Anhang I Sektor 11

Settore spaziale ai sensi di NIS 2

Allegato I, settore 11. Infrastruttura terrestre che supporta i servizi basati sullo spazio. Ambito ristretto, spesso interpretato male.

Simon OrzelSimon Orzel·

Cosa copre questa pagina

NIS 2 elenca lo spazio come settore 11 nell'allegato I (settori ad alta criticità). La formulazione è più ristretta di quanto suggerisca il nome. La direttiva non copre tutto ciò che tocca lo spazio. Copre gli operatori di infrastruttura terrestre che supporta la fornitura di servizi basati sullo spazio.

Questa distinzione conta. Un fabbricante di satelliti che costruisce hardware in una camera bianca non rientra nell'ambito in virtù del settore spaziale. Un'azienda che gestisce una stazione di terra, un centro di controllo missione o un impianto di telemetria, tracciamento e telecomando probabilmente vi rientra, se soddisfa il test dimensionale dell'articolo 2 e non è esclusa.

Questa pagina legge verbatim la voce dell'allegato I, espone il test dimensionale dell'articolo 2, rimanda al regolamento sul programma spaziale dell'UE come regime collegato ed elenca gli errori di delimitazione dell'ambito più comuni che vediamo in pratica.

Da dove viene tutto questo
Direttiva NIS 2, recepimento tedesco (BSIG) e il regime spaziale collegato dell'UE.

Direttiva (UE) 2022/2555, Allegato I, settore 11 (Spazio)

Operators of ground-based infrastructure, owned, managed and operated by Member States or by private parties, that support the provision of space-based services, excluding providers of public electronic communications networks.

Questa è la definizione settoriale completa. Si applicano contemporaneamente tre filtri. Primo, la classe di asset è l'infrastruttura terrestre. Secondo, la funzione è supportare i servizi basati sullo spazio. Terzo, i fornitori di reti pubbliche di comunicazione elettronica sono esclusi perché sono disciplinati nel settore 8 (infrastruttura digitale) e nel regime EECC.

Regolamento (UE) 2021/696 (Programma spaziale dell'UE)

Establishing the Union Space Programme and the European Union Agency for the Space Programme (EUSPA).

Il regolamento sul programma spaziale disciplina le componenti UE Galileo, EGNOS, Copernicus, GOVSATCOM e SST. EUSPA gestisce parti di tali servizi. NIS 2 si affianca a questo regime. Gli operatori di infrastruttura terrestre che supporta tali programmi possono rientrare in entrambi. Non sono automaticamente esentati da NIS 2 per il fatto di far parte di un programma dell'UE.

BSIG, Anlage 1, Nummer 11 (recepimento tedesco di NIS 2)

Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden, die die Erbringung weltraumgestützter Dienste unterstützen, mit Ausnahme von Anbietern öffentlicher elektronischer Kommunikationsnetze.

La Germania recepisce uno a uno la formulazione dell'allegato I. Non c'è un ampliamento tedesco separato del settore. Il BSI è l'autorità competente per la vigilanza sulla cybersicurezza ai sensi del §61 BSIG. La politica di settore spetta al Ministero federale per l'Economia e la Protezione del clima (BMWK) e all'Agenzia spaziale tedesca presso il DLR.

I tre filtri dell'allegato I settore 11
Devono essere presenti tutti e tre perché la direttiva si applichi tramite questo settore.
Filtro 1

Infrastruttura terrestre

La classe di asset è l'infrastruttura terrestre fisica. Esempi tipici sono stazioni di terra per satelliti, antenne, siti gateway, centri di controllo missione, centri di operazione dei satelliti, impianti di telemetria, tracciamento e telecomando (TT&C) e centri dedicati di elaborazione dei dati del payload satellitare. Gli asset basati nello spazio (i satelliti stessi) non sono qui l'oggetto rientrante nell'ambito.

