I fornitori di entità soggette a NIS2 non sono automaticamente entità soggette a NIS2
L'articolo 2 di NIS2 decide l'ambito di applicazione in base a ciò che siete, non a chi vendete. Le relazioni con i clienti non vi includono. Gli obblighi del vostro cliente arrivano nella vostra casella di posta attraverso il suo contratto di approvvigionamento ai sensi dell'articolo 21, paragrafo 2, lettera d).
In breve
Se NIS2 si applica alla vostra azienda è deciso unicamente dall'articolo 2 della direttiva. Due verifiche. Il vostro settore deve essere elencato nell'Allegato I o II. E dovete soddisfare la soglia dimensionale (media impresa ai sensi della raccomandazione 2003/361/CE della Commissione, con alcune deroghe indipendenti dalla dimensione previste dall'articolo 2, paragrafi da 2 a 4). Chi siano i vostri clienti non fa parte della verifica.
Quindi vendere a un cliente soggetto a NIS2 non vi include nell'ambito di applicazione. Diventate un'entità soggetta a NIS2 solo se il vostro settore e la vostra dimensione superano l'articolo 2 di per sé. Se non lo superano, siete fuori dall'ambito di applicazione, anche se ogni cliente del vostro elenco è incluso.
Ciò che scende lungo la catena di approvvigionamento è di natura contrattuale, non giuridica. L'articolo 21, paragrafo 2, lettera d), impone alle entità soggette a NIS2 di gestire la sicurezza dei loro fornitori diretti. Lo strumento che utilizzano è il contratto di approvvigionamento: clausole, questionari, richieste di prove. Subite la pressione perché il vostro cliente vuole la risposta, non perché un'autorità di regolamentazione si stia rivolgendo a voi.
Direttiva NIS2 (UE) 2022/2555, articolo 2, paragrafo 1
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
L'ambito di applicazione è legato a due fatti relativi all'entità stessa: il settore nell'Allegato I o II e la soglia dimensionale. Le relazioni con i clienti, i contratti e i legami della catena di approvvigionamento non figurano nel testo e non estendono l'ambito di applicazione. L'articolo 2, paragrafi da 2 a 4, aggiunge alcune deroghe indipendenti dalla dimensione per tipi specifici di entità, ma nessuna di esse si attiva per il fatto di essere fornitori di qualcuno.
Articolo 21, paragrafo 2, lettera d), di NIS2 + regolamento di esecuzione (UE) 2024/2690 della Commissione, §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
L'articolo 21, paragrafo 2, lettera d), pone l'obbligo in capo all'entità soggetta a NIS2 (l'acquirente), non al fornitore. Il CIR 2024/2690, §5, lo trasforma in una politica di sicurezza dei fornitori con criteri di selezione scritti e un registro dei rischi dei fornitori. Il fornitore fa quanto previsto dal contratto. L'autorità di regolamentazione si rivolge solo all'acquirente.
BSIG §30 (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
La Germania copia l'articolo 21, paragrafo 2, lettera d), quasi parola per parola nel §30 BSIG. L'obbligo colpisce l'entità inclusa nell'ambito di applicazione. Non dichiara i suoi fornitori inclusi nell'ambito di applicazione. Altri Stati membri recepiscono lo stesso articolo 21 con lo stesso meccanismo a carico dell'acquirente (NL Cyberbeveiligingswet, AT NISG, successore della FR LPM).
Il vostro settore è nell'Allegato I o II?
Allegato I (ad alta criticità): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio. Allegato II (critici): settore postale, rifiuti, prodotti chimici, alimenti, fabbricazione di dispositivi medici e macchinari, fornitori digitali, ricerca. Se la vostra attività non rientra in uno di questi, siete fuori, indipendentemente da chi vendete. Una piccola tipografia che rifornisce un ospedale resta una tipografia.
Siete una media impresa o più grande?
La soglia è la definizione di PMI contenuta nella raccomandazione 2003/361/CE della Commissione: almeno 50 dipendenti e almeno 10 milioni di EUR di fatturato o totale di bilancio, o più grande. Se siete al di sotto di questo, siete fuori, a meno che una delle deroghe indipendenti dalla dimensione previste dall'articolo 2, paragrafi da 2 a 4, vi includa comunque (ad esempio se siete l'unico fornitore di un servizio essenziale, un prestatore di servizi fiduciari qualificato o un fornitore di servizi DNS).
Un'esclusione vi esclude?
