Anhang I Sektor 8 NIS 2

Sono un fornitore di servizi di cloud computing ai sensi della NIS 2?

La NIS 2 elenca i servizi di cloud computing nel settore 8 dell'Allegato I (Infrastrutture digitali). L'Articolo 6(30) fissa la definizione giuridica che copre IaaS, PaaS e SaaS. L'Articolo 2(1) applica poi il normale test dimensionale della media impresa. Il CIR (UE) 2024/2690 colloca i fornitori di servizi cloud nel proprio Allegato, il che significa che parti di tale Regolamento vi vincolano direttamente in tutta l'UE.

Simon OrzelSimon Orzel·

La versione breve

Se fornite un servizio di cloud computing ai clienti, siete nell'ambito della NIS 2 non appena superate la soglia dimensionale della media impresa. Il settore 8 dell'Allegato I nomina direttamente i fornitori di servizi di cloud computing sotto le Infrastrutture digitali. La definizione dell'Articolo 6(30) è ampia: IaaS, PaaS, SaaS, cloud pubblico, cloud privato venduto come servizio, offerte ibride, contano tutti.

Diversamente dalle telecomunicazioni o dal DNS, i fornitori di servizi cloud non figurano nell'elenco 'indipendentemente dalla dimensione' dell'Articolo 2(2). Si applica il normale test dell'Articolo 2(1): media impresa ai sensi della Raccomandazione 2003/361/CE significa 50 dipendenti o più, oppure un fatturato annuo superiore a 10 milioni di EUR. Superate una delle due soglie e rientrate nell'ambito. Restate al di sotto di entrambe e normalmente siete fuori, con le limitate eccezioni dell'Articolo 2(2) e (3) che non si applicano al cloud in quanto tale.

La Germania recepisce tutto questo nel diritto nazionale attraverso l'§28 BSIG. Il BSI è la vostra autorità. Oltre alla Direttiva, il Regolamento di esecuzione (UE) 2024/2690 della Commissione elenca i fornitori di servizi cloud nel proprio Allegato, per cui i suoi requisiti tecnici e metodologici vi vincolano direttamente senza bisogno di ulteriore diritto tedesco. Questa pagina percorre la Direttiva, la definizione UE e la trasposizione tedesca in quest'ordine.

La fonte normativa
Tre livelli sovrapposti uno sull'altro. La Direttiva nomina il cloud come settore. L'Articolo 6(30) definisce cos'è un servizio di cloud computing. Il Regolamento di esecuzione elenca i fornitori di servizi cloud nel proprio Allegato e li vincola direttamente. L'§28 BSIG traspone gli obblighi nel diritto tedesco.

Direttiva NIS 2 (2022/2555), Allegato I Settore 8 e Art. 6(30)

Settore 8 Infrastrutture digitali: fornitori di servizi di cloud computing. Per «servizio di cloud computing» si intende un servizio digitale che consente l'amministrazione su richiesta e l'ampio accesso remoto a un insieme scalabile ed elastico di risorse informatiche condivisibili, anche quando tali risorse sono distribuite tra varie ubicazioni.

Due passaggi devono essere letti insieme. Il settore 8 dell'Allegato I nomina i fornitori di servizi di cloud computing come infrastruttura essenziale. L'Articolo 6(30) definisce cosa conta come servizio di cloud computing. La formulazione è neutra rispetto alla tecnologia e copre IaaS, PaaS e SaaS. Non esiste ulteriore regolamentazione UE che ridefinisca questo termine, per cui prevale la definizione propria della Direttiva.

Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato

Il presente regolamento si applica ai soggetti di cui all'articolo 3 della direttiva (UE) 2022/2555 elencati nell'allegato del presente regolamento, ossia: fornitori di servizi DNS, registri dei nomi TLD, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, e prestatori di servizi fiduciari.

Il CIR (UE) 2024/2690 elenca i fornitori di servizi di cloud computing nel proprio Allegato. È questo il trucco giuridico che conta: un Regolamento è direttamente applicabile, non è necessaria alcuna trasposizione nazionale. Il CIR fissa il dettagliato quadro di gestione del rischio (§2), i requisiti per la gestione degli incidenti, la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e le soglie di 'incidente significativo' per questi settori. I fornitori di servizi cloud hanno quindi a che fare con un livello di Direttiva (trasposto dal BSIG) più un livello di Regolamento che li vincola con la stessa formulazione in tutti gli Stati membri.