Filtro 2

Supporta i servizi basati sullo spazio

La funzione dell'infrastruttura deve essere supportare la fornitura di servizi erogati da o attraverso lo spazio (navigazione, osservazione della Terra, comunicazioni satellitari, connettività sicura). Data center generici o IT d'ufficio che per caso appartengono a un'azienda spaziale non rientrano nell'ambito solo perché il proprietario opera nel settore.

Filtro 3

Non una rete pubblica di comunicazione elettronica

I fornitori di reti pubbliche di comunicazione elettronica sono esplicitamente esclusi dal settore 11. Sono disciplinati nel settore 8 (infrastruttura digitale) e nel codice europeo delle comunicazioni elettroniche. Questo evita la doppia regolamentazione degli operatori di telecomunicazioni che usano anche collegamenti satellitari.

Test dimensionale dell'articolo 2 e focus sull'operatore
Due ulteriori regole si sovrappongono alla definizione settoriale.

Il test dimensionale dell'articolo 2(1) si applica comunque

Essere nominati nell'allegato I è necessario ma non sufficiente. L'articolo 2(1) aggiunge il test dimensionale. La soglia predefinita è media impresa o superiore (50 o più dipendenti, oppure oltre 10 milioni di EUR di fatturato annuo e totale di bilancio superiore a 10 milioni di EUR). Alcuni tipi di soggetto rientrano nell'ambito indipendentemente dalle dimensioni ai sensi dell'articolo 2(2), ma quelle deroghe in genere non includono gli operatori spaziali commerciali.

Operatore, non fabbricante

La direttiva usa coerentemente la parola operatori. Il presupposto giuridico è gestire infrastruttura terrestre che supporta i servizi basati sullo spazio. Progettare, costruire o vendere satelliti, lanciatori o hardware di terra non è ciò di cui tratta il settore 11. I fabbricanti possono comunque rientrare attraverso altri settori (ad esempio come fornitori di servizi digitali, o ai sensi del manifatturiero dell'allegato II) se quelle voci settoriali sono pertinenti.

Autorità e punti di riferimento
Chi vigila e chi definisce la politica di settore. Usalo per trovare il contatto giusto, non come consulenza legale.
DE

BSI come vigilanza sulla cybersicurezza, BMWK e DLR come politica di settore

Ai sensi del BSIG, il Federal Office for Information Security (BSI) vigila sui doveri di cybersicurezza per i soggetti rientranti nell'ambito, compresi i soggetti del settore spaziale. La politica di settore e le questioni del programma spaziale spettano al Ministero federale per l'Economia e la Protezione del clima (BMWK) e all'Agenzia spaziale tedesca presso il DLR. Gli operatori delle componenti del programma spaziale dell'UE in Germania si coordinano anche con EUSPA.

UE

ENISA ed EUSPA a livello UE

ENISA supporta la dimensione di cybersicurezza di NIS 2 in tutti i settori. EUSPA è responsabile della gestione operativa e della fornitura dei servizi delle componenti del programma spaziale dell'UE. ENISA ha pubblicato orientamenti settoriali per lo spazio; EUSPA ha un proprio framework di sicurezza per gli operatori dei programmi dell'UE. NIS 2 non sostituisce nessuno dei due, ma ne costituisce la base.

Cross-UE

Autorità nazionali altrove

Gli altri Stati membri designano le proprie autorità competenti NIS 2. Le agenzie spaziali nazionali (ad esempio CNES in Francia, ASI in Italia, NSO nei Paesi Bassi) agiscono come partner di politica e di programma, non come autorità di vigilanza NIS 2. La cooperazione con l'ESA prosegue ai sensi della Convenzione ESA; l'ESA stessa è un'organizzazione intergovernativa e non un'autorità competente di uno Stato membro ai sensi di NIS 2.

Errori comuni di delimitazione dell'ambito
Le interpretazioni errate che vediamo più spesso quando le aziende si autovalutano rispetto al settore 11.

  • Costruiamo satelliti o hardware di terra, quindi rientriamo nell'ambito sotto lo spazio.

