Sono un fornitore di telecomunicazioni ai sensi di NIS 2?
NIS 2 elenca le telecomunicazioni nell'Allegato I settore 8 (Infrastrutture digitali). L'articolo 2(2)(a) elimina poi la soglia dimensionale, così gli obblighi si applicano a ogni fornitore rivolto al pubblico, grande o piccolo. Le definizioni provengono dal Codice europeo delle comunicazioni elettroniche, non dall'uso colloquiale.
La versione breve
Se gestite una rete pubblica di comunicazione elettronica, o se fornite un servizio di comunicazione elettronica accessibile al pubblico, rientrate nell'ambito di NIS 2. L'Allegato I settore 8 vi nomina direttamente sotto Infrastrutture digitali.
L'articolo 2(2)(a) della direttiva rimuove poi la normale soglia dimensionale per le telecomunicazioni. Non importa se avete 5 dipendenti o 500. È il ruolo di servizio pubblico a far scattare l'obbligo, non il numero di addetti. Un piccolo ISP regionale, un piccolo rivenditore VoIP e un operatore mobile nazionale rientrano tutti nell'ambito sulla stessa base.
La Germania trasferisce ciò nel diritto nazionale attraverso il §28 BSIG insieme alla Telekommunikationsgesetz (TKG). Alcuni obblighi operativi passano attraverso la Bundesnetzagentur (BNetzA), non direttamente attraverso il BSI. Questa pagina percorre la direttiva, le definizioni settoriali dell'UE e il recepimento tedesco in quest'ordine.
Direttiva NIS 2 (2022/2555), Allegato I Settore 8 e Art. 2(2)(a)
Settore 8 Infrastrutture digitali: fornitori di reti pubbliche di comunicazione elettronica; fornitori di servizi di comunicazione elettronica accessibili al pubblico. La presente direttiva si applica inoltre ai soggetti, indipendentemente dalle loro dimensioni, che rientrano in uno qualsiasi dei seguenti criteri: (a) fornitori di reti pubbliche di comunicazione elettronica o fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Due elementi vanno letti insieme. L'Allegato I settore 8 nomina le telecomunicazioni come infrastruttura essenziale. L'articolo 2(2)(a) crea poi un'inclusione indipendente dalle dimensioni per gli stessi fornitori di telecomunicazioni. La normale soglia per le medie imprese (50 dipendenti o 10 milioni di EUR di fatturato) non si applica qui.
Direttiva (UE) 2018/1972 (Codice europeo delle comunicazioni elettroniche), Art. 2
Per 'rete pubblica di comunicazione elettronica' si intende una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico. Per 'servizio di comunicazione elettronica accessibile al pubblico' si intende un servizio normalmente fornito a pagamento tramite reti di comunicazione elettronica, che comprende il servizio di accesso a internet, il servizio di comunicazione interpersonale e i servizi consistenti interamente o prevalentemente nella trasmissione di segnali.
NIS 2 non ridefinisce questi termini. Li mutua dal Codice europeo delle comunicazioni elettroniche (EECC). 'Accessibile al pubblico' è la parola chiave: un servizio che vendete al pubblico generale conta, un VoIP aziendale interno che gestite solo per il vostro personale no.
§28 BSIG e la Telekommunikationsgesetz (TKG), Germania
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
La Germania recepisce gli obblighi sulle telecomunicazioni attraverso il §28 BSIG in combinazione con la TKG. Il BSI è l'autorità centrale NIS 2, ma la Bundesnetzagentur (BNetzA) gestisce la regolamentazione operativa di settore per i fornitori di telecomunicazioni (misure di sicurezza ai sensi del precedente §109 TKG, notifiche di incidenti, registrazione dei servizi). Aspettatevi di avere a che fare con entrambe.
Gestite una rete pubblica?
Una rete pubblica di comunicazione elettronica è una rete utilizzata interamente o prevalentemente per fornire servizi al pubblico: fibra, cavo, mobile, satellite, accesso fisso senza fili. Se gestite il trasporto sottostante per i clienti di qualcun altro, rientrate nell'ambito sul versante dell'operatore di rete.
