Sono un fornitore di servizi di data center ai sensi della NIS2?
La NIS2 elenca i servizi di data center nell'Allegato I settore 8 (Infrastruttura Digitale). L'articolo 6(31) definisce il servizio includendo energia e raffreddamento. Il test standard della dimensione di cui all'articolo 2(1) e alla Raccomandazione 2003/361/CE decide poi se gli obblighi si applicano. La Germania traspone tramite il §28 BSIG. La KRITIS-V (carico IT di 3,5 MW) è una sovrapposizione nazionale separata, non il punto di ingresso della NIS2.
La versione breve
Se vendi un servizio di data center a terzi, rientri nell'ambito di applicazione non appena soddisfi la soglia dimensionale standard della NIS2. L'Allegato I settore 8 nomina direttamente i fornitori di servizi di data center sotto Infrastruttura Digitale. L'articolo 6(31) ti dice cosa conta come servizio: il patrimonio IT e di rete più la distribuzione di energia di supporto e il controllo ambientale. Il tetto, gli UPS, i refrigeratori e il generatore diesel sono parte del servizio, non adiacenti ad esso.
Il test della dimensione è quello standard per la NIS2. L'articolo 2(1) della direttiva lega l'ambito di applicazione alla Raccomandazione 2003/361/CE: i soggetti di medie dimensioni (50 o più dipendenti, oppure fatturato annuo e bilancio superiori a 10 milioni di EUR) ricadono nel regime, i grandi soggetti sono 'essenziali' anziché 'importanti'. Non vi è alcuna inclusione a prescindere dalla dimensione per i data center, a differenza delle telecomunicazioni o dei DNS.
La Germania traspone tramite il §28 BSIG. La soglia della KRITIS-Verordnung (carico IT di 3,5 MW) è una sovrapposizione tedesca separata che decide se lo stesso data center è in aggiunta KRITIS, con obblighi ulteriori. Non decide se la NIS2 si applica. La CIR (UE) 2024/2690 elenca i fornitori di servizi di data center nel suo Allegato, per cui parti del regolamento di esecuzione vincolano direttamente i data center senza ulteriore trasposizione nazionale.
Direttiva NIS2 (2022/2555), Allegato I Settore 8 e Articolo 6(31)
per 'servizio di data center' si intende un servizio che comprende strutture, o gruppi di strutture, destinate all'alloggiamento, all'interconnessione e al funzionamento centralizzati delle apparecchiature informatiche e di rete che forniscono servizi di archiviazione, trattamento e trasporto dei dati, unitamente a tutti gli impianti e le infrastrutture per la distribuzione di energia e il controllo ambientale.
Due cose da leggere insieme. L'Allegato I settore 8 nomina i fornitori di servizi di data center come Infrastruttura Digitale. L'articolo 6(31) ti dice che il servizio non è soltanto i rack IT. La distribuzione di energia e il controllo ambientale sono parte della definizione giuridica. È questo che vincola gli impianti tecnici dell'edificio (UPS, generatori, raffreddamento, spegnimento incendi) al quadro di gestione del rischio della NIS2.
Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato
Il presente regolamento stabilisce i requisiti tecnici e metodologici delle misure di cui all'articolo 21(2) della direttiva (UE) 2022/2555 con riguardo ai fornitori di servizi DNS, ai registri dei nomi di dominio di primo livello (TLD), ai fornitori di servizi di cloud computing, ai fornitori di servizi di data center, ai fornitori di reti di distribuzione dei contenuti, ai managed service provider, ai managed security service provider, ai fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, e ai prestatori di servizi fiduciari.
I fornitori di servizi di data center sono elencati nominalmente nell'Allegato della CIR. Ciò significa che i requisiti tecnici di gestione del rischio nella CIR (gestione degli asset, controllo degli accessi, crittografia, catena di approvvigionamento, trattamento degli incidenti) vincolano direttamente i data center. Per il livello CIR non è richiesta la trasposizione nazionale. Il livello della direttiva ha comunque bisogno del §28 BSIG per avere effetto in Germania.
§28 BSIG (Germania) e la KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Il §28 BSIG traspone gli obblighi NIS2 relativi ai data center. Il test della dimensione dell'articolo 2(1) (50 dipendenti / 10 mln EUR di fatturato) decide se il soggetto è 'wichtig' o 'besonders wichtig'. La KRITIS-Verordnung è un livello tedesco separato con una propria soglia di 3,5 MW di carico IT per i data center. KRITIS aggiunge obblighi in più, non è la condizione di ingresso per la NIS2. Un operatore di co-location da 25 MW rientra in entrambi i regimi. Un sito di colocation con 200 dipendenti a 1 MW di carico IT rientra nell'ambito di applicazione della NIS2 ma non in KRITIS.
Vendi un servizio di data center?
