Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la guida

Nis 2, quali obblighi per i fornitori di punti di interscambio internet (IXP)

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

I fornitori di punti di interscambio IXP sono inclusi nel perimetro della direttiva NIS2, in quanto hanno una rilevanza strategica: ecco cosa bisogna sapere per adeguarsi alla normativa

Pubblicato il 6 ago 2025
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

trasformazione digitale nella pa risorse umane nella pa relazioni nella pubblica amministrazione; obblighi Nis2

La direttiva NIS2 estende i suoi obblighi anche ai fornitori di punti di interscambio Internet (IXP), riconoscendone il ruolo strategico nella sicurezza delle reti europee e prevedendo obblighi rafforzati e adempimenti specifici in ragione della loro rilevanza strategica per il funzionamento della società dell’informazione.

I fornitori di punti di interscambio Internet (Internet Exchange Point – IXP) sono esplicitamente ricompresi nel perimetro di applicazione della direttiva. I requisiti introdotti dalla NIS2 si fondano su un approccio multirischio ed impongono a tali entità l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate, volte a garantire la sicurezza dei sistemi informatici e delle reti utilizzati nello svolgimento delle attività o nella fornitura dei servizi. L’obiettivo è prevenire, o quanto meno, ridurre l’impatto degli incidenti, salvaguardando così la continuità operativa e la resilienza dell’ecosistema digitale.

Registrar TLD e NIS 2, le novità per i gestori di registri di nomi di dominio

Cos’è un IXP e cosa serve

È doveroso ricordare che gli IXP sono nodi fisici dove diversi operatori di rete – quali fornitori di servizi Internet (ISP) e reti di distribuzione di contenuti (CDN) – si collegano per scambiarsi direttamente il traffico dati.

Gli IXP sono in grado di ottimizzare il flusso del traffico Internet, evitando lunghi percorsi tra reti diverse. Ciò si traduce in:

  • Minore latenza, i.e. i dati viaggiano su distanze più brevi, migliorando la velocità, fondamentale per streaming, gaming e VoIP.
  • Maggiore affidabilità, grazie a più percorsi disponibili, la rete è più resiliente ai guasti.
  • Riduzione dei costi, i.e. lo scambio locale de dati garantisce minortraffico da acquistare da fornitori esterni

Inoltre, per funzionare correttamente, un IXP necessita di: switch, router, server, una location neutrale, adeguate fonti di alimentazione, sistemi di raffreddamento, sicurezza fisica ed esperti tecnici per la gestione e il monitoraggio. La loro importanza è tale che senza di essi Internet non potrebbe funzionare, poiché le diverse reti che compongono la rete globale non potrebbero scambiare traffico tra loro e sono da considerarsi parte delle cosiddette “Entità Essenziali di Medie e Grandi dimensioni” – secondo le definizioni della NIS2 – e vi possono rientrare anche piccoli fornitori di IXP che siano ritenuti di importanza critica.

È doveroso evidenziare che l’innalzamento dei livelli di sicurezza degli IXP è un passaggio fondamentale per la messa in sicurezza anche dei grandi carrier, dei data centers e di tutto il sistema Paese.

Fornitori di IXP e NIS2: quali requisiti

Secondo la Direttiva NIS2, gli IXP sono classificati come “servizi essenziali” all’interno del settore dell’infrastruttura digitale. Questa classificazione comporta l’applicazione del regime più stringente di obblighi e controlli previsti dalla direttiva. Ovvero:

  • Supervisione più rigorosa da parte delle autorità nazionali competenti
  • Obblighi di sicurezza più severi
  • Sanzioni più pesanti in caso di non conformità
  • Maggiori responsabilità per il management aziendale

Nis2: principali obblighi di sicurezza dei fornitori di punti di interscambio Internet IXP

Di seguito i principali obblighi di conformità alla NIS2.

Gestione del rischio cyber

Gli operatori IXP devono implementare un sistema completo di gestione del rischio cybersecurity che includa:

  • Politiche di sicurezza – Devono essere definite politiche normative per la gestione del rischio e la sicurezza informatica, con particolare attenzione alla protezione delle reti e dei sistemi IT che supportano i servizi essenziali.
  • Valutazione dei rischi – È richiesta una valutazione continua e sistematica dei rischi cyber, considerando sia le minacce tecniche sia quelle legate alla supply chain.
  • Misure di protezione – Si tratta di implementare misure tecniche e organizzative appropriate per gestire i rischi identificati, inclusi controlli di accesso, crittografia, segmentazione di rete e sistemi di autenticazione robusti.

Gestione degli incidenti

La Direttiva NIS2 stabilisce requisiti specifici per la gestione degli incidenti cyber:

  • Prevenzione e rilevamento – I fornitori di punti di interscambio Internet IXP devono implementare sistemi di prevenzione, rilevamento e risposta agli incidenti cyber, con capacità di monitoraggio continuo dell’infrastruttura critica.
  • Incident Response (IR) – Si deve predisporre un piano di risposta agli incidenti che includa procedure per il contenimento, l’eradicazione e il recovery, nonché per la comunicazione interna ed esterna.
  • Reporting degli incidenti – Ifornitori di punti di interscambio Internet IXP devono notificare incidenti significativi alle autorità competenti entro 24 ore dalla conoscenza dell’incidente, seguito da un rapporto dettagliato entro 72 ore e un rapporto finale entro un mese.

Continuità operativa

I fornitori di punti di interscambio Internet IXP devono altresì garantire la continuità dei servizi essenziali attraverso:

  • Business Continuity Planning (BCP)- Si tratta di sviluppare e mantenere i piani di continuità operativa che assicurino la resilienza dei servizi critici.
  • Disaster Recovery – È necessario implementare procedure di disaster recovery con obiettivi di tempo di ripristino (RTO) e punti di ripristino (RPO) appropriati per servizi essenziali.
  • Testing ed esercitazioni – Si devono programmare regolarmente test ed esercitazioni per verificare l’efficacia dei piani di continuità e disaster recovery.

Sicurezza della supply chain

La NIS2 introduce requisiti specifici per la sicurezza della catena di fornitura. Pertanto, i fornitori di punti di interscambio Internet IXP devono:

  • Effettuare la due diligence sui fornitori – I fornitori di punti di Internet IXPdevono condurre un’adeguata due diligence sui propri fornitori critici, valutando i loro standard di sicurezza e l’affidabilità.
  • Gestione dei rischi di terze parti – Si tratta di implementare processi per identificare, valutare e mitigare i rischi associati ai fornitori di servizi e tecnologie critiche.
  • Contratti e SLA – È fondamentale definire clausole contrattuali appropriate e Service Level Agreement che includano requisiti di sicurezza specifici.

Obblighi di governance e responsabilità del top management

La NIS2 introduce obblighi di governance e responsabilità del top management (i.e. Organi direttivi, CdA, amministratore delegato o rappresentante legale) in termini di: gestione della sicurezza informatica, suddivisa in tre dimensioni fondamentali, ovvero:

  • Responsabilità Dirigenziale – La NIS2 introduce la responsabilità diretta del top management aziendale che deve garantire:
  • Responsibility- La direzione aziendale deve supervisionare, approvare e ricevere formazione specifica sulle procedure di cybersecurity e sulla gestione del rischio cyber dell’azienda.
  • Accountability – Il top management