Direttiva NIS 1.

NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di applicazione era troppo ristretto, il regime sanzionatorio disomogeneo e gli obblighi di notifica degli incidenti privi di efficacia reale. Citata qui principalmente per chiarire cosa fosse effettivamente il "vecchio regime" che i colleghi ricordano ancora vagamente.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

Il punto di vista di Cyber Academy

NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di applicazione era troppo ristretto, il regime sanzionatorio disomogeneo e gli obblighi di notifica degli incidenti privi di efficacia reale. Citata qui principalmente per chiarire cosa fosse effettivamente il "vecchio regime" che i colleghi ricordano ancora vagamente.

Cosa NIS 1 si proponeva di fare

La Direttiva NIS 1 è stata il primo tentativo dell'Unione europea di porre un livello minimo comune di cybersicurezza sotto i settori che tengono in funzione un paese. Prima di essa, gli Stati membri affrontavano la sicurezza delle infrastrutture critiche secondo i propri criteri, senza una base condivisa e senza un modo coordinato di gestire gli incidenti transfrontalieri.

NIS 1 ha cambiato tutto ciò chiedendo a ogni Stato membro di individuare gli operatori la cui interruzione avrebbe avuto un grave effetto a catena, di sottoporli a obblighi di sicurezza e di notifica degli incidenti, e di istituire la macchina nazionale incaricata di vigilarli. In Francia tale macchina era l'ANSSI, e gli operatori che essa ha designato conoscevano già il regime più pesante degli OIV, precedente alla direttiva.

Essendo una direttiva e non un regolamento, NIS 1 non si applicava direttamente. Ogni Stato membro doveva recepirla nel diritto nazionale, ed è da qui che derivava gran parte della disomogeneità. Due Stati potevano leggere lo stesso testo e arrivare a elenchi diversi di soggetti regolamentati, a soglie di notifica diverse e a propensioni molto diverse verso l'applicazione. Questo mosaico è la principale ragione per cui il regime è stato infine ricostruito.

Due categorie: servizi essenziali e fornitori di servizi digitali

NIS 1 ha diviso il mondo regolamentato in due gruppi, e la distinzione conta perché gli obblighi e la vigilanza non erano simmetrici.

Categorie NIS 1
AspettoOperatori di servizi essenzialiFornitori di servizi digitali
Chi eranoEnergia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, infrastrutture digitaliMercati online, motori di ricerca, servizi di cloud computing
Come venivano inclusiIndividuati caso per caso da ciascuno Stato membro in base a criteriInclusi automaticamente nell'ambito, con un approccio più leggero
VigilanzaProattiva: le autorità potevano svolgere audit ed esigere provePer lo più reattiva: intervento dopo un incidente
Aspettativa di sicurezzaMisure tecniche e organizzative adeguate e proporzionateMisure simili, ma un regime regolamentare più leggero

Gli operatori di servizi essenziali erano il cuore della direttiva. Gli Stati membri dovevano nominarli, e una volta nominati portavano obblighi reali di gestire il rischio e di notificare gli incidenti significativi all'autorità nazionale o al CSIRT. I fornitori di servizi digitali venivano trattati in modo più leggero, sulla teoria che operassero già oltre i confini e competessero sulla resilienza, cosicché un regime armonizzato ma più leggero avrebbe evitato di frammentare il mercato unico.

Perché è stata sostituita

Il giudizio onesto su NIS 1 è che ha dimostrato il concetto ma ha mantenuto meno del promesso. Tre debolezze sono emerse ripetutamente. L'ambito era troppo ristretto, lasciando interi settori e la maggior parte delle organizzazioni di medie dimensioni al di fuori di qualsiasi obbligo, anche quando il loro fallimento avrebbe arrecato danno.

L'applicazione era disomogenea, perché il recepimento lasciava a ciascuno Stato membro decidere chi rientrasse nell'ambito e con quanta fermezza spingere, cosicché un'azienda poteva essere regolamentata in un paese e intoccata appena oltre confine. E la notifica degli incidenti era di fatto innocua, con soglie e tempistiche che variavano così tanto che la visibilità transfrontaliera che la direttiva avrebbe dovuto creare non si è mai davvero concretizzata.

NIS 2 è stata la risposta a tutti e tre. Ha ampliato l'ambito a molti più settori e a un criterio basato sulle dimensioni, ha sostituito la divisione OES/DSP con soggetti essenziali e importanti, ha irrigidito la notifica degli incidenti in fasi più chiare e ha posto una reale responsabilità della direzione e sanzioni dietro gli obblighi. Per un professionista di oggi, NIS 1 è soprattutto contesto: spiega la forma delle regole sotto cui ora vive e i riflessi che la sua organizzazione ha costruito prima della ricostruzione.

Frequently asked questions

01NIS 1 è ancora in vigore?

No. NIS 1 è stata abrogata e sostituita dalla Direttiva NIS 2, divenuta applicabile nell'ottobre 2024. Gli obblighi ora derivano da NIS 2 e dal suo recepimento nazionale, non dalla direttiva del 2016.

02Qual è la differenza tra un OES e un DSP ai sensi di NIS 1?

Gli operatori di servizi essenziali venivano individuati caso per caso dagli Stati membri in settori critici ed erano soggetti a una vigilanza proattiva. I fornitori di servizi digitali, come i fornitori di cloud e i mercati online, rientravano nell'ambito in modo più automatico ed erano vigilati secondo un regime più leggero, per lo più reattivo.

03Perché NIS 1 era considerata troppo debole?

Il suo ambito era ristretto, il recepimento rendeva l'applicazione disomogenea tra gli Stati membri, e le regole di notifica degli incidenti variavano così tanto che la visibilità transfrontaliera non ha mai funzionato come previsto. NIS 2 è stata scritta specificamente per colmare queste tre lacune.

04Se la mia organizzazione era conforme a NIS 1, ciò copre NIS 2?

Non per impostazione predefinita. NIS 2 amplia l'ambito, alza le aspettative su gestione del rischio e notifica, e aggiunge la responsabilità della direzione. Un programma NIS 1 è un punto di partenza utile ma necessita di un'analisi delle lacune rispetto a NIS 2.

05Che relazione ha NIS 1 con il GDPR?

Sono distinti. Il GDPR protegge i dati personali ed è applicato dalle autorità per la protezione dei dati. NIS 1 riguardava la sicurezza operativa e la resilienza dei servizi essenziali e digitali. Un incidente può attivare entrambi i regimi contemporaneamente.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.