dell'infrastruttura digitale, della pubblica amministrazione e dello spazio, entrambe le direttive si applicano spesso in parallelo. Questa pagina wiki illustra dove le due si incontrano e dove divergono.
NIS 2, articolo 2(3) (verbatim)
La presente direttiva si applica ai soggetti individuati come soggetti critici a norma della direttiva (UE) 2022/2557.
L'articolo 2(3) della NIS 2 rende esplicito il collegamento: un'entità che uno Stato membro designa come soggetto critico ai sensi della CER rientra nell'ambito della NIS 2 ed è trattata come soggetto essenziale ai sensi dell'articolo 3(1)(f) della NIS 2.
CER, articolo 1 (oggetto, verbatim)
La presente direttiva stabilisce obblighi per gli Stati membri di adottare misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche nell'ambito di applicazione dell'articolo 5 siano forniti in modo continuo nel mercato interno, in particolare obblighi per gli Stati membri di individuare i soggetti critici e di sostenere i soggetti critici nell'adempimento degli obblighi loro imposti.
La CER si concentra sulla continuità dei servizi essenziali di fronte a minacce fisiche, naturali, ibride e di origine umana. L'angolo cibernetico è lasciato alla NIS 2.
Recepimento nazionale (Germania)
La NIS 2 è recepita in Germania attraverso il BSIG (bozza NIS2UmsuCG). La CER è recepita attraverso una distinta KRITIS-Dachgesetz (legge quadro KRITIS) guidata dal Ministero federale dell'Interno.
Le due direttive sono recepite da due diverse leggi nazionali, vigilate da due diverse agenzie federali. A giugno 2026 il recepimento tedesco della NIS 2 è ancora nell'iter legislativo, e la legge quadro KRITIS è in parallelo stato di bozza.
Gli elenchi settoriali si sovrappongono, ma non perfettamente
Gli allegati I e II della NIS 2 elencano 18 settori. L'allegato della CER elenca 11 settori. I settori dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, dell'acqua potabile, delle acque reflue, dell'infrastruttura digitale, della pubblica amministrazione e dello spazio compaiono in entrambe. La CER copre inoltre la produzione, la trasformazione e la distribuzione di alimenti, che si trova al di fuori della NIS 2.
Sistemi informatici e di rete vs continuità fisica del servizio
La NIS 2 protegge la cybersicurezza dei sistemi informatici e di rete utilizzati dall'entità. La CER protegge la capacità dell'entità di continuare a fornire il servizio essenziale contro interruzioni fisiche, naturali e di origine umana. Stesso operatore, due diverse lenti di rischio.
I soggetti critici ai sensi della CER sono soggetti essenziali ai sensi della NIS 2
L'articolo 2(3) NIS 2 instrada qualsiasi entità designata come soggetto critico ai sensi della CER direttamente nella NIS 2 come soggetto essenziale. L'inverso non vale automaticamente: rientrare nell'ambito della NIS 2 non ti designa come soggetto critico ai sensi della CER.
Il rischio cibernetico non è il rischio fisico
L'articolo 21 NIS 2 richiede misure di gestione del rischio di cybersicurezza (policy, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, controllo degli accessi, crittografia e così via). Gli articoli da 12 a 13 della CER richiedono un piano di resilienza che copra misure di protezione fisica, ridondanza, continuità operativa e sicurezza del personale. Le prove si sovrappongono in alcuni punti (ad esempio i piani di continuità operativa), ma il catalogo dei rischi è diverso.
Spesso lo stesso operatore, due relazioni, due autorità
Un'azienda idrica, un gruppo ospedaliero, un distributore di energia o un ente della pubblica amministrazione possono avere obblighi ai sensi di entrambe le direttive contemporaneamente. Ciò significa di solito due valutazioni del rischio parallele e due linee di segnalazione parallele, una verso l'autorità competente NIS 2 e una verso l'autorità competente CER.
BSI
In Germania il Bundesamt für Sicherheit in der Informationstechnik (BSI) è l'autorità principale per l'attuazione della NIS 2. Il BSI riceve le registrazioni, le notifiche di incidenti e vigila sulle misure di gestione del rischio di cybersicurezza della NIS 2.
