Il punto di vista di Cyber Academy
NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di applicazione era troppo ristretto, il regime sanzionatorio disomogeneo e gli obblighi di notifica degli incidenti privi di efficacia reale. Citata qui principalmente per chiarire cosa fosse effettivamente il "vecchio regime" che i colleghi ricordano ancora vagamente.
Cosa NIS 1 si proponeva di fare
La Direttiva NIS 1 è stata il primo tentativo dell'Unione europea di porre un livello minimo comune di cybersicurezza sotto i settori che tengono in funzione un paese. Prima di essa, gli Stati membri affrontavano la sicurezza delle infrastrutture critiche secondo i propri criteri, senza una base condivisa e senza un modo coordinato di gestire gli incidenti transfrontalieri.
NIS 1 ha cambiato tutto ciò chiedendo a ogni Stato membro di individuare gli operatori la cui interruzione avrebbe avuto un grave effetto a catena, di sottoporli a obblighi di sicurezza e di notifica degli incidenti, e di istituire la macchina nazionale incaricata di vigilarli. In Francia tale macchina era l'ANSSI, e gli operatori che essa ha designato conoscevano già il regime più pesante degli OIV, precedente alla direttiva.
Essendo una direttiva e non un regolamento, NIS 1 non si applicava direttamente. Ogni Stato membro doveva recepirla nel diritto nazionale, ed è da qui che derivava gran parte della disomogeneità. Due Stati potevano leggere lo stesso testo e arrivare a elenchi diversi di soggetti regolamentati, a soglie di notifica diverse e a propensioni molto diverse verso l'applicazione. Questo mosaico è la principale ragione per cui il regime è stato infine ricostruito.
Due categorie: servizi essenziali e fornitori di servizi digitali
NIS 1 ha diviso il mondo regolamentato in due gruppi, e la distinzione conta perché gli obblighi e la vigilanza non erano simmetrici.
| Aspetto | Operatori di servizi essenziali | Fornitori di servizi digitali |
|---|---|---|
| Chi erano | Energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, infrastrutture digitali | Mercati online, motori di ricerca, servizi di cloud computing |
| Come venivano inclusi | Individuati caso per caso da ciascuno Stato membro in base a criteri | Inclusi automaticamente nell'ambito, con un approccio più leggero |
| Vigilanza | Proattiva: le autorità potevano svolgere audit ed esigere prove | Per lo più reattiva: intervento dopo un incidente |
| Aspettativa di sicurezza | Misure tecniche e organizzative adeguate e proporzionate | Misure simili, ma un regime regolamentare più leggero |
Gli operatori di servizi essenziali erano il cuore della direttiva. Gli Stati membri dovevano nominarli, e una volta nominati portavano obblighi reali di gestire il rischio e di notificare gli incidenti significativi all'autorità nazionale o al CSIRT. I fornitori di servizi digitali venivano trattati in modo più leggero, sulla teoria che operassero già oltre i confini e competessero sulla resilienza, cosicché un regime armonizzato ma più leggero avrebbe evitato di frammentare il mercato unico.
Perché è stata sostituita
Il giudizio onesto su NIS 1 è che ha dimostrato il concetto ma ha mantenuto meno del promesso. Tre debolezze sono emerse ripetutamente. L'ambito era troppo ristretto, lasciando interi settori e la maggior parte delle organizzazioni di medie dimensioni al di fuori di qualsiasi obbligo, anche quando il loro fallimento avrebbe arrecato danno.
L'applicazione era disomogenea, perché il recepimento lasciava a ciascuno Stato membro decidere chi rientrasse nell'ambito e con quanta fermezza spingere, cosicché un'azienda poteva essere regolamentata in un paese e intoccata appena oltre confine. E la notifica degli incidenti era di fatto innocua, con soglie e tempistiche che variavano così tanto che la visibilità transfrontaliera che la direttiva avrebbe dovuto creare non si è mai davvero concretizzata.
NIS 2 è stata la risposta a tutti e tre. Ha ampliato l'ambito a molti più settori e a un criterio basato sulle dimensioni, ha sostituito la divisione OES/DSP con soggetti essenziali e importanti, ha irrigidito la notifica degli incidenti in fasi più chiare e ha posto una reale responsabilità della direzione e sanzioni dietro gli obblighi. Per un professionista di oggi, NIS 1 è soprattutto contesto: spiega la forma delle regole sotto cui ora vive e i riflessi che la sua organizzazione ha costruito prima della ricostruzione.
Frequently asked questions
01NIS 1 è ancora in vigore?
No. NIS 1 è stata abrogata e sostituita dalla Direttiva NIS 2, divenuta applicabile nell'ottobre 2024. Gli obblighi ora derivano da NIS 2 e dal suo recepimento nazionale, non dalla direttiva del 2016.
02Qual è la differenza tra un OES e un DSP ai sensi di NIS 1?
Gli operatori di servizi essenziali venivano individuati caso per caso dagli Stati membri in settori critici ed erano soggetti a una vigilanza proattiva. I fornitori di servizi digitali, come i fornitori di cloud e i mercati online, rientravano nell'ambito in modo più automatico ed erano vigilati secondo un regime più leggero, per lo più reattivo.
03Perché NIS 1 era considerata troppo debole?
Il suo ambito era ristretto, il recepimento rendeva l'applicazione disomogenea tra gli Stati membri, e le regole di notifica degli incidenti variavano così tanto che la visibilità transfrontaliera non ha mai funzionato come previsto. NIS 2 è stata scritta specificamente per colmare queste tre lacune.
04Se la mia organizzazione era conforme a NIS 1, ciò copre NIS 2?
Non per impostazione predefinita. NIS 2 amplia l'ambito, alza le aspettative su gestione del rischio e notifica, e aggiunge la responsabilità della direzione. Un programma NIS 1 è un punto di partenza utile ma necessita di un'analisi delle lacune rispetto a NIS 2.
05Che relazione ha NIS 1 con il GDPR?
Sono distinti. Il GDPR protegge i dati personali ed è applicato dalle autorità per la protezione dei dati. NIS 1 riguardava la sicurezza operativa e la resilienza dei servizi essenziali e digitali. Un incidente può attivare entrambi i regimi contemporaneamente.