Siamo un Managed Service Provider ai sensi della NIS2?
La NIS2 ha aggiunto gli MSP come nuovo settore che non esisteva nella NIS 1. Se eserciti da remoto l'IT del cliente, rientri molto probabilmente nell'ambito di applicazione. L'Allegato I settore 9 nomina l'attività. L'articolo 6(39) definisce cosa conta. Il test della dimensione si applica comunque, con un'unica eccezione ristretta che non copre la maggior parte degli MSP.
La versione breve
La NIS 1 non aveva affatto gli MSP come categoria. La direttiva del 2022 li ha aggiunti. L'Allegato I settore 9 elenca la gestione di servizi ICT su base business-to-business, e l'articolo 6(39) fornisce la definizione giuridica: un soggetto che fornisce servizi connessi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni ICT o di qualsiasi altro sistema informatico e di rete, mediante assistenza o gestione attiva svolta presso le sedi dei clienti o da remoto. Se questo ti descrive, sei molto probabilmente un MSP nell'ambito di applicazione.
MSP e MSSP sono due categorie distinte. L'articolo 6(39) definisce l'MSP. L'articolo 6(40) definisce l'MSSP come un managed service provider che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cybersicurezza. Entrambi rientrano nell'Allegato I settore 9. Un soggetto può essere entrambi contemporaneamente. La maggior parte delle case di servizi IT generali sono MSP e non MSSP. Un puro SOC o uno studio di pen test è un MSSP.
Il test della dimensione si applica comunque. La NIS2 si applica di norma alle medie imprese e a quelle più grandi: almeno 50 dipendenti, oppure più di 10 milioni di euro di fatturato e di bilancio, ai sensi dell'articolo 2(1) e della Raccomandazione 2003/361/CE. L'articolo 2(2)(g) ritaglia un insieme ristretto di settori in cui la dimensione non condiziona l'ambito di applicazione, ma tale deroga riguarda i DNS, i registri dei TLD, i prestatori di servizi fiduciari qualificati e pochi altri tipi di infrastruttura digitale. Non attrae i piccoli MSP indipendentemente dalla dimensione. Un piccolo MSP al di sotto del test della dimensione è fuori dall'ambito di applicazione della NIS2.
Direttiva NIS2 (2022/2555), Allegato I settore 9
Gestione di servizi ICT (business-to-business): fornitori di servizi gestiti; fornitori di servizi di sicurezza gestiti.
La NIS 1 non conteneva affatto questo settore. La NIS2 lo ha introdotto come nuova categoria, che è una delle maggiori espansioni pratiche dell'ambito di applicazione nella direttiva. Sia gli MSP sia gli MSSP rientrano nello stesso contenitore dell'Allegato I settore 9. La qualifica 'business-to-business' conta: servire i consumatori non è coperto dal settore 9, servire altre imprese sì.
Articolo 6(39) Direttiva NIS2 (definizione di MSP)
Per managed service provider si intende un soggetto che fornisce servizi connessi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni ICT o di qualsiasi altro sistema informatico e di rete, mediante assistenza o gestione attiva svolta presso le sedi dei clienti o da remoto.
L'articolo 6(40) aggiunge la definizione di MSSP: un managed service provider che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cybersicurezza. La direttiva sceglie i verbi deliberatamente: installazione, gestione, funzionamento, manutenzione, gestione attiva. Vendere un prodotto senza un funzionamento continuativo non soddisfa la definizione. Un help desk che reimposta le password senza esercire i sistemi non la soddisfa nemmeno.
§28 BSIG (Germania), Anlage 1 settore 'Digitale Infrastruktur'
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Il §28 BSIG insieme all'Anlage 1 del BSIG nomina esplicitamente gli 'Anbieter von verwalteten Diensten' (MSP) e gli 'Anbieter von verwalteten Sicherheitsdiensten' (MSSP) sotto il Sektor Digitale Infrastruktur, che corrisponde all'Allegato I settore 9 della NIS2. La FAQ settoriale del BSI aggiunge un chiarimento operativo utile: il puro web hosting non ti rende un MSP, e nemmeno una consegna progettuale una tantum. Ciò che conta è la gestione attiva continuativa.
Eserciti attivamente l'IT del cliente?
L'articolo 6(39) elenca i verbi che contano: installazione, gestione, funzionamento, manutenzione, gestione attiva. Svolta presso le sedi del cliente o da remoto. Il rapporto con il cliente deve essere continuativo, non un'installazione una tantum. Il puro web hosting senza gestione è escluso. Vendere una licenza software e andarsene è escluso. Gestire un firewall gestito, applicare le patch ai server del cliente, esercire il loro tenant Microsoft 365, gestire endpoint da remoto: tutto incluso.
Sei una media impresa o più grande?
Articolo 2(1) più Raccomandazione 2003/361/CE: almeno 50 dipendenti, oppure più di 10 milioni di euro di fatturato e di bilancio. Applica il test al soggetto giuridico. L'articolo 2(2)(g) elenca deroghe settoriali ristrette in cui la dimensione non condiziona l'ambito di applicazione, ma l'MSP non figura in tale elenco di deroghe. La deroga si applica ai fornitori di servizi DNS, ai registri dei nomi di dominio di primo livello (TLD), ai prestatori di servizi fiduciari qualificati e a pochi altri tipi di infrastruttura digitale. Un piccolo MSP al di sotto del test della dimensione è fuori dall'ambito di applicazione, punto e basta.
Fornisci anche servizi di sicurezza?
L'articolo 6(40) definisce l'MSSP come un managed service provider che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cybersicurezza. Un SOC, un servizio gestito di rilevamento e risposta, un'attività di penetration testing con supporto continuativo alla remediation, un servizio di gestione delle vulnerabilità: queste sono attività da MSSP. Una casa di servizi IT generale che esercisce server ed endpoint è un MSP. Una casa che esercisce in aggiunta lo stack di sicurezza è entrambi. L'Allegato I tratta entrambi come 'wichtige Einrichtung' ai sensi del §28(2) BSIG per impostazione predefinita.
'Gestito' è un'ampia lista di verbi, non un'etichetta di marketing
Alcuni soggetti non si definiscono MSP e soddisfano comunque la definizione. Altri si definiscono MSP e non la soddisfano. Il test giuridico è la lista di verbi nell'articolo 6(39): installazione, gestione, funzionamento, manutenzione, gestione attiva di prodotti, reti, infrastrutture, applicazioni o sistemi ICT per conto di terzi. Se questi verbi descrivono ciò che fai su base ricorrente, sei un MSP ai sensi della NIS2, che il tuo sito web lo dica o no.
Il tuo IT interno non ti rende un MSP
Gestire l'IT per te stesso non è un servizio gestito. Il cliente deve essere qualcun altro. I reparti IT interni che servono il proprio datore di lavoro non rientrano nell'ambito di applicazione come MSP. Una società di servizi separata all'interno di un gruppo che esercisce l'IT per i soggetti consociati è una questione diversa e di norma conta, perché i consociati sono parti giuridicamente distinte. Vedi la pagina sull'IT di gruppo per questo caso.
BSI / §28 BSIG e Anlage 1
Il BSI è l'autorità cyber per gli MSP in Germania. L'Anlage 1 del BSIG elenca gli 'Anbieter von verwalteten Diensten' e gli 'Anbieter von verwalteten Sicherheitsdiensten' sotto Digitale Infrastruktur, che corrisponde direttamente all'Allegato I settore 9 della NIS2. La FAQ settoriale del BSI ha il testo operativo più utile: il puro web hosting non è MSP, un progetto una tantum non è MSP, la gestione attiva continuativa lo è. Il portale di registrazione del §33 BSIG è il luogo in cui si registrano gli MSP al di sopra del test della dimensione.
ENISA Technical Implementation Guidance
La TIG di ENISA copre le attività di MSP e MSSP nel capitolo dell'Allegato I settore 9 e mappa i controlli dell'articolo 21 sulle operazioni che un MSP tipico svolge. La tabella di mappatura della TIG effettua il cross-walk con ISO 27001, NIST CSF 2.0 ed ETSI 319 401, quindi gli MSP che già gestiscono un ISMS o un'operatività allineata a ETSI possono riutilizzare il grosso di quel lavoro.
MSP in NL, AT, BE e nel resto
L'articolo 6 della direttiva è un unico insieme di definizioni per l'intera UE. Le altre trasposizioni copiano la formulazione: l'Austria tramite NISG, i Paesi Bassi tramite Cyberbeveiligingswet, il Belgio tramite NIS2-Wet. Un MSP che serve clienti oltre frontiera rientra nell'ambito di applicazione ovunque abbia uno stabilimento, e si registra in ciascuno Stato membro in cui fornisce il servizio. La definizione sostanziale non cambia da un Paese all'altro.
Rispondiamo solo ai ticket, non stiamo davvero gestendo i sistemi del cliente.
Se i ticket comportano l'installazione, la configurazione, l'applicazione di patch o il funzionamento di sistemi del cliente su base continuativa, questa è gestione attiva ai sensi dell'articolo 6(39). Reattivo non significa fuori dall'ambito di applicazione. Un help desk che reimposta soltanto le password senza toccare i sistemi sottostanti è un'eccezione ristretta. Un help desk che applica le patch a Windows, riavvia servizi o distribuisce configurazioni agli endpoint sta fornendo servizi gestiti.
Siamo troppo piccoli per rientrare, la deroga ci attrae comunque.
L'articolo 2(2)(g) non attrae i piccoli MSP indipendentemente dalla dimensione. La deroga si applica ai fornitori di servizi DNS, ai registri dei nomi di dominio di primo livello (TLD), ai prestatori di servizi fiduciari qualificati, ai fornitori di reti e servizi pubblici di comunicazione elettronica e a pochi altri tipi di infrastruttura digitale. Gli MSP non figurano in tale elenco. Un piccolo MSP al di sotto del test della dimensione (meno di 50 dipendenti e non oltre le soglie di fatturato e di bilancio) è fuori dall'ambito di applicazione della NIS2 stessa, anche se i contratti con i clienti possono comunque richiedere di dimostrare i controlli dell'articolo 21 in virtù della clausola sulla catena di approvvigionamento.
Serviamo soltanto il nostro gruppo, quindi siamo un reparto IT interno.
Se i soggetti che servi sono giuridicamente distinti dalla tua società di servizi, anche all'interno dello stesso gruppo, si tratta di servizi a parti terze ai sensi dell'articolo 6(39). Una GmbH centrale di servizi IT che esercisce l'infrastruttura per le GmbH consociate è un MSP nella lettura della NIS2. La pagina separata sull'IT di gruppo analizza questo caso in maggiore dettaglio.
Un tipico MSP di fascia media con 70 dipendenti, circa 80 clienti PMI e un mix di servizi composto da endpoint gestiti, amministrazione di Microsoft 365, firewall gestiti e gestione delle patch per i server dei clienti si colloca inequivocabilmente nell'ambito di applicazione della NIS2. L'Allegato I settore 9 cattura l'attività. L'articolo 6(39) cattura i verbi. Il test della dimensione è ampiamente superato con 70 dipendenti. La classificazione predefinita ai sensi del §28(2) BSIG è 'wichtige Einrichtung'.
Il registro dei rischi del §30 deve coprire l'infrastruttura di gestione che tocca i sistemi del cliente: gli strumenti RMM, i jump host, lo stack SOC se ne eserciti uno, lo stack di accesso privilegiato. La cascata di segnalazione degli incidenti del §32 si applica quando un incidente colpisce la tua stessa infrastruttura o, per estensione, i clienti che amministri. La registrazione del §33 è un'unica presentazione presso il BSI per l'intero soggetto giuridico. I contratti con i clienti devono poi contenere clausole ai sensi dell'articolo 21(2)(d) che puntano agli stessi controlli, ed è qui che la conformità della catena di approvvigionamento incontra la conformità dell'MSP.
Il controllo di applicabilità guida gli MSP attraverso il caso dell'Allegato I settore 9 in modo esplicito. Spunti i verbi di servizio che svolgi, la piattaforma applica il test della dimensione e ti dice in quale categoria del §28 BSIG ti collochi. Se eserciti anche servizi di sicurezza, offre il ramo MSSP in parallelo senza costringerti a scegliere l'uno o l'altro.
Il portale fornitori gestisce l'altro lato del contratto. Ai clienti che acquistano da te servizi gestiti può essere fornito un questionario strutturato e un riepilogo pubblicato dei controlli dell'articolo 21, così che un'unica evidenza copra tutte le clausole contrattuali che altrimenti invieresti in PDF a ciascun cliente separatamente.
- Direttiva (UE) 2022/2555 (NIS2), Allegato I settore 9 (gestione di servizi ICT B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), Articolo 6(39) (definizione di managed service provider) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), Articolo 6(40) (definizione di managed security service provider) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), Articolo 2(1) e Articolo 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese
- BSI Act (BSIG), §28 e Anlage 1 settore Digitale Infrastruktur, come modificato dal NIS2 Implementation and Cybersecurity Strengthening Act
- FAQ settoriale del BSI sull'Anlage 1 Nr. 6.1.10 (Managed Services Provider) — bsi.bund.de