Sono un prestatore di servizi fiduciari ai sensi della NIS2?
I prestatori di servizi fiduciari rientrano nell'Allegato I settore 8 della NIS2. I TSP qualificati sono vincolati a prescindere dalla dimensione ai sensi dell'articolo 2(2)(b). I TSP non qualificati seguono il test standard della dimensione dell'articolo 2(1). eIDAS si colloca in parallelo e disciplina il servizio fiduciario stesso.
La versione breve
Un prestatore di servizi fiduciari è chiunque fornisca uno o più servizi fiduciari come definiti all'articolo 3(16) del Regolamento eIDAS (UE) 910/2014: firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, recapiti elettronici certificati, certificati di autenticazione di siti web, o la conservazione di uno qualsiasi di questi. L'Allegato I settore 8 della NIS2 nomina esplicitamente i prestatori di servizi fiduciari come parte dell'Infrastruttura Digitale.
L'articolo 2(2)(b) NIS2 aziona poi una leva che non si applica alla maggior parte degli altri settori. I prestatori di servizi fiduciari qualificati, come definiti all'articolo 3(17) eIDAS, rientrano nell'ambito di applicazione a prescindere dalla dimensione. Un TSP qualificato di due persone che emette certificati qualificati per firme elettroniche è vincolato allo stesso modo di una CA da 500 persone. La soglia di media impresa dell'articolo 2(1) non li condiziona.
I TSP non qualificati seguono il test ordinario della dimensione: almeno 50 dipendenti, oppure oltre 10 milioni di euro di fatturato annuo o di bilancio, li include nell'ambito di applicazione. Al di sotto si collocano fuori dalla NIS2, sebbene l'articolo 19 eIDAS li vincoli comunque con una baseline di sicurezza. In entrambi i casi due regimi corrono in parallelo: eIDAS per il servizio fiduciario stesso, NIS2 per gli obblighi cyber cross-organizzativi (formazione della direzione ai sensi dell'articolo 20, segnalazione di incidenti significativi ai sensi del §32 BSIG, misure di gestione del rischio ai sensi dell'articolo 21).
Direttiva NIS2 (2022/2555), Allegato I settore 8 (Infrastruttura Digitale)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Testuale da GU L 333/146. Il settore 8 è l'Infrastruttura Digitale. I prestatori di servizi fiduciari sono la prima sotto-categoria elencata. L'elenco del settore non distingue i qualificati dai non qualificati; tale distinzione è operata dall'articolo 2(2)(b) e da eIDAS.
Articolo 2(2)(b) NIS2 + Articolo 3(16) e 3(17) eIDAS
Articolo 2(2)(b) NIS2: La presente direttiva si applica inoltre ai soggetti di un tipo di cui all'allegato I o II, a prescindere dalle loro dimensioni, qualora il soggetto sia un prestatore di servizi fiduciari qualificato. Articolo 3(16) eIDAS: per 'servizio fiduciario' si intende un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; o b) creazione, verifica e convalida di certificati di autenticazione di siti web; o c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi. Articolo 3(17): per 'servizio fiduciario qualificato' si intende un servizio fiduciario che soddisfa i requisiti applicabili stabiliti nel presente regolamento.
Due definizioni impilate. L'articolo 3(16) eIDAS ti dice cosa conti come servizio fiduciario. L'articolo 3(17) ti dice quando uno è qualificato (soddisfa i requisiti dell'Allegato eIDAS ed è iscritto nell'elenco di fiducia nazionale). L'articolo 2(2)(b) NIS2 dice poi: se sei qualificato, rientri nella NIS2 a prescindere da organico o fatturato.
§28 BSIG + Vertrauensdienstegesetz (Germania)
Il §28 BSIG traspone l'ambito di applicazione dell'Allegato I nel diritto tedesco e cattura esplicitamente i prestatori di servizi fiduciari qualificati come 'besonders wichtige Einrichtungen' a prescindere dalla dimensione. Il Vertrauensdienstegesetz (VDG) è la legge nazionale di accompagnamento al Regolamento eIDAS; designa la Bundesnetzagentur come organismo di vigilanza per i servizi fiduciari e gestisce l'elenco di fiducia tedesco.
Il Regolamento eIDAS si applica direttamente senza trasposizione tedesca. Il VDG aggiunge soltanto l'apparato di vigilanza. La NIS2 si colloca separatamente sopra entrambi: il §28 BSIG colloca i TSP qualificati nel livello più alto (besonders wichtige Einrichtung), a prescindere dalla dimensione, con il BSI come regolatore cyber.
Fornisci un servizio fiduciario?