Anche se le verifiche 1 e 2 danno esito affermativo, l'articolo 2, paragrafi da 7 a 11, può escludervi (sicurezza nazionale, sicurezza pubblica, difesa, contrasto) oppure una normativa UE più specifica può prevalere (le entità finanziarie soggette a DORA saltano l'articolo 21 e l'articolo 23, ma si registrano comunque ai sensi dell'articolo 27). Essere fornitore di un'entità soggetta a NIS2 non è mai un'esclusione che vi include. E non è nemmeno mai un fattore che vi include.
Ambito di applicazione per entità
L'articolo 2 collega la direttiva a una specifica entità in base ai suoi attributi. Non esiste un ambito di applicazione derivato. DORA funziona allo stesso modo (entità finanziarie per tipo e dimensione). La direttiva CER funziona allo stesso modo (soggetti critici per settore). Il CRA funziona allo stesso modo (fabbricanti di prodotti con elementi digitali). Ciascuno strumento definisce l'ambito di applicazione in base a ciò che è la parte regolamentata, non in base a chi vende.
I contratti si propagano a cascata, non la legge
L'articolo 21, paragrafo 2, lettera d), rende l'acquirente responsabile della gestione del rischio di sicurezza dei propri fornitori. Lo strumento dell'acquirente è il contratto. Quindi i fornitori subiscono una pressione commerciale, non normativa. La clausola di proporzionalità dell'articolo 21, paragrafo 1, disciplina quante prove l'acquirente può richiedere: un fornitore di software ad alto rischio riceve un questionario più approfondito, un SaaS d'ufficio a basso rischio ne riceve uno più leggero. Il vostro compito in quanto fornitori è leggere tali richieste come termini commerciali, non come ordini di un'autorità di regolamentazione.
BSI / BMI: il §28 e il §30 BSIG distinguono acquirente e fornitore
Il §28 BSIG elenca i tipi di entità incluse nell'ambito di applicazione ed effettua la verifica dimensionale sull'entità stessa. Il §30 BSIG (l'obbligo relativo alla catena di approvvigionamento) rende una specifica besonders wichtige o wichtige Einrichtung responsabile delle proprie relazioni con i fornitori. Nessuna delle due disposizioni include nell'ambito di applicazione un fornitore non qualificato. La verifica di applicabilità del BSI (Betroffenheitsprüfer) verifica settore e dimensione per chi esegue la verifica, non per i suoi clienti.
ENISA: ambito di applicazione ai sensi dell'articolo 2, rischio dei fornitori ai sensi dell'articolo 21
Gli orientamenti attuativi dell'ENISA trattano l'ambito di applicazione e le misure sulla catena di approvvigionamento come due questioni distinte. L'ambito di applicazione è l'Allegato I o II più la dimensione. La sicurezza dei fornitori è uno dei controlli che l'entità inclusa esegue nell'ambito della propria gestione del rischio. Non include i fornitori nel campo di NIS2. Il registro dell'ENISA ai sensi dell'articolo 27 elenca solo le entità che sono esse stesse incluse nell'ambito di applicazione.
Altri Stati membri applicano la stessa verifica per entità
La Cyberbeveiligingswet olandese, la NISG austriaca e il recepimento francese (che sostituisce la LPM per i settori civili) interpretano tutti l'articolo 2 allo stesso modo. Un'impresa olandese di gestione dei rifiuti che rifornisce un operatore energetico belga è inclusa nell'ambito di applicazione solo se la gestione dei rifiuti è una delle sue attività e se soddisfa la soglia dimensionale nei Paesi Bassi. Le autorità nazionali non possono estendere la direttiva tramite il diritto nazionale per coprire aziende che non si qualificano di per sé.
Il nostro cliente è incluso nell'ambito di applicazione, quindi lo siamo anche noi.
No. L'articolo 2, paragrafo 1, vi applica la direttiva in base al vostro settore e alla vostra dimensione. Lo status del vostro cliente non fa parte della verifica. Potreste comunque dover rispettare le clausole contrattuali di sicurezza che il cliente vi sottopone. Ciò non vi rende un'entità soggetta a NIS2. Vi rende una parte contraente.
NIS2 si propaga a cascata lungo la catena di approvvigionamento.
No. Si propagano i contratti. La direttiva no. L'articolo 21, paragrafo 2, lettera d), rende l'acquirente responsabile della gestione della sicurezza dei suoi fornitori diretti. L'acquirente lo trasferisce nei contratti di approvvigionamento. Voi siete obbligati nei confronti dell'acquirente (in virtù del contratto), non dell'autorità di regolamentazione (in virtù di NIS2). Stessa logica per i sub-fornitori: solo la relazione diretta rientra nell'ambito dell'articolo 21, paragrafo 2, lettera d), non il fornitore del fornitore.
