Nis2 e fornitori di servizi data center, le regole: come adeguarsi

Chi sono i fornitori di servizi di data center secondo la NIS 2

La NIS 2 rappresenta un passo fondamentale verso il rafforzamento della sicurezza e della resilienza digitale a livello europeo, ponendo un’attenzione specifica sui fornitori di servizi di data center, considerati infrastrutture essenziali per il funzionamento delle società moderne e delle economie digitali. L’obiettivo centrale della NIS 2 è assicurare che questi operatori adottino misure idonee per prevenire, gestire e mitigare i rischi informatici, garantendo la continuità operativa anche in caso di incidenti. La direttiva identifica una serie di obblighi stringenti che investono l’intera governance aziendale e coinvolgono sia la dimensione fisica sia quella logica della sicurezza.

Questi operatori offrono servizi infrastrutturali per l’elaborazione, l’archiviazione e la trasmissione di dati digitali, e sono quindi tenuti a rispettare obblighi specifici in materia di:

• Gestione del rischio: la direttiva impone l’adozione di un approccio sistematico alla gestione del rischio, che prevede la valutazione continua delle minacce e delle vulnerabilità che possono compromettere la disponibilità, l’integrità e la riservatezza dei dati e dei servizi erogati. I fornitori devono implementare politiche e procedure formali per identificare, analizzare e mitigare i rischi, con un’attenzione particolare a scenari di attacco complessi e in continua evoluzione, come quelli legati al cybercrime, agli atti di sabotaggio o all’interruzione dei servizi critici.
• Sicurezza fisica e logica: Oltre alla protezione delle infrastrutture digitali (reti, sistemi, dati), la NIS 2 richiede anche robusti controlli di sicurezza fisica sugli accessi ai data center, ai locali tecnici e alle apparecchiature sensibili. Si tratta di garantire che solo personale autorizzato possa entrare nelle aree critiche e che siano adottate misure contro furti, intrusioni o danni accidentali. Sul piano logico, è fondamentale implementare sistemi avanzati di autenticazione, monitoraggio continuo, crittografia e segmentazione delle reti per prevenire accessi non autorizzati e limitarne l’impatto.
• Business continuity: La direttiva esige che i fornitori di data center predispongano solidi piani di continuità operativa e disaster recovery, in modo da poter garantire la ripresa tempestiva delle attività in caso di incidente, attacco informatico o evento catastrofico. Questi piani devono essere testati regolarmente e coinvolgere sia l’aspetto tecnologico sia quello organizzativo, includendo procedure di backup, ridondanza dei sistemi e comunicazione efficace con clienti e stakeholder
• Notifica degli incidenti: In caso di violazione della sicurezza o altro incidente rilevante, la NIS 2 obbliga alla notifica tempestiva alle autorità competenti e, se necessario, agli utenti dei servizi coinvolti. La segnalazione deve contenere una descrizione dettagliata dell’accaduto, le conseguenze, le misure adottate e un’analisi degli impatti. Questo obbligo mira a favorire la trasparenza, la condivisione delle informazioni e la risposta coordinata a livello nazionale e europeo.
• Governance della cybersicurezza: La governance richiede che il management sia coinvolto attivamente nella definizione delle strategie e delle politiche di sicurezza, promuovendo una cultura aziendale orientata alla prevenzione e alla resilienza. È necessario designare ruoli e responsabilità, formare il personale e monitorare costantemente l’efficacia delle misure adottate, adottando un ciclo continuo di miglioramento sulla base delle minacce emergenti e delle migliori pratiche internazionali.

Per i motivi sopra descritti si parla di fornitori di data center come soggetti “essenziali” o “importanti”, in quanto si fa riferimento al loro ruolo cruciale nel garantire la resilienza e la sicurezza delle infrastrutture digitali su cui si fondano società moderne e economie digitali.

La direttiva NIS 2 li identifica infatti come infrastrutture vitali, la cui interruzione potrebbe avere impatti significativi sulla continuità dei servizi digitali, sulla sicurezza nazionale e sul funzionamento di servizi pubblici e privati fondamentali. In altri termini, la normativa attribuisce loro una responsabilità strategica nella protezione dell’ecosistema digitale europeo, elevando il livello di attenzione e di vigilanza richiesti per prevenire, gestire e mitigare i rischi informatici.

La differenza tra soggetti “essenziali” e “importanti” nella NIS 2

La direttiva NIS 2 introduce una distinzione significativa tra “soggetti essenziali” e “soggetti importanti”, due categorie di operatori chiave per la sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Questa differenziazione è centrale per stabilire il livello di obblighi di sicurezza e di supervisione a cui sono sottoposti i diversi attori.

I soggetti essenziali sono quelle organizzazioni, aziende o enti che svolgono un ruolo fondamentale per il funzionamento della società e dell’economia. Si tratta di realtà la cui interruzione dei servizi, anche temporanea, avrebbe impatti gravi e diffusi su settori strategici come energia, trasporti, sanità, infrastrutture digitali, finanza e altri servizi vitali. Per questo motivo, ai soggetti essenziali la NIS 2 impone requisiti di sicurezza più stringenti, controlli più frequenti e una supervisione rafforzata da parte delle autorità competenti. Esempi: fornitori di servizi energetici, gestori di reti di comunicazione elettronica, operatori di data center critici, ospedali e istituzioni finanziarie di rilievo.

I soggetti importanti sono organizzazioni che, pur non rientrando nella categoria degli essenziali, rivestono comunque un ruolo significativo nella catena di fornitura o nell’erogazione di servizi digitali e infrastrutturali. Anche se un eventuale incidente in queste realtà può avere conseguenze rilevanti, l’impatto a livello sociale, economico o nazionale è generalmente meno esteso rispetto ai soggetti essenziali. Per questa categoria, la NIS 2 prevede obblighi di sicurezza robusti, ma con un regime di supervisione meno gravoso e controlli prevalentemente ex post, cioè successivi a segnalazioni o incidenti.

Principali differenze operative

• Supervisione: i soggetti essenziali sono soggetti a controlli regolari e proattivi, mentre per i soggetti importanti la supervisione è in genere reattiva, attivata da incidenti o segnalazioni.

• Obblighi di notifica: entrambe le categorie devono notificare incidenti rilevanti, ma i tempi e le modalità possono variare, con requisiti più stringenti per i soggetti essenziali.

• Sanzioni e responsabilità: le sanzioni previste dalla normativa possono essere più elevate per i soggetti essenziali, vista la loro criticità per la collettività.

Sicurezza dell’infrastruttura fisica: Nis 2 e fornitori data center

La sicurezza fisica è un pilastro fondamentale della NIS 2. I data center devono garantire:

• Controllo degli accessi fisici: sistemi biometrici, badge RFID-Radio Frequency Identification, videosorveglianza H24.
• Protezione perimetrale: recinzioni, barriere anti-intrusione, vigilanza armata.
• Sistemi antincendio e antiallagamento: con rilevatori intelligenti e sistemi di spegnimento automatico.
• Ridondanza energetica: gruppi di continuità (UPS), generatori diesel, doppia alimentazione.

La direttiva sottolinea l’interconnessione tra sicurezza fisica e logica, riconoscendo che un attacco fisico può compromettere la disponibilità e l’integrità dei dati tanto quanto un attacco informatico.

Sicurezza logica e informatica

La sicurezza logica imposta dalla NIS 2 si basa su un approccio “multirischio” e sistemico.

I fornitori devono implementare:

Inoltre, la direttiva impone formazione continua del personale, gestione sicura degli asset e politiche di accesso basate sul principio del minimo privilegio. Sotto il profilo della governance, la NIS2 impone al top management dei Soggetti Essenziali e Importanti non solo la creazione di misure per la gestione dei rischi, ma anche l’istituzione di programmi di formazione erogati con regolarità alla popolazione aziendale.

Rispetto al risk management, la Direttiva NIS2 stabilisce l’obbligo di valutare i rischi e di adottare misure di natura tecnica e organizzativa per contrastarli efficacemente.

Obblighi di compliance e sanzioni

La direttiva NIS 2 chiede che ogni stato adotti una strategia nazionale per la cybersicurezza (art. 7), impostando obiettivi, risorse, misure strategiche e normative.

Dal 2024, i fornitori devono registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN) e dimostrare la conformità ai requisiti NIS 2. Le sanzioni per la mancata conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale.

Impatto sulla supply chain

La NIS 2 pone attenzione alla catena di approvvigionamento. I fornitori di data center devono valutare la sicurezza dei propri subfornitori e partner, integrando criteri di cybersicurezza nei contratti e nei processi di procurement.

Per le attività pubbliche e private oggetto della direttiva, selezionare fornitori certificati ISO 27001 significa allinearsi con maggiore facilità alle disposizioni che mirano a proteggere la catena di approvvigionamento, mitigando i rischi provenienti dal contatto con aziende esterne.