§28 BSIG, Germania

Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.

La Germania traspone gli obblighi sul cloud attraverso l'§28 BSIG. Il BSI è l'autorità centrale NIS 2 per la registrazione, il quadro di gestione del rischio e la segnalazione degli incidenti. I fornitori di servizi cloud al di sopra della soglia dimensionale sono classificati come 'besonders wichtige Einrichtungen' (soggetti essenziali). Al di sotto della soglia, gli obblighi non si applicano a meno che non venga attivata una delle limitate clausole di inclusione dell'Articolo 2(2) o (3). Il cloud in quanto tale non figura in quegli elenchi.

Tre test da percorrere
Tre brevi test decidono se rientrate nell'ambito. Uno riguarda ciò che fate. Uno riguarda la soglia dimensionale. Il terzo chiude la questione di quali livelli normativi vi vincolano.
Test A

Fornite un servizio di cloud computing?

Applicate la definizione dell'Articolo 6(30). Il servizio deve essere digitale, su richiesta, ampiamente accessibile da remoto e funzionare su un insieme scalabile ed elastico di risorse condivisibili. IaaS (calcolo, archiviazione, rete), PaaS (runtime gestiti, database come servizio) e SaaS (applicazioni aziendali multi-tenant vendute sulla rete) soddisfano tutti la definizione. Anche un'applicazione ospitata single-tenant venduta come servizio di solito la soddisfa, perché l'insieme di risorse sottostante è condiviso a livello di fornitore.

Test B

Superate la soglia dimensionale?

I fornitori di servizi cloud seguono il normale test dell'Articolo 2(1). Ai sensi della Raccomandazione 2003/361/CE, la media impresa inizia a 50 dipendenti o a un fatturato annuo superiore a 10 milioni di EUR (con un totale di bilancio annuo superiore a 10 milioni di EUR come alternativa). A 250 dipendenti o con un fatturato superiore a 50 milioni di EUR diventate una grande impresa e siete classificati come 'essenziali'. Al di sotto di 50 dipendenti e con un fatturato inferiore a 10 milioni di EUR, normalmente siete fuori ambito come fornitore di servizi cloud.

Test C

Il CIR vi vincola direttamente

Una volta che rientrate nell'ambito, si sovrappongono due livelli. Il BSIG (in Germania) traspone la Direttiva. Il CIR (UE) 2024/2690 vi elenca nel proprio Allegato e vi vincola direttamente. Ciò significa che il quadro di gestione del rischio dell'§2 CIR, le regole sulla catena di approvvigionamento dell'§6 e le soglie di significatività degli incidenti si applicano con la stessa formulazione in ogni Stato membro. Non esiste alcuna variante nazionale del CIR da consultare.

Due regole che plasmano il test sull'ambito
Due regole interpretative stanno alla base della questione dell'ambito del cloud. Sbagliatene una e arrivate alla risposta sbagliata.

Contano tutti e tre i livelli di servizio

L'Articolo 6(30) è neutro rispetto al livello. IaaS, PaaS e SaaS soddisfano tutti la definizione perché tutti e tre poggiano su un insieme condiviso di risorse scalabile ed elastico. Un errore comune è presumere che 'cloud' significhi solo IaaS di hyperscaler. Il testo cattura un fornitore SaaS tedesco che vende uno strumento HR multi-tenant esattamente come cattura AWS, Azure e GCP. La soglia dimensionale filtra poi chi ha effettivamente degli obblighi.

Elastico e condivisibile è la linea di confine

Se l'insieme di risorse non è scalabile ed elastico, o non è condivisibile, il servizio non è un servizio di cloud computing ai sensi dell'Articolo 6(30). Un server dedicato a un singolo cliente con capacità fissa che gestite per conto del cliente è hosting, non cloud. Una gabbia di data center dedicata a un cliente è colocation, non cloud. Entrambi possono comunque rientrare in altre righe del settore 8 dell'Allegato I (servizio di data center, servizio gestito), ma non nella riga del cloud. La definizione opera il filtraggio.

