Le società IT di gruppo come fornitori di servizi gestiti ai sensi di NIS 2
Quando l'IT centrale del tuo gruppo serve le controllate, quella società IT può rientrare autonomamente nell'ambito di NIS 2. L'allegato I settore 9 (gestione dei servizi TIC, business-to-business) nomina MSP e MSSP. L'articolo 6(40) e (41) li definisce. I professionisti tedeschi hanno iniziato ad applicare questo alle strutture di gruppo.
La versione breve
Molti gruppi tedeschi ed europei accorpano la loro IT in un unico dipartimento centrale o in un'unica società di servizi che gestisce infrastruttura, applicazioni e sicurezza per il resto del gruppo. La domanda NIS 2 è se quella società IT stessa conti come fornitore di servizi gestiti (MSP), separatamente da ciò che fanno la capogruppo o le controllate.
Questo conta perché MSP e MSSP rientrano nell'allegato I settore 9 della direttiva (gestione dei servizi TIC, business-to-business). Se ti collochi lì come MSP o MSSP e raggiungi la soglia dimensionale della media impresa, sei un soggetto importante. Autonomamente. Con una tua registrazione, una tua gestione dei rischi e un tuo obbligo di notifica degli incidenti. Far parte di un gruppo non assorbe nulla di tutto ciò.
La pagina sviluppa tre livelli. Primo, cosa dice effettivamente la direttiva nell'allegato I settore 9 e nell'articolo 6(40) e (41). Secondo, un test in tre parti che ti dice se una società IT di gruppo rientra nell'ambito. Terzo, la lettura della prassi tedesca e le letture errate che sentiamo più spesso.
Allegato I settore 9 direttiva NIS 2 (2022/2555)
Gestione dei servizi TIC (business-to-business): fornitori di servizi gestiti; fornitori di servizi di sicurezza gestiti.
L'allegato I settore 9 ('Verwaltung von IKT-Diensten, Business-to-Business' nel testo tedesco) nomina MSP e MSSP come tipi di soggetto rientranti nell'ambito. Si collocano in un settore proprio, separato dall'allegato I settore 8 (infrastrutture digitali: cloud, data center, DNS, CDN, servizi fiduciari).
Articolo 6(40) e 6(41) direttiva NIS 2
Per fornitore di servizi gestiti si intende un soggetto che fornisce servizi connessi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti TIC, reti, infrastrutture, applicazioni o di qualsiasi altro sistema informatico e di rete, mediante assistenza o amministrazione attiva svolta nei locali dei clienti o a distanza. Per fornitore di servizi di sicurezza gestiti si intende un fornitore di servizi gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cibersicurezza.
L'articolo 6(40) definisce l'MSP. L'articolo 6(41) definisce l'MSSP. Il criterio è ciò che il soggetto fa (installazione, gestione, funzionamento, manutenzione, amministrazione attiva), non se fattura a clienti esterni.
Lettura della prassi tedesca (Piltz Legal)
Le società che gestiscono esclusivamente le operazioni IT centrali di un gruppo societario rientrano tipicamente nella definizione di MSP.
Piltz Legal ha letto il recepimento tedesco ed è giunta a questa conclusione: le società di servizi IT centrali che servono le controllate del gruppo rientrano nella definizione di MSP. I materiali legislativi tedeschi che citano indicano nella stessa direzione: i servizi a soggetti del gruppo giuridicamente distinti sono servizi gestiti.
Soggetto giuridico autonomo
L'IT centrale è costituita come soggetto giuridico autonomo (una GmbH, una AG o l'equivalente in altri Stati membri)? Se sì, NIS 2 lo valuta autonomamente. Se l'IT è solo un centro di costo interno senza personalità giuridica, l'ambito passa attraverso la capogruppo che lo gestisce.
Servizi gestiti ad altri soggetti
Il soggetto installa, gestisce, fa funzionare, mantiene o amministra attivamente prodotti TIC, reti, infrastrutture, applicazioni o sistemi per altri soggetti? Le controllate sono giuridicamente distinte dalla società di servizi IT, anche all'interno dello stesso gruppo. I servizi a esse contano come servizi ad altri soggetti ai sensi dell'articolo 6(40).
Soglia dimensionale raggiunta
Il soggetto IT raggiunge la soglia della media impresa (50 o più dipendenti, oppure un fatturato superiore a 10 milioni di EUR con un totale di bilancio superiore a 10 milioni di EUR)? Attenzione alla regola delle imprese collegate ai sensi della raccomandazione 2003/361/CE della Commissione: conta dipendenti e dati finanziari sull'intero gruppo. Una società IT di 30 persone all'interno di un gruppo di 400 persone conta a livello di gruppo.
Ogni soggetto giuridico è valutato autonomamente
L'ambito di NIS 2 è deciso per soggetto giuridico. Il fatto che la capogruppo rientri nell'ambito (ad esempio come fabbricante) non trascina automaticamente la controllata IT. Il fatto che la controllata IT rientri nell'ambito non trascina la capogruppo. Ogni soggetto si registra, gestisce i rischi e notifica gli incidenti in base al proprio obbligo.