Fornite un servizio pubblico?
Un servizio di comunicazione elettronica accessibile al pubblico è un servizio che vendete al pubblico: accesso a internet (ISP), comunicazione interpersonale (telefono, SMS, email, VoIP, messaggistica) o pura trasmissione di segnali. Rivendere la rete di qualcun altro con il proprio marchio conta.
Le dimensioni non vi tirano fuori
L'art. 2(2)(a) rimuove la normale soglia di 50 dipendenti / 10 milioni di EUR per le telecomunicazioni. Un ISP regionale in fibra di 5 persone e un piccolo rivenditore di telefonia IP rientrano nell'ambito sulla stessa base giuridica di Deutsche Telekom. Non esiste alcuna esenzione per le piccole imprese in questo settore.
Inclusione indipendente dalle dimensioni (art. 2(2)(a))
Per la maggior parte dei settori NIS 2, rientrate nell'ambito solo se superate la soglia per le medie imprese. Le telecomunicazioni sono una delle eccezioni. La direttiva si applica esplicitamente indipendentemente dalle dimensioni perché il ruolo stesso di servizio pubblico crea una dipendenza per la società. Piccolo non significa fuori.
Le definizioni sono quelle dell'EECC
Cosa conti come servizio 'accessibile al pubblico' è il test giuridico del Codice europeo delle comunicazioni elettroniche, non quello colloquiale. Un servizio che vendete al pubblico è dentro. Una rete o un servizio che gestite solo per la vostra organizzazione, o solo come gruppo chiuso di utenti, di norma non lo è. In caso di dubbio, le definizioni dell'EECC, i considerando e la guida del regolatore nazionale sono il riferimento.
BSI / §28 BSIG
Il BSI è l'autorità centrale NIS 2. Registrazione, framework di gestione del rischio, segnalazione degli incidenti ai sensi di NIS 2 passano tutti attraverso il BSI. Per le telecomunicazioni, il §28 BSIG nomina gli operatori di reti pubbliche e i fornitori di servizi pubblici direttamente come 'besonders wichtige Einrichtungen', indipendentemente dalle dimensioni.
Bundesnetzagentur (BNetzA) / TKG
La BNetzA è il regolatore di settore per le telecomunicazioni. Gestisce gli obblighi operativi della TKG (sicurezza delle reti e dei servizi, notifica degli incidenti sul binario delle telecomunicazioni, registrazione dei servizi). NIS 2 si sovrappone al regime TKG esistente, non lo sostituisce. La maggior parte dei fornitori di telecomunicazioni segnala attraverso entrambi i canali.
ENISA
ENISA, l'agenzia dell'UE per la cibersicurezza, coordina tra gli Stati membri e pubblica la Technical Implementation Guidance ai sensi del CIR (UE) 2024/2690. Gli operatori di reti pubbliche e i fornitori di servizi pubblici sono elencati nell'Allegato del CIR, il che significa che parti del CIR sono direttamente vincolanti per i fornitori di telecomunicazioni senza bisogno di ulteriore recepimento nazionale.
Regolatori nazionali delle telecomunicazioni
Ogni Stato membro ha il proprio regolatore delle telecomunicazioni che gestisce questo livello: ACM nei Paesi Bassi, ARCEP in Francia, RTR in Austria, AGCOM in Italia. L'obbligo NIS 2 è lo stesso in tutta l'UE perché la direttiva fissa un'unica soglia minima. Ciò che differisce: con chi vi registrate, quale modulo per gli incidenti usate e come l'equivalente del BSI e il regolatore delle telecomunicazioni si dividono il compito.
Abbiamo solo 5 dipendenti, quindi la soglia dimensionale ci tira fuori.
Non per le telecomunicazioni. L'art. 2(2)(a) di NIS 2 elenca gli operatori di reti pubbliche e i fornitori di servizi pubblici come categoria indipendente dalle dimensioni. La soglia di 50 dipendenti / 10 milioni di EUR che filtra la maggior parte degli altri settori non si applica qui. Un ISP regionale di 5 persone rientra nell'ambito di NIS 2 sullo stesso piano di un operatore nazionale.
