NIS 2 e organismi di ricerca
L'allegato II settore 10 copre gli organismi di ricerca che svolgono ricerca applicata o sviluppo sperimentale a fini commerciali. Le università sono escluse per impostazione predefinita. Gli Stati membri possono estendere l'ambito.
Perché esiste questo articolo
L'allegato II della direttiva NIS 2 ((UE) 2022/2555) elenca gli organismi di ricerca come settore 10. La categoria si colloca nell'allegato II, quindi le entità ammissibili sono classificate come entità importanti (wichtige Einrichtungen).
L'ambito è più ristretto del significato quotidiano di ricerca. La NIS 2 guarda a un tipo specifico di attività: ricerca applicata o sviluppo sperimentale destinato a produrre risultati poi sfruttati commercialmente. La ricerca di base, il puro lavoro accademico e le attività educative non sono in ambito per impostazione predefinita.
La pagina espone prima il livello UE (allegato II, articolo 6(41), considerando 39, test dimensionale dell'articolo 2(1)), poi l'attuazione tedesca nel §28 BSIG e le insidie pratiche che riscontriamo più spesso quando gli organismi di ricerca eseguono una verifica di applicabilità.
Allegato II, settore 10 (direttiva (UE) 2022/2555)
Organismi di ricerca
L'allegato II punto 10 elenca il settore con l'unico tipo di entità 'organismi di ricerca'. La definizione sostanziale risiede nell'articolo 6(41) ed è rafforzata dal considerando 39.
Articolo 6(41), considerando 39 (direttiva (UE) 2022/2555)
Per «organismo di ricerca» si intende un'entità il cui obiettivo principale è svolgere attività di ricerca applicata o di sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, e che non comprende gli istituti di istruzione.
Il considerando 39 aggiunge che la presente direttiva non dovrebbe applicarsi agli istituti di istruzione, in particolare alle università o ai centri di ricerca che svolgono attività di ricerca su base non commerciale. Gli Stati membri possono decidere che gli istituti di istruzione rientrino nell'ambito di applicazione della presente direttiva sulla base delle loro politiche e dei loro approcci nazionali.
§28 BSIG (NIS2UmsuCG, Germania)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
La Germania recepisce l'allegato II settore 10 nel §28 BSIG. L'entità resta un'entità importante (wichtige Einrichtung) e ricade nella fascia sanzionatoria del §65 BSIG fino a 7 milioni di euro o all'1,4 percento del fatturato annuo mondiale, il valore più elevato tra i due.
Ricerca applicata con finalità commerciale
L'attività principale è ricerca applicata o sviluppo sperimentale, con l'intento che i risultati siano sfruttati commercialmente. Licenze, spin-off, ricerca su commissione per l'industria o vendita di prototipi sono segnali tipici. La ricerca puramente guidata dalla curiosità, l'insegnamento e la divulgazione non lo sono.
Di medie dimensioni o superiore
L'articolo 2(1) NIS 2 applica la soglia della raccomandazione UE 2003/361/CE. L'entità la raggiunge con almeno 50 addetti o con fatturato annuo e totale di bilancio superiori a 10 milioni di euro. Al di sotto della soglia l'entità non è in ambito, salvo che uno Stato membro applichi una deroga a prescindere dalla dimensione.
Estensione nazionale alle università
Gli Stati membri possono decidere di far rientrare nell'ambito gli istituti di istruzione, comprese le università, mediante il diritto nazionale. In assenza di tale estensione, le università sono escluse, anche se gestiscono ampie unità di ricerca applicata. Se il Paese abbia esteso l'ambito è una questione da verificare nell'atto di recepimento nazionale.
Gli istituti di istruzione sono esclusi per impostazione predefinita
Il considerando 39 è esplicito: la NIS 2 non si applica agli istituti di istruzione, in particolare alle università o ai centri di ricerca che svolgono attività di ricerca su base non commerciale. Un'unità di ricerca universitaria che svolge lavoro su commissione per l'industria non è automaticamente inclusa. L'esclusione opera a livello dell'istituto, non del progetto.
La fonte di finanziamento non decide l'ambito
La definizione si fonda sull'attività (ricerca applicata, sfruttamento commerciale), non su chi paga. Una GmbH di ricerca a finanziamento privato e un istituto Fraunhofer a finanziamento pubblico sono entrambi in ambito se soddisfano la definizione e il test dimensionale. Un istituto di ricerca di base finanziato esclusivamente con fondi pubblici non è in ambito perché l'attività è errata, non perché il finanziamento è pubblico.