L'articolo 6(31) è il test. Fornisci strutture destinate all'alloggiamento, all'interconnessione e al funzionamento centralizzati delle apparecchiature informatiche e di rete, unitamente all'infrastruttura di distribuzione di energia e di controllo ambientale. Co-location, hosting e sale dedicate si qualificano tutti. Il carico IT e gli impianti tecnici dell'edificio sono un unico servizio in diritto.
Sei al di sopra della soglia dimensionale?
L'articolo 2(1) NIS2 rinvia alla Raccomandazione 2003/361/CE. I soggetti di medie dimensioni (50 o più dipendenti, oppure fatturato annuo e totale di bilancio superiori a 10 milioni di EUR) ricadono nel regime come 'importanti'. I grandi soggetti (oltre 250 dipendenti o fatturato superiore a 50 milioni di EUR) vi ricadono come 'essenziali'. Non vi è alcuna inclusione a prescindere dalla dimensione per i data center.
Si applica la sovrapposizione tedesca KRITIS?
La KRITIS-V fissa una soglia di carico IT di 3,5 MW per i data center in Germania. Il suo superamento rende il sito KRITIS in aggiunta alla NIS2, con obblighi ulteriori (ciclo di audit, standard minimi settoriali). KRITIS non è la condizione di ingresso della NIS2. Un operatore di colocation da 1 MW con 200 dipendenti è dentro la NIS2 ma fuori da KRITIS.
Co-location, hosting e dedicato si qualificano tutti
La definizione dell'articolo 6(31) non distingue tra modelli di erogazione. Che tu affitti rack (co-location), affitti server (hosting gestito) o eserisca una struttura monocliente per un cliente pagante, il servizio è lo stesso in diritto: alloggiamento centralizzato delle apparecchiature informatiche e di rete, più la distribuzione di energia di supporto e il controllo ambientale. Gli obblighi si attaccano al servizio, non all'involucro commerciale.
I data center interni non sono un servizio di data center
Se eserisci un data center puramente per il tuo gruppo, non stai fornendo un servizio di data center nel senso della NIS2. Non c'è alcun servizio verso una parte terza. La struttura può comunque alimentare un altro percorso di scoping (il tuo gruppo può rientrare nell'ambito di applicazione su un settore diverso con i propri asset), ma non ti cattura ai sensi dell'Allegato I settore 8 come fornitore di data center. Il test ruota attorno al fatto che il servizio sia venduto.
BSI / §28 BSIG
Il BSI è l'autorità NIS2 centrale. Registrazione, quadro di gestione del rischio e segnalazione degli incidenti ai sensi della NIS2 passano tutti attraverso il BSI. Il §28 BSIG nomina i fornitori di servizi di data center al di sopra della soglia di media impresa come 'wichtige Einrichtungen' e al di sopra della soglia di grande impresa come 'besonders wichtige Einrichtungen'.
BSI C5 e IT-Grundschutz
Il BSI possiede anche i baseline rilevanti per il settore. Il catalogo C5 (Cloud Computing Compliance Criteria) copre il lato cloud e hosting. I moduli costitutivi IT-Grundschutz INF.1 (edificio generale) e INF.2 (centro di calcolo / sala server) sono il riferimento tedesco di attuazione per i controlli fisici e ambientali che l'articolo 6(31) ingloba nel servizio. Gli auditor si aspettano di vederli mappati nel tuo quadro CIR.
ENISA
ENISA, l'agenzia UE per la cybersicurezza, coordina tra gli Stati membri e pubblica la Technical Implementation Guidance ai sensi della CIR (UE) 2024/2690. I fornitori di servizi di data center sono elencati nominalmente nell'Allegato della CIR, il che significa che parti del regolamento di esecuzione sono direttamente vincolanti per i data center senza necessità di ulteriore trasposizione nazionale.
Autorità nazionali per la cybersicurezza
Ogni Stato membro ha la propria autorità NIS2: NCSC-NL nei Paesi Bassi, ANSSI in Francia, NCSC.AT in Austria, ACN in Italia. La riga dell'Allegato I settore 8 e la definizione dell'articolo 6(31) sono le stesse a livello UE perché la direttiva fissa un'unica soglia minima. Ciò che differisce: presso chi ti registri, quale modulo di incidente usi, e se il Paese sovrappone un regime nazionale di infrastrutture critiche (la Germania ha la KRITIS-V, altri usano soglie diverse).
Eserciamo una sala server per la nostra azienda, quindi siamo un fornitore di data center.
Non sul versante data center. L'articolo 6(31) descrive un servizio. Se il patrimonio IT è esercito solo per il tuo gruppo e non venduto a terzi, non stai fornendo un servizio di data center nel senso della NIS2. Il tuo gruppo può comunque rientrare nell'ambito di applicazione della NIS2 attraverso il proprio settore (manifattura, energia, rifiuti, sanità e così via), ma la riga dei data center dell'Allegato I settore 8 non cattura la sala interna.