Non siamo un MSP, quindi il settore 8 non ci cattura.
Settore diverso, test diverso. I fornitori di servizi gestiti rientrano nell'Allegato I settore 8 sotto 'gestione di servizi TIC (B2B)' e seguono effettivamente la soglia dimensionale. Gli operatori di reti pubbliche e i fornitori di servizi pubblici sono una riga separata nello stesso settore con le proprie definizioni dall'EECC, più la regola dell'indipendenza dalle dimensioni dell'art. 2(2)(a). Leggete entrambe le righe.
Gestiamo una rete per il nostro gruppo aziendale, quindi rientriamo nell'ambito come fornitore di telecomunicazioni.
Di solito no, sul versante delle telecomunicazioni. Il test dell'EECC ruota attorno a 'accessibile al pubblico'. Una rete aziendale privata usata solo dalla vostra organizzazione o da un gruppo chiuso di utenti è generalmente fuori dalle definizioni dell'EECC e quindi fuori dall'Allegato I settore 8 per le telecomunicazioni. Potreste comunque rientrare in NIS 2 in un altro settore o come soggetto nell'ambito, ma non come fornitore di telecomunicazioni.
Un piccolo ISP regionale in fibra con 8 dipendenti rientra inequivocabilmente nell'ambito di NIS 2. L'Allegato I settore 8 nomina gli operatori di reti pubbliche e i fornitori di servizi pubblici; l'art. 2(2)(a) elimina la soglia dimensionale; il test dell'EECC per 'accessibile al pubblico' è soddisfatto perché il servizio è venduto al pubblico generale. La stessa logica cattura un piccolo rivenditore di telefonia IP che serve clienti pubblici. Non esiste alcuna lettura onesta del testo che tiri fuori l'uno o l'altro.
Ciò che vediamo nella pratica: l'operatore redige un framework di gestione del rischio ai sensi del §2.1 attorno ai servizi rivolti al pubblico e all'infrastruttura di supporto (rete di trasporto, core routing, nodi di accesso, OSS/BSS, autenticazione dei clienti). La proporzionalità dell'art. 21(1) si applica, quindi un ISP di 8 persone non attua alla profondità di un operatore di primo livello. La gradualità deve essere messa per iscritto, giustificata dal quadro di rischio e approvata dall'organo di gestione. Gli obblighi TKG della BNetzA corrono in parallelo e alimentano lo stesso registro dei rischi.
Il nostro controllo di applicabilità percorre passo dopo passo le definizioni dell'EECC. Chiede cosa gestite, a chi vendete e se il servizio sia 'accessibile al pubblico' nel senso dell'EECC. L'output vi dice quale riga dell'Allegato si applica, se l'art. 2(2)(a) vi cattura indipendentemente dalle dimensioni e con quale autorità nazionale (BSI o BNetzA in Germania, equivalente del BSI o regolatore delle telecomunicazioni altrove) parlare per prima.
Il modulo asset copre il lato rete (trasporto, core, accesso, OSS/BSS) e il lato rivolto al servizio (gestione degli abbonati, autenticazione, piattaforme voce e messaggistica) in un unico inventario. Il framework di gestione del rischio del §2 CIR gira poi su quell'inventario, così la stessa lista di asset alimenta sia il binario BSIG / NIS 2 sia il binario TKG senza doppia manutenzione.
- Direttiva (UE) 2022/2555 (NIS 2), Allegato I Settore 8 e Articolo 2(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2018/1972 (Codice europeo delle comunicazioni elettroniche), definizioni dell'Articolo 2 — eur-lex.europa.eu/eli/dir/2018/1972/oj
- BSI-Gesetz (BSIG), §28 come modificato dalla NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- Telekommunikationsgesetz (TKG), §165 ss. (sicurezza delle reti e dei servizi)
- Bundesnetzagentur, guida settoriale sugli obblighi di sicurezza e segnalazione TKG — bundesnetzagentur.de
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato (copre DNS, TLD, cloud, data center, MSP e altre categorie del settore 8) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj