NIS 2 per il settore dei trasporti
L'allegato I settore 2 copre quattro sottosettori. La regolamentazione sulla sicurezza non sostituisce la NIS 2.
Perché i trasporti rientrano nella NIS 2
La direttiva NIS 2 tratta i trasporti come un settore ad alta criticità. L'allegato I settore 2 elenca quattro sottosettori: aereo, ferroviario, per vie navigabili e su strada. Ciascuno nomina le proprie categorie di soggetti, quindi una compagnia aerea regionale, un gestore di stazione, un'autorità portuale e un operatore di gestione del traffico stradale rientrano tutti nello stesso settore sotto punti diversi.
Il livello giuridico che decide chi rientra è la direttiva UE più il recepimento nazionale. In Germania si tratta del BSIG. Le autorità di regolamentazione settoriali quali la Luftfahrt-Bundesamt, la Eisenbahn-Bundesamt e la Bundesamt für Seeschifffahrt und Hydrographie mantengono le loro competenze esistenti in materia di sicurezza. Il BSI è l'autorità competente per gli obblighi cibernetici della NIS 2 e opera a fianco di quelle autorità, non in loro vece.
Il test dimensionale dell'articolo 2(1) decide se un'entità rientra affatto nell'ambito. Una volta rientrata, gli obblighi dell'articolo 21 (misure di rischio) e dell'articolo 23 (segnalazione di incidenti) si applicano indipendentemente dal sottosettore a cui l'entità appartiene. Il regolamento di esecuzione per i sottosettori digitali non copre i trasporti; i trasporti rientrano nel quadro generale dell'articolo 21 con orientamenti settoriali di ENISA.
Direttiva UE
Settore 2: Trasporti. (a) Trasporto aereo, (b) Trasporto ferroviario, (c) Trasporto per vie navigabili, (d) Trasporto su strada.
Direttiva (UE) 2022/2555, allegato I, settore 2. Ogni lettera elenca le proprie categorie di soggetti (vettori aerei e gestori aeroportuali; gestori dell'infrastruttura, imprese ferroviarie e gestori di stazioni; vettori per acque interne, marittime e costiere e gestori di porti; autorità stradali e operatori di sistemi di trasporto intelligenti).
Atti di esecuzione dell'UE
Il regolamento di esecuzione (UE) 2024/2690 della Commissione si applica a specifiche entità dell'infrastruttura digitale. I trasporti non rientrano nell'ambito di tale regolamento.
Gli obblighi dei trasporti derivano direttamente dall'articolo 21 della direttiva più eventuali norme di attuazione nazionali. ENISA pubblica orientamenti settoriali, ma oggi non esiste un regolamento di esecuzione della Commissione che fissi requisiti tecnici dettagliati per i trasporti a livello UE.
Recepimento nazionale (Germania)
L'allegato 1 del BSIG rispecchia l'allegato I settore 2 della direttiva. Il test dimensionale della sezione 28 BSIG segue l'articolo 2(1).
La Germania recepisce la NIS 2 attraverso il BSIG. Il BSI è l'autorità competente. La regolamentazione settoriale sulla sicurezza ai sensi del Luftverkehrsgesetz, dell'Allgemeines Eisenbahngesetz e del Seeaufgabengesetz rimane in vigore e opera in parallelo.
Corrispondere a una categoria di sottosettore
Il settore aereo copre i vettori aerei utilizzati a scopi commerciali, i gestori aeroportuali e le entità che gestiscono installazioni accessorie all'interno degli aeroporti, più gli operatori di controllo della gestione del traffico che forniscono servizi di controllo del traffico aereo. Il ferroviario copre i gestori dell'infrastruttura e le imprese ferroviarie compresi gli operatori di impianti di servizio. Le vie navigabili coprono le società di trasporto passeggeri e merci per acque interne, marittime e costiere, i gestori di porti e gli operatori di servizi di traffico delle navi. Lo stradale copre le autorità stradali responsabili del controllo della gestione del traffico e gli operatori di sistemi di trasporto intelligenti.
Soddisfare il test dimensionale
Media o grande conta: 50 o più dipendenti, oppure fatturato annuo e bilancio superiori a 10 milioni di euro. Le entità più piccole possono comunque rientrare nell'ambito laddove si applichino le deroghe dell'articolo 2(2), ad esempio i fornitori unici di un servizio essenziale in uno Stato membro.
KRITIS è un livello aggiuntivo
Il BSI-KritisV fissa soglie quantitative per sottosettore per ciò che conta come installazione critica in Germania. Il superamento di una soglia KRITIS aggiunge obblighi per le strutture specifiche KRITIS. Il non superarla non elimina l'obbligo NIS 2 sottostante se l'entità è media o grande in una categoria del settore 2.
Sicurezza e cyber sono corsie diverse
Aereo, ferroviario, vie navigabili e stradale sono già soggetti a pesanti regimi di sicurezza (EASA, ERA, IMO, norme su veicoli e infrastrutture). La NIS 2 aggiunge obblighi per i sistemi informatici e di comunicazione utilizzati per gestire il servizio. L'autorità di regolamentazione settoriale della sicurezza mantiene la propria corsia. L'autorità competente NIS 2 esamina come l'entità governa rischio, fornitori, incidenti e continuità per i suoi IT e OT.