    Il settore 11 prende di mira gli operatori di infrastruttura terrestre che supporta i servizi spaziali. La pura fabbricazione non è il presupposto. Un fabbricante di satelliti o antenne dovrebbe verificare separatamente l'allegato II settore 5 (manifatturiero) ed eventuali doveri da fornitore di servizi digitali, anziché presumere che la voce spazio lo copra.

  • Siamo un laboratorio di ricerca o un istituto universitario che lavora su tematiche spaziali, quindi NIS 2 copre tutto ciò che facciamo.

    I soggetti di ricerca sono disciplinati nell'allegato I settore 10 (ricerca) solo quando sono organismi di ricerca ai sensi della definizione dell'articolo 6(41). Lavorare su tematiche spaziali non rende di per sé il laboratorio un operatore del settore 11. La domanda è se il laboratorio gestisce infrastruttura terrestre che supporta i servizi basati sullo spazio e se soddisfa il test dimensionale dell'articolo 2.

  • Qui si intendono solo le agenzie dell'UE come l'ESA o EUSPA.

    La formulazione dell'allegato copre esplicitamente l'infrastruttura terrestre posseduta, gestita e operata da Stati membri o da soggetti privati. Gli operatori privati di stazioni di terra e centri di controllo missione fanno parte della popolazione bersaglio. L'ESA come organizzazione intergovernativa ha un proprio regime giuridico, ma il panorama degli operatori privati è pienamente dentro NIS 2.

Vista del professionista

Se gestisci infrastruttura terrestre per servizi satellitari, tratta la questione della delimitazione dell'ambito come due livelli. Il livello uno è il test del settore 11 dell'allegato I su ciò che la tua struttura fa effettivamente. Il livello due è il test dimensionale dell'articolo 2 sul soggetto giuridico che la gestisce. Entrambi devono essere sì perché il settore 11 ti faccia rientrare.

Se il tuo soggetto rientra nell'ambito, i doveri sono gli stessi che per qualsiasi altro soggetto essenziale o importante ai sensi degli articoli 20, 21, 23 e 27. Non esiste un catalogo di controlli specifico per lo spazio dentro NIS 2 stessa. Gli operatori dei programmi dell'UE possono avere requisiti di sicurezza aggiuntivi derivanti dal Regolamento (UE) 2021/696 e dai framework EUSPA, ma quelli si sovrappongono, non si sostituiscono.

Come la piattaforma gestisce tutto questo

La verifica di applicabilità chiede se gestisci infrastruttura terrestre che supporta i servizi basati sullo spazio, poi applica il test dimensionale dell'articolo 2 e l'esclusione delle reti pubbliche di comunicazione elettronica. Se il risultato è 'rientra nell'ambito', il settore 11 viene contrassegnato sul tuo registro degli obblighi così che le vie di notifica, registrazione e vigilanza vadano all'autorità corretta.

Se il risultato è 'fuori ambito' ai sensi del settore 11, la piattaforma verifica comunque le altre voci dell'allegato I e dell'allegato II. Un'azienda spaziale può essere fuori ambito ai sensi del settore 11 e dentro ai sensi, ad esempio, del manifatturiero o della gestione dei servizi ICT. L'output è un unico registro degli obblighi, non un singolo sì o no.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), Allegato I, settore 11 — EUR-Lex
  • Direttiva (UE) 2022/2555 (NIS 2), Articolo 2 (ambito) e Articolo 6 (definizioni) — EUR-Lex
  • Regolamento (UE) 2021/696 (Programma spaziale dell'UE) — EUR-Lex
  • BSI-Gesetz tedesca (BSIG), Anlage 1, Nummer 11 — gesetze-im-internet.de
  • Panoramiche settoriali ENISA sullo spazio — enisa.europa.eu
  • EUSPA (European Union Agency for the Space Programme) — euspa.europa.eu
  • BMWK e DLR Raumfahrtmanagement — bmwk.de, dlr.de
Verifica l'applicabilità per il tuo soggetto
Esegui il test del settore 11 dell'allegato I e il test dimensionale dell'articolo 2 sulla tua struttura in pochi minuti.
Apri la verifica di applicabilità