BSI come autorità competente
Il Bundesamt für Sicherheit in der Informationstechnik (BSI) è l'autorità competente per gli organismi di ricerca ai sensi del §28 BSIG. La registrazione avviene tramite il portale del BSI; gli obblighi sono identici a quelli delle altre entità importanti ai sensi dei §§30 a 32 BSIG.
Orientamenti di ENISA
La ENISA Technical Implementation Guidance (v1.2, agosto 2025) tratta gli organismi di ricerca alla stregua delle altre entità dell'allegato II per le misure di gestione del rischio dell'articolo 21. Non vi è alcuna esclusione specifica per la ricerca nel regolamento di esecuzione. Le specificità settoriali emergono solo nelle soglie di notifica degli incidenti tramite la prassi di vigilanza nazionale.
Nessuna estensione generale alle università nel §28 BSIG
La Germania non ha, nel NIS2UmsuCG, effettuato un'estensione generale della NIS 2 alle università. Le Hochschulen e i centri di ricerca universitari restano quindi fuori dall'ambito della NIS 2 a livello federale, sebbene altre leggi federali o statali (ad esempio le leggi sulla sicurezza informatica dei singoli Länder) possano comunque applicarsi.
Anche le università fanno ricerca, quindi devono essere in ambito.
Per impostazione predefinita, no. Il considerando 39 esclude gli istituti di istruzione, in particolare le università e i centri di ricerca non commerciali. Sono in ambito solo se lo Stato membro ha espressamente esteso loro la NIS 2 con il diritto nazionale. In Germania tale estensione non è stata effettuata.
Solo gli istituti di ricerca a finanziamento pubblico sono in ambito.
Direzione sbagliata. La definizione guarda all'attività e all'intento di sfruttamento commerciale, non alla fonte di finanziamento. Una società privata di ricerca su commissione può essere pienamente in ambito. Un organismo di ricerca di base finanziato esclusivamente con fondi pubblici è fuori perché l'attività è non commerciale, non perché i fondi sono pubblici.
Siamo un'organizzazione senza scopo di lucro, quindi la NIS 2 non si applica.
La forma giuridica non decide l'ambito. Una gemeinnützige GmbH o un e.V. che svolge ricerca applicata a fini di sfruttamento commerciale può soddisfare la definizione. Il test è l'attività e la soglia dimensionale, non lo status fiscale.
Nelle verifiche di applicabilità che eseguiamo, il caso limite è quasi sempre un braccio di ricerca su commissione di un'università o un istituto a finanziamento pubblico con una solida pipeline di trasferimento tecnologico. La domanda corretta non è se l'entità svolga ricerca, ma se il suo scopo principale sia la ricerca applicata o lo sviluppo sperimentale con una via di sfruttamento commerciale.
Se la risposta è sì e l'entità soddisfa la soglia dimensionale dell'articolo 2(1), rientra nella NIS 2 come entità importante, a prescindere dal fatto che si consideri parte del panorama della ricerca pubblica. La verifica di applicabilità della piattaforma percorre esplicitamente l'articolo 6(41) e l'articolo 2(1), così che ciò non sia lasciato all'interpretazione.
Le entità del settore 10 eseguono lo stesso registro degli obblighi NIS 2 di qualsiasi altra entità importante: registrazione ai sensi dell'articolo 27, governance ai sensi dell'articolo 20, le dieci aree di gestione del rischio dell'articolo 21(2) e la notifica degli incidenti ai sensi dell'articolo 23. La piattaforma struttura tutti questi come obblighi continuativi anziché come un progetto una tantum.
Quando un organismo di ricerca ha uno schema probatorio specifico (ad esempio contratti di trasferimento tecnologico che devono soddisfare le clausole di catena di approvvigionamento dell'articolo 21(2)(d)), questo risiede nei moduli fornitori e contratti. Non esiste un modulo separato per la ricerca perché le misure dell'articolo 21 sono neutre rispetto al settore.
- Direttiva (UE) 2022/2555 (NIS 2), allegato II punto 10 (Ricerca)
- Direttiva (UE) 2022/2555 (NIS 2), articolo 6(41), definizione di organismo di ricerca
- Direttiva (UE) 2022/2555 (NIS 2), considerando 39, esclusione degli istituti di istruzione ed estensione facoltativa da parte degli Stati membri
- Direttiva (UE) 2022/2555 (NIS 2), articolo 2(1), ambito e soglia dimensionale tramite raccomandazione 2003/361/CE
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, ambito settoriale inclusi gli organismi di ricerca
- BSIG §65, fascia sanzionatoria per le entità importanti (fino a 7 milioni di euro o all'1,4 percento del fatturato annuo mondiale)
- ENISA Technical Implementation Guidance per l'articolo 21 NIS 2, v1.2 (agosto 2025)