BBK
L'autorità tedesca principale per la CER è il Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), non il BSI. Il BBK vigila sulla designazione dei soggetti critici e sulla resilienza fisica ai sensi della prevista KRITIS-Dachgesetz.
ENISA e il gruppo per la resilienza dei soggetti critici
Sul versante cibernetico, ENISA sostiene gli Stati membri e gli operatori ai sensi della NIS 2. Sul versante CER, il gruppo per la resilienza dei soggetti critici istituito ai sensi dell'articolo 19 CER coordina tra gli Stati membri. La Commissione sostiene entrambi i livelli ma le corsie cibernetica e fisica restano istituzionalmente separate a livello UE.
Anche la CER copre la cybersicurezza, quindi ci serve un solo progetto
La CER non regolamenta la cybersicurezza. Il considerando 4 e le disposizioni sull'ambito della CER lasciano esplicitamente il rischio cibernetico alla NIS 2. La CER si concentra su minacce fisiche, naturali e di origine umana al servizio. Un ISMS solo cibernetico non soddisfa la CER. Un piano di resilienza fisica da solo non soddisfa la NIS 2.
Le due direttive si applicano esattamente agli stessi operatori
La sovrapposizione settoriale è alta, ma non al 100 per cento. La CER include la produzione, la trasformazione e la distribuzione di alimenti. La NIS 2 include la gestione dei servizi ICT e diverse categorie di servizi digitali che la CER non copre. E anche dove entrambe si applicano, la CER richiede una designazione esplicita da parte dello Stato membro, mentre la NIS 2 opera per lo più tramite autoidentificazione rispetto a criteri di dimensione e settore.
KRITIS è il recepimento tedesco della CER
KRITIS è un concetto tedesco di lunga data che precede entrambe le direttive ed è attualmente distribuito tra BSIG, BSI-KritisV e leggi settoriali. La prevista KRITIS-Dachgesetz è intesa a recepire la CER, ma non è la stessa cosa del perimetro KRITIS esistente, e non è il recepimento della NIS 2. Tre flussi di lavoro distinti, non uno.
Un distributore di energia regionale con circa 400 dipendenti gestisce un ISMS per la NIS 2 (misure di gestione del rischio dell'articolo 21, notifica di incidenti al BSI entro 24 ore, sicurezza della catena di approvvigionamento, formazione). In parallelo lo stesso distributore gestisce un piano di resilienza dei soggetti critici ai sensi della CER, che copre la protezione fisica del sito, la ridondanza delle sottostazioni, le verifiche di affidabilità del personale e la continuità operativa per le interruzioni fisiche. I due piani condividono gli input di continuità operativa ma operano sotto due linee di governance separate.
Nella pratica quotidiana, l'impostazione più pulita è un unico registro dei rischi che etichetta ciascun rischio come cibernetico, fisico o entrambi, e alimenta due output: le misure di gestione del rischio di cybersicurezza della NIS 2 da un lato, il piano di resilienza CER dall'altro. Ciò evita di duplicare l'inventario degli asset e il lavoro di continuità operativa mantenendo i deliverable normativi chiaramente separati.
Questa piattaforma attua gli obblighi dell'articolo 21 NIS 2 come un registro degli obblighi: inventario degli asset, inventario dei fornitori, registro dei rischi, gestione degli incidenti, continuità operativa, formazione e prove di vigilanza. La CER non rientra nell'ambito della piattaforma.
Gli operatori che hanno obblighi ai sensi di entrambe le direttive possono riutilizzare l'inventario degli asset e dei fornitori della NIS 2 come input per il loro piano di resilienza CER, ma il piano di resilienza CER stesso si trova in un flusso di lavoro separato vigilato dall'autorità competente CER.
- Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (NIS 2). EUR-Lex: 32022L2555.
- Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, articolo 2(3) sul collegamento alla CER. NIS 2, allegati I e II sui settori.
- CER, articolo 1 (oggetto), articolo 5 (settori), articolo 6 (criteri per l'individuazione dei soggetti critici), articoli 12 e 13 sui piani di resilienza.
- Ufficio federale per la sicurezza informatica (BSI), pagina nazionale di attuazione della NIS 2.
- Ufficio federale per la protezione civile e l'assistenza in caso di catastrofi (BBK), pagina nazionale di attuazione della CER.