Il nostro cliente ci ha detto di registrarci presso l'autorità nazionale, quindi dobbiamo farlo.
No. La registrazione ai sensi dell'articolo 27 è richiesta solo per le entità che sono esse stesse incluse nell'ambito di applicazione ai sensi dell'articolo 2 (con regole aggiuntive per i fornitori di DNS, i fornitori di servizi cloud, gli MSP e alcuni altri). Un cliente non può inventare un obbligo di registrazione per voi. Se un acquirente insiste, chiedetegli sotto quale voce dell'Allegato e quale soglia dimensionale ritiene che voi rientriate. Se la risposta non è nell'articolo 2, l'obbligo non esiste.
Se siete l'acquirente (un'entità soggetta a NIS2), il vostro compito ai sensi dell'articolo 21, paragrafo 2, lettera d), e del CIR §5 è redigere una politica di sicurezza dei fornitori con criteri di selezione, tenere un registro dei rischi dei fornitori e inserire clausole di sicurezza proporzionate nei contratti dei vostri fornitori diretti. Valutate e gestite. Non delegate ciò all'autorità di regolamentazione. Il CIR §5 stabilisce esplicitamente che potete scegliere prove adeguate al rischio: certificazione ISO 27001, relazioni SOC 2, sintesi di test di penetrazione, attestazioni di sviluppo sicuro. L'articolo 21, paragrafo 1, vi consente di adeguare la profondità delle prove al rischio effettivo del fornitore. Un fornitore di software ad alto rischio riceve una richiesta più approfondita rispetto all'azienda che stampa i vostri biglietti da visita.
Se siete il fornitore e il vostro cliente è incluso nell'ambito di applicazione, effettuate prima la verifica dell'articolo 2 su voi stessi. Se non la superate, non siete un'entità soggetta a NIS2. Il vostro cliente vi invierà comunque obblighi contrattuali di sicurezza. Leggeteli come termini commerciali: negoziate l'ambito, la profondità delle prove, i diritti di audit, i tempi di notifica delle violazioni. Se invece superate l'articolo 2 di per sé, registratevi ai sensi dell'articolo 27 e adempiete agli articoli 21 e 23 in nome proprio, indipendentemente da ciò che chiede un singolo cliente.
Per gli acquirenti, la piattaforma trasforma l'obbligo dell'articolo 21, paragrafo 2, lettera d), e del CIR §5 in uno strumento operativo: un registro dei fornitori con livelli di rischio, una libreria di clausole, un flusso di lavoro per le prove e un portale fornitori dove i vostri fornitori rispondono al questionario. Voi tenete il registro. Il vostro fornitore vede solo le domande a lui rivolte.
Per i fornitori, il portale fornitori vi consente di rispondere una volta al questionario di sicurezza e di riutilizzare la risposta con più clienti. Il portale rende visibile la natura commerciale della richiesta: state rispondendo alla politica di approvvigionamento del vostro cliente, non a un'autorità di regolamentazione. Se risultate inclusi nell'ambito di applicazione di per sé ai sensi dell'articolo 2, la stessa piattaforma gestisce il vostro registro degli obblighi NIS2 dal lato acquirente.
- Direttiva (UE) 2022/2555 (NIS2), articolo 2 (ambito di applicazione), Allegato I e Allegato II (settori), articolo 21, paragrafo 2, lettera d) (sicurezza della catena di approvvigionamento) e articolo 21, paragrafo 3 (considerazione delle vulnerabilità specifiche dei fornitori).
- Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, §5 (sicurezza della catena di approvvigionamento): politica di approvvigionamento con criteri di selezione, registro dei rischi dei fornitori, obblighi contrattuali di sicurezza.
- Raccomandazione 2003/361/CE della Commissione, articolo 2 dell'allegato (definizione di media impresa: almeno 50 dipendenti e almeno 10 milioni di EUR di fatturato o totale di bilancio).
- BSIG (Germania) §28 (Einrichtungsarten und Größenkriterien) e §30 (Risikomanagementmaßnahmen, comprensivo della Lieferkettensicherheit), che attua gli articoli 2 e 21 di NIS2.
- Orientamenti attuativi dell'ENISA su NIS2 e la specifica del registro delle entità di cui all'articolo 27: l'ambito di applicazione ai sensi dell'articolo 2 determina se un'entità è registrata; le misure sulla catena di approvvigionamento ai sensi dell'articolo 21 determinano cosa fa un'entità inclusa riguardo ai propri fornitori.