La funzione decide l'ambito, non lo scopo
L'articolo 6(40) descrive ciò che il soggetto fa, non perché. I servizi non devono essere commerciali, valutati a condizioni di mercato o venduti a clienti esterni. Una società IT che esiste solo per servire il proprio gruppo fornisce comunque servizi gestiti ai sensi della definizione. Ciò che fai decide l'ambito. Perché lo fai no.
Analisi della prassi Piltz Legal
La lettura pubblicata di Piltz Legal: le società IT di gruppo tedesche rientrano tipicamente nella definizione di MSP quando gestiscono l'IT centrale per il resto del gruppo. I materiali legislativi tedeschi attorno alla legge di attuazione di NIS2 indicano nella stessa direzione: i servizi a controllate del gruppo giuridicamente distinte sono servizi gestiti ai fini dell'articolo 6(40).
L'articolo 6 è uguale in tutta l'UE
L'articolo 6 della direttiva è un unico insieme di definizioni che vincola ogni Stato membro. Le leggi nazionali copiano la formulazione quasi parola per parola. I recepimenti tedesco, olandese, austriaco e belga rispecchiano tutti l'articolo 6(40) e (41), quindi il test in tre parti ti dà la stessa risposta ovunque.
Recepimenti speculari
I Paesi Bassi (Cyberbeveiligingswet), l'Austria (NISG) e il Belgio (NIS2-Wet) inseriscono le definizioni di MSP e MSSP nel diritto nazionale. Una società IT di gruppo che opera oltre confine può rientrare nell'ambito in più Stati membri contemporaneamente, con una registrazione separata presso ciascuna autorità nazionale competente.
L'IT interna non conta come MSP.
Dipende da come è impostata. Se l'IT centrale è un proprio soggetto giuridico e serve altre società del gruppo giuridicamente distinte, quelli sono servizi gestiti ad altri soggetti ai sensi dell'articolo 6(40). Un puro centro di costo interno senza personalità giuridica non rientra autonomamente nell'ambito. Una GmbH di servizi all'interno del gruppo di solito sì.
Contano solo gli MSP commerciali con clienti esterni.
L'articolo 6(40) descrive una funzione (installazione, gestione, funzionamento, manutenzione, amministrazione attiva di prodotti TIC, reti, infrastrutture, applicazioni o sistemi), non uno scopo commerciale. Le società IT captive che servono solo le proprie controllate soddisfano comunque la definizione se svolgono quella funzione. La lettura di Piltz Legal e i materiali legislativi tedeschi dicono lo stesso.
L'ambito della capogruppo copre automaticamente la controllata IT.
NIS 2 guarda a ogni soggetto giuridico autonomamente. La capogruppo può rientrare nell'ambito come fabbricante ai sensi dell'allegato II mentre la controllata IT rientra nell'ambito ai sensi dell'allegato I settore 9 come MSP. Registrazione, gestione dei rischi e notifica degli incidenti si attribuiscono a ciascun soggetto separatamente. L'unico punto in cui il gruppo è trattato nel suo insieme è il test dimensionale.
Per due decenni i gruppi tedeschi hanno fuso la loro IT in un'unica società di servizi. Operazioni più pulite, miglior trattamento IVA, meno duplicazioni. NIS 2 ribalta in parte questo incentivo. Una GmbH IT di gruppo consolidata che prima passava sotto il radar normativo può ora essere autonomamente un soggetto importante NIS 2, con una propria registrazione, un proprio quadro di gestione dei rischi e una propria linea di notifica degli incidenti al BSI.
Cosa significa in pratica: le decisioni strutturali prese per ragioni fiscali od operative richiedono una seconda valutazione con NIS 2 davanti agli occhi. Se il soggetto IT rientra nell'ambito come MSP, assume anche gli obblighi sulla catena di approvvigionamento ai sensi dell'articolo 21(2)(d) verso i suoi clienti di gruppo. Tali clienti possono a loro volta rientrare nell'ambito ai sensi dell'allegato I o II. Lo stesso contratto interno si trova allora soggetto a NIS 2 da entrambi i lati.
La verifica di applicabilità percorre il test in tre parti ad alta voce: soggetto giuridico sì o no, servizi ad altri soggetti giuridici (dentro o fuori dal gruppo), dimensione compresa la regola delle imprese collegate. La risposta si trasferisce al modulo di registrazione, così il soggetto IT si registra separatamente dove deve farlo.
Il portale fornitori copre l'altro lato del contratto. Le controllate che acquistano servizi gestiti da una società IT sorella possono sottoporle il questionario fornitori come qualsiasi altro fornitore. Entrambi i lati dell'accordo finiscono documentati con le stesse prove dell'articolo 21(2)(d).
- Direttiva (UE) 2022/2555 (NIS 2), articolo 6(40), 6(41) e allegato I settore 9 (gestione dei servizi TIC B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie' — piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (recepimento tedesco di NIS2), §2 n. 26 (definizione di MSP) e §28 (ambito) — gesetze-im-internet.de
- Raccomandazione 2003/361/CE della Commissione sulla definizione delle microimprese, piccole e medie imprese (regola delle imprese collegate) — eur-lex.europa.eu/eli/reco/2003/361/oj
- FAQ settoriali del BSI sui tipi di soggetto NIS 2 — bsi.bund.de