Come i regolatori nazionali gestiscono effettivamente tutto questo
L'UE fissa l'obbligo, gli Stati membri traspongono. Per il cloud, un secondo livello vincola direttamente tramite il CIR. La maggior parte dei fornitori di servizi cloud ha a che fare con l'equivalente del BSI e legge lo stesso testo del CIR in ogni mercato in cui opera.
Germania

BSI / §28 BSIG

Il BSI è l'autorità centrale NIS 2. La registrazione, il quadro di gestione del rischio, la tempistica di segnalazione degli incidenti (preallarme entro 24h, notifica entro 72h, rapporto finale entro 1 mese) passano tutti attraverso il BSI. L'§28 BSIG classifica i fornitori di servizi cloud nell'ambito come 'besonders wichtige Einrichtungen'. Una volta superata la soglia dimensionale, vi registrate presso il BSI.

Germania

BSI C5 (riferimento operativo)

Il C5 è il catalogo di sicurezza cloud del BSI. Non è un obbligo NIS 2, ma in pratica molti clienti cloud tedeschi richiedono un'attestazione C5 type 2 nei loro contratti. L'insieme di controlli si sovrappone in misura rilevante con il quadro di gestione del rischio dell'§2 CIR, per cui i fornitori che già detengono un'attestazione C5 possono riutilizzare la maggior parte delle evidenze per la documentazione di gestione del rischio NIS 2.

A livello UE

ENISA / Allegato CIR

L'ENISA, l'agenzia dell'UE per la cibersicurezza, pubblica una Guida tecnica di attuazione per il CIR. Poiché i fornitori di servizi cloud sono elencati nell'Allegato del CIR, tale guida è il riferimento quotidiano per la gestione del rischio dell'§2, le aspettative sulla catena di approvvigionamento e il modello di soglia di 'incidente significativo'. Il testo è identico a livello UE, per cui un fornitore di servizi cloud che serve DE, NL, FR e IT applica la stessa formulazione del CIR in ogni mercato.

Altri Stati membri

Autorità nazionali di cibersicurezza

Ogni Stato membro ha la propria autorità NIS 2 che gestisce il livello di registrazione e vigilanza: RDI nei Paesi Bassi, ANSSI in Francia, ACN in Italia, INCIBE in Spagna. Gli obblighi della Direttiva sono trasposti localmente, il CIR vincola con la stessa formulazione ovunque. Per un fornitore di servizi cloud che vende in tutta l'UE, le registrazioni sono nazionali, il quadro di gestione del rischio è un unico documento usato ovunque.

Tre trappole che vediamo nelle chiamate sull'ambito del cloud
Tre presupposti che portano i fornitori di servizi cloud alla risposta sbagliata. Tutti e tre derivano dal leggere il settore 8 dell'Allegato I senza leggere la definizione dell'Articolo 6(30).

  • Noleggiamo server dedicati, quindi siamo un fornitore di servizi cloud ai sensi della NIS 2.

    Di solito no, sulla riga del cloud. L'Articolo 6(30) richiede un insieme scalabile ed elastico di risorse condivisibili. Un server bare-metal noleggiato a un solo cliente con capacità fissa è hosting. Può farvi rientrare nella riga del servizio di data center del settore 8 dell'Allegato I (definizione diversa, stesso settore), o sotto fornitore di servizi gestiti se lo gestite anche per il cliente, ma non sotto servizio di cloud computing. Leggete le definizioni, non l'etichetta di marketing sul vostro listino prezzi.

  • Siamo un piccolo SaaS, quindi le regole sul cloud non si applicano a noi.

    Il test giuridico è in due parti. Prima l'Articolo 6(30): un SaaS multi-tenant venduto sulla rete su un'infrastruttura condivisa soddisfa la definizione. Seconda l'Articolo 2(1): la soglia dimensionale. Se siete sotto i 50 dipendenti e sotto i 10 milioni di EUR di fatturato, siete fuori ambito sulla riga del cloud. Se superate l'una o l'altra, siete dentro. 'Di nicchia' non è una categoria giuridica. I numeri e la definizione fanno il lavoro.