Siamo ben al di sotto della soglia KRITIS di 3,5 MW, quindi la NIS2 non si applica.
KRITIS-V e NIS2 sono due regimi con due soglie. La soglia di carico IT di 3,5 MW è la sovrapposizione tedesca KRITIS. La NIS2 ha il proprio test della dimensione ai sensi dell'articolo 2(1): media dimensione non appena superi i 50 dipendenti o i 10 mln EUR di fatturato e totale di bilancio. Un operatore di colocation con 200 dipendenti a 1 MW di carico IT rientra nell'ambito di applicazione della NIS2 ma non in KRITIS. La constatazione di esclusione da KRITIS non è una constatazione di esclusione dalla NIS2.
Facciamo solo co-location, i server sono di proprietà del cliente, quindi non forniamo un servizio di data center.
La co-location è uno dei modelli di erogazione da manuale per il servizio dell'articolo 6(31). La definizione copre strutture destinate all'alloggiamento centralizzato delle apparecchiature informatiche e di rete più la distribuzione di energia e il controllo ambientale. Non richiede che i rack ti appartengano. Vendere spazio rack, energia e raffreddamento è il servizio. L'argomento dei server di proprietà del cliente non cambia la classificazione giuridica.
Un operatore regionale di co-location con 60 dipendenti, due sale e circa 2 MW di carico IT combinato rientra chiaramente nell'ambito di applicazione della NIS2 come 'wichtige Einrichtung'. L'Allegato I settore 8 nomina il settore. L'articolo 6(31) cattura il servizio da capo a fondo, inclusi gli impianti tecnici dell'edificio. Il test della dimensione dell'articolo 2(1) colloca la società al di sopra della soglia di media impresa. La KRITIS-V a 3,5 MW di carico IT non è superata, quindi la sovrapposizione KRITIS non si applica. L'operatore esegue l'intero quadro di gestione del rischio della NIS2 ma non assume il ciclo di audit KRITIS.
Ciò che vediamo nella pratica: il registro dei rischi inizia con gli impianti tecnici dell'edificio (alimentazione di rete, stringhe UPS, autonomia e carburante del generatore, ridondanza del raffreddamento, spegnimento incendi, accesso fisico) e poi vi sovrappone il patrimonio IT e di rete (commutazione core, gabbie clienti, gestione OOB, monitoraggio). Il quadro di gestione del rischio del §2 CIR opera su quell'inventario combinato. Si applica la proporzionalità dell'articolo 21(1), quindi un operatore regionale con 60 dipendenti non attua alla profondità di una regione hyperscale. Lo scaglionamento è messo per iscritto, giustificato dal quadro di rischio e approvato dalla direzione.
Il nostro controllo di applicabilità percorre il percorso data center passo dopo passo. Chiede se vendi il servizio a terzi, come è strutturato il modello di erogazione (co-location, hosting, dedicato), quali sono il tuo organico e il tuo fatturato, e dove ti collochi rispetto alla soglia tedesca KRITIS-V. L'output nomina la riga dell'Allegato I, la classificazione BSIG ('wichtig' o 'besonders wichtig'), e se la sovrapposizione KRITIS si applica in aggiunta.
L'inventario degli asset ti permette di modellare gli impianti tecnici dell'edificio (alimentazione di rete, UPS, generatore, raffreddamento, spegnimento incendi, accesso fisico) e il patrimonio IT e di rete su un'unica lista. Il quadro di gestione del rischio del §2 CIR opera su quell'inventario, così la stessa lista di asset alimenta sia il binario NIS2 sia, se superi 3,5 MW di carico IT, l'audit KRITIS senza doppia manutenzione.
- Direttiva (UE) 2022/2555 (NIS2), Allegato I Settore 8 e Articolo 6(31) definizione di servizio di data center — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), Articolo 2(1) test della dimensione con rinvio alla Raccomandazione 2003/361/CE della Commissione — eur-lex.europa.eu/eli/reco/2003/361/oj
- Regolamento di esecuzione (UE) 2024/2690 (CIR) della Commissione, Allegato (fornitori di servizi di data center elencati nominalmente) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI Act (BSIG), §28 come modificato dal NIS2 Implementation and Cybersecurity Strengthening Act
- KRITIS-Verordnung (BSI-KritisV), settore Informationstechnik und Telekommunikation, soglia di 3,5 MW di carico IT per i data center
- BSI IT-Grundschutz, moduli costitutivi INF.1 (Allgemeines Gebäude) e INF.2 (Rechenzentrum sowie Serverraum); catalogo cloud BSI C5 — bsi.bund.de