Confronta la tua offerta con l'articolo 3(16) eIDAS. L'elenco chiuso è: firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato, certificati di autenticazione di siti web, e la conservazione di uno qualsiasi di questi. Il servizio è fornito normalmente dietro remunerazione. Se la tua offerta non rientra in nessuna di queste categorie, non sei un TSP ai sensi di eIDAS, per quanta crittografia tu metta in campo.
Sei il prestatore o soltanto un utente?
Un TSP emette o esercisce il servizio fiduciario per conto di altri. Un'azienda che firma le proprie fatture con un servizio esterno di firma qualificata è un utente di quel servizio, non un TSP. Una società di consulenza che aiuta un cliente a implementare flussi di firma è anch'essa un utente. Lo status di prestatore dipende dal fatto che tu crei, convalidi, recapiti o conservi il servizio fiduciario stesso, per conto di qualcun altro, dietro remunerazione.
Qualificato o non qualificato?
Verifica l'elenco di fiducia nazionale (in Germania: l'elenco di fiducia della Bundesnetzagentur ai sensi del VDG). Se vi sei iscritto come prestatore qualificato, l'articolo 2(2)(b) NIS2 ti vincola a prescindere dalla dimensione. Se non sei iscritto, sei non qualificato e si applica il test standard della dimensione dell'articolo 2(1): media impresa o più grande. I TSP qualificati di due o tre persone sono comuni in questo settore, e rientrano tutti nell'ambito di applicazione.
Qualificato significa a prescindere dalla dimensione
L'articolo 2(2)(b) NIS2 è una delle sette deroghe a prescindere dalla dimensione presenti nella direttiva. I servizi fiduciari sono finiti nell'elenco perché il danno derivante da un certificato qualificato compromesso è strutturale: ogni firma, sigillo o validazione temporale emessa sotto di esso perde efficacia giuridica. La dimensione del prestatore non ha alcun rilievo sull'entità del danno a valle. Una CA di due persone può spezzare l'intera catena di firme di uno Stato membro. È per questo che il test della dimensione è disattivato.
I TSP qualificati gestiscono due regimi paralleli
L'articolo 19 eIDAS vincola la sicurezza del servizio fiduciario stesso, con audit ogni 24 mesi ai sensi dell'articolo 24 per i TSP qualificati. La NIS2 aggiunge gli obblighi cyber cross-organizzativi: formazione della direzione ai sensi dell'articolo 20, misure di gestione del rischio ai sensi dell'articolo 21, segnalazione di incidenti significativi ai sensi dell'articolo 23. L'articolo 4 NIS2 non disattiva qui la NIS2. Entrambi i regimi si applicano integralmente. L'organismo di vigilanza eIDAS e l'autorità competente NIS2 possono essere diversi (in Germania: Bundesnetzagentur per eIDAS, BSI per NIS2).
BSI / §28 BSIG (lato NIS2)
Il BSI è l'autorità competente NIS2. Gestisce il portale di registrazione del §33 BSIG, riceve le notifiche di incidenti significativi del §32 BSIG, e vigila sulle misure di gestione del rischio del §30 BSIG. I TSP qualificati ricadono nel livello 'besonders wichtige Einrichtung' attraverso il §28 BSIG, il che comporta una vigilanza più stringente e gli stessi termini di segnalazione degli incidenti degli operatori KRITIS.
Bundesnetzagentur (lato eIDAS)
La Bundesnetzagentur è l'organismo di vigilanza per i servizi fiduciari ai sensi del Vertrauensdienstegesetz. Gestisce l'elenco di fiducia tedesco, accredita lo status qualificato, riceve le relazioni di valutazione della conformità ai sensi dell'articolo 20 eIDAS, e cura il ciclo di audit di 24 mesi ai sensi dell'articolo 24. Quando un incidente è sia un incidente significativo del §32 BSIG sia una violazione dell'articolo 19(2) eIDAS, segnali entrambi, a entrambe le autorità.
ENISA Technical Implementation Guidance + lavori sull'EUDI Wallet
ENISA pubblica la guida tecnica per i servizi fiduciari ai sensi dell'articolo 19 eIDAS e redige la baseline di cybersicurezza che confluisce nelle aspettative dei vigilanti nazionali. Lo stesso organismo sta ora redigendo il pacchetto di lavoro sui servizi fiduciari per il portafoglio europeo di identità digitale (European Digital Identity Wallet), che estende il perimetro dei TSP qualificati a partire dal 2026.
Leggi nazionali di trasposizione
eIDAS è un Regolamento, quindi le regole sui servizi fiduciari sono uniformi in tutta l'UE. La NIS2 è una Direttiva, quindi ciascuno Stato membro la traspone: i Paesi Bassi tramite la Cyberbeveiligingswet, l'AT tramite il NISG, la FR tramite l'Ordonnance 2024-1093. L'Allegato I settore 8 e la regola dell'articolo 2(2)(b) a prescindere dalla dimensione sono identici in tutti. L'autorità competente per il lato NIS2 differisce da Paese a Paese.
I servizi fiduciari non qualificati sono fuori dalla NIS2.
Errato. I TSP non qualificati rientrano comunque nell'Allegato I settore 8. Non ottengono l'innalzamento a prescindere dalla dimensione dell'articolo 2(2)(b), quindi decide il test standard dell'articolo 2(1). Un prestatore di validazioni temporali non qualificato con 60 dipendenti rientra pienamente nella NIS2 come soggetto importante. Solo lo status di qualificazione cambia se si applica il test della dimensione, non se si applica il settore.
eIDAS copre già la cybersicurezza, quindi la NIS2 non aggiunge nulla.
L'articolo 19 eIDAS fissa la baseline di sicurezza per il servizio fiduciario. Gli articoli 20, 21 e 23 NIS2 aggiungono obblighi cross-organizzativi: formazione dell'organo di direzione, l'intero catalogo di gestione del rischio dalla crittografia alla catena di approvvigionamento, e la segnalazione di incidenti significativi ai sensi del §32 BSIG con un preallarme di 24 ore. La lex specialis dell'articolo 4 NIS2 non disattiva la NIS2 per i servizi fiduciari. Due regimi paralleli, nessuno dei due sostituisce l'altro.
Siamo troppo piccoli per la NIS2.
Se sei un TSP qualificato, la dimensione è la domanda sbagliata. L'articolo 2(2)(b) ti include a prescindere da organico, fatturato o bilancio. Un'autorità di certificazione qualificata di due persone è nello stesso livello NIS2 di una CA multinazionale. Il motivo è a valle: ogni firma emessa sotto un certificato qualificato compromesso perde la propria efficacia giuridica, a prescindere da chi l'abbia emessa.
Caso tipico: un TSP qualificato di 12 persone che emette certificati qualificati per firme elettroniche, con un ciclo di valutazione della conformità eIDAS di 24 mesi e un'iscrizione nell'elenco di fiducia nazionale tramite la Bundesnetzagentur. L'ambito di applicazione NIS2 è automatico attraverso l'articolo 2(2)(b). Il §28 BSIG colloca la società nel livello 'besonders wichtige Einrichtung'. Due regolatori, due canali di segnalazione, un'unica società.
Ciò che i professionisti fanno effettivamente: prendono le evidenze di audit dell'articolo 24 eIDAS e le riutilizzano per i pertinenti controlli dell'articolo 21 NIS2 (crittografia, controllo degli accessi, trattamento degli incidenti, continuità operativa). Eseguono la registrazione del §33 BSIG presso il BSI. Aggiungono gli elementi che eIDAS non copre: la formazione della direzione dell'articolo 20, il rischio fornitori dell'articolo 21(2)(d), il canale per incidenti significativi del §32 BSIG. I due regimi si sovrappongono su crittografia e risposta agli incidenti; tutto il resto è aggiuntivo.
Il controllo di applicabilità identifica i TSP qualificati attraverso l'articolo 2(2)(b) e disattiva automaticamente il test della dimensione. L'output è una Anwendbarkeitsprüfung scritta che cita l'Allegato I settore 8 e l'articolo 2(2)(b), firmata dall'organo di direzione e ancorata per versione al testo della direttiva.
Il catalogo dei controlli rispecchia la realtà dei due regimi. I controlli dell'articolo 19 eIDAS sono etichettati così da poter allegare la relazione di valutazione della conformità più recente una sola volta e farla valere a fronte delle pertinenti misure dell'articolo 21 NIS2. Il registro fornitori segnala eventuali sub-fornitori che siano essi stessi TSP, così che gli obblighi sulla catena di approvvigionamento dell'articolo 21(2)(d) restino tracciabili.
- Direttiva (UE) 2022/2555 (NIS2), Allegato I settore 8 e Articolo 2(2)(b) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento (UE) 910/2014 (eIDAS), Articolo 3(16), Articolo 3(17), Articolo 19, Articolo 24 — eur-lex.europa.eu/eli/reg/2014/910/oj
- BSI Act (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) e §33 (Registrierung) come modificato dal NIS2 Implementation and Cybersecurity Strengthening Act
- Vertrauensdienstegesetz (VDG) — gesetze-im-internet.de/vdg
- Elenco di fiducia tedesco della Bundesnetzagentur ai sensi dell'articolo 22 eIDAS
- ENISA Technical Implementation Guidance per i servizi fiduciari ai sensi dell'articolo 19 eIDAS — enisa.europa.eu