  • Gestiamo un cloud privato per il nostro stesso gruppo, quindi siamo un fornitore di servizi cloud nell'ambito.

    Di solito no. Il servizio dell'Articolo 6(30) deve essere fornito ai clienti. Un cloud privato puramente interno che serve solo la vostra organizzazione non è un servizio in senso regolamentare, per cui non conta per la riga del cloud. Potreste comunque rientrare nell'ambito della NIS 2 per il settore in cui opera il vostro gruppo (energia, sanità, trasporti, fabbricazione), ma non come fornitore di servizi di cloud computing sulla base di una piattaforma interna.

Come un piccolo fornitore di servizi cloud percorre effettivamente tutto questo

Un fornitore SaaS tedesco di 60 persone con un prodotto multi-tenant e 12 milioni di EUR di fatturato annuo è nell'ambito della NIS 2 sulla riga del cloud. Il settore 8 dell'Allegato I nomina i fornitori di servizi di cloud computing; l'Articolo 6(30) è soddisfatto perché l'insieme di risorse è condiviso, elastico e accessibile da remoto; l'Articolo 2(1) è soddisfatto perché l'azienda è di medie dimensioni. L'§28 BSIG la classifica come 'besonders wichtige Einrichtungen'. L'Allegato del CIR la pone sotto il quadro di gestione del rischio dell'§2 direttamente vincolante. Nulla di tutto ciò è discrezionale.

Cosa vediamo nella pratica: il fornitore redige un quadro di gestione del rischio dell'§2 CIR rispetto al proprio stack di produzione (applicazione, runtime, livello dati, identità, account cloud di supporto), mappa i temi dell'Articolo 21(2) sul quadro e usa la proporzionalità dell'Articolo 21(1) per scalare la profondità a un'operazione di 60 persone. Il rilevamento degli incidenti, la cadenza di notifica 24h / 72h / 1 mese e gli obblighi sulla catena di approvvigionamento dell'§6 CIR poggiano tutti sullo stesso elenco di asset. Un'attestazione C5 type 2, se il fornitore ne detiene una, copre una larga parte delle evidenze dell'§2 ed è riutilizzata come documentazione, non rifatta.

Come la piattaforma vi aiuta a decidere

Il nostro controllo di applicabilità percorre l'Articolo 6(30) passo dopo passo. Chiede cosa fornite, se l'insieme di risorse è condiviso ed elastico e se il servizio è venduto ai clienti. L'output vi dice quale riga dell'Allegato I si applica (cloud, data center, servizio gestito, tutte definizioni separate), se la soglia dimensionale dell'Articolo 2(1) vi cattura e quali categorie dell'Allegato del CIR vi vincolano direttamente in aggiunta al BSIG.

Il modulo asset copre lo stack di produzione su un unico inventario: confini dei tenant, fornitori di identità, archivi di dati, account cloud di supporto, responsabili del trattamento terzi. Il quadro di gestione del rischio dell'§2 CIR viene poi eseguito rispetto a tale inventario, in modo che lo stesso elenco di asset alimenti la registrazione presso il BSI, le valutazioni sulla catena di approvvigionamento dell'§6 CIR e le evidenze dell'attestazione C5 senza doppia manutenzione.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), Allegato I Settore 8 e definizione di servizio di cloud computing dell'Articolo 6(30) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Direttiva (UE) 2022/2555 (NIS 2), Articolo 2(1) ambito dimensionale e settoriale; Articolo 2(2) clausole di inclusione indipendenti dalla dimensione — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese — eur-lex.europa.eu/eli/reco/2003/361/oj
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato (elenca i fornitori di servizi di cloud computing tra i soggetti direttamente vincolati) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legge sul BSI (BSIG), §28 come modificata dalla legge di attuazione della NIS2 e di rafforzamento della cibersicurezza
  • BSI C5 (Cloud Computing Compliance Criteria Catalogue), edizione corrente — bsi.bund.de
Verifica il tuo ambito cloud in tre minuti
Il controllo di applicabilità gratuito percorre per te l'Articolo 6(30), l'Articolo 2(1) e l'Allegato del CIR. Gratuito, open source, nessun lock-in.
Apri il controllo di applicabilità gratuito