La continuità è il test pratico
Ciò che conta per la NIS 2 è se l'operatore possa mantenere il servizio in funzione e notificare l'autorità corretta quando qualcosa va storto. L'articolo 21 nomina le famiglie di misure (governance, rischio, catena di approvvigionamento, gestione degli incidenti, continuità operativa, crittografia, controllo degli accessi, formazione, gestione degli asset). L'articolo 23 fissa la tempistica di notifica (preallarme di 24h, notifica di incidente di 72h, relazione finale di 1 mese).
Bundesamt für Sicherheit in der Informationstechnik
Il BSI è l'autorità competente per la NIS 2 ai sensi del BSIG. La registrazione, le misure di rischio ai sensi della sezione 30 e la notifica di incidenti ai sensi della sezione 32 vanno al BSI. Le autorità di regolamentazione settoriali della sicurezza (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) cooperano con il BSI ma non lo sostituiscono per gli obblighi cibernetici NIS 2.
Bundesnetzagentur e sovrapposizioni settoriali
La Bundesnetzagentur è l'autorità NIS 2 per le telecomunicazioni. I trasporti si sovrappongono alle telecomunicazioni solo dove l'entità gestisce anche reti di comunicazione pubbliche. Per i trasporti puri, il BSI è l'unico riferimento NIS 2. Per le strutture KRITIS, il canale di segnalazione KRITIS esistente continua a operare in parallelo.
ENISA
ENISA pubblica orientamenti settoriali e il panorama delle minacce per i trasporti. Il suo lavoro informa le autorità nazionali e gli organismi di normazione ma non emette norme vincolanti. Per orientamenti specifici sui trasporti leggere le relazioni ENISA più le norme EASA Part-IS per l'aviazione e la Risoluzione IMO MSC.428(98) per il settore marittimo come regimi adiacenti.
La nostra certificazione di sicurezza copre il cyber.
I regimi di sicurezza (EASA, ERA, IMO ed equivalenti nazionali) coprono la sicurezza delle operazioni e includono sempre più elementi di security (per esempio EASA Part-IS). Non assolvono gli obblighi dell'articolo 21 e dell'articolo 23 NIS 2. L'autorità NIS 2 è separata, l'ambito è più ampio e l'orologio per la notifica degli incidenti è diverso.
Solo le compagnie aeree e gli aeroporti rientrano.
Tutti e quattro i sottosettori rientrano. I gestori dell'infrastruttura ferroviaria, le imprese ferroviarie e i gestori di stazioni rientrano nel 2(b). I vettori per acque interne, marittime e costiere, i gestori di porti e gli operatori di servizi di traffico delle navi rientrano nel 2(c). Le autorità stradali per il controllo della gestione del traffico e gli operatori di sistemi di trasporto intelligenti rientrano nel 2(d). Un'autorità di trasporto pubblico regionale o un'autorità portuale rientrano nel settore 2 tanto quanto un vettore di bandiera.
Siamo al di sotto della soglia KRITIS quindi la NIS 2 non si applica.
Le soglie KRITIS nel BSI-KritisV sono un livello nazionale separato per installazioni molto grandi. Il test dimensionale NIS 2 è fissato nell'articolo 2(1) ed è generalmente molto più basso. Un gestore di stazione con 60 dipendenti e 12 milioni di euro di fatturato è al di sotto della maggior parte delle soglie KRITIS e resta saldamente nell'ambito della NIS 2.
La lettura che sentiamo più spesso dagli operatori dei trasporti è che la NIS 2 si sovrappone a un'organizzazione già plasmata dalla normativa sulla sicurezza. I team IT e OT parlano con un'autorità di regolamentazione diversa rispetto al team della sicurezza, e le due conversazioni devono restare allineate. Le misure dell'articolo 21 (governance, rischio, catena di approvvigionamento, gestione degli incidenti, continuità operativa, crittografia, controllo degli accessi, formazione, gestione degli asset) non sono idee nuove, ma la profondità della documentazione e il passo della registrazione lo sono.
L'articolo 21(1) richiede misure adeguate e proporzionate, tenendo conto dello stato dell'arte, dei costi di attuazione e dell'esposizione dell'entità. Ciò dà a una piccola autorità portuale un livello minimo diverso rispetto a un operatore ferroviario nazionale. Documenta il ragionamento sulla proporzionalità in modo che un revisore possa seguirlo.
La piattaforma struttura le misure dell'articolo 21 come un unico registro degli obblighi e consente agli operatori dei trasporti di gestire il loro fascicolo NIS 2 a fianco della documentazione di sicurezza esistente. L'inventario degli asset (la base di RSK), il registro dei fornitori, il workflow degli incidenti, le approvazioni di governance e i record di formazione si trovano in un unico luogo e producono le prove che il BSI cerca.
Il livello gratuito include tutto ciò di cui un operatore ha bisogno per registrarsi ai sensi della NIS 2 in Germania e gestire gli obblighi fondamentali. Nessun livello blocca alcuna funzionalità richiesta.
- Direttiva (UE) 2022/2555 (NIS 2), allegato I settore 2 — Trasporti
- Direttiva (UE) 2022/2555, articolo 2 (ambito e test dimensionale), articolo 21 (misure di rischio), articolo 23 (segnalazione di incidenti)
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), allegato 1 settore 2; sezioni 28, 30, 32
- BSI-Kritisverordnung (BSI-KritisV), soglie specifiche per settore per i trasporti
- Panorama delle minacce di ENISA per i trasporti (edizione più recente)
- Regolamento di esecuzione (UE) 2023/203 dell'EASA (Part-IS) per la security dell'aviazione
- Risoluzione IMO MSC.428(98) sulla gestione del rischio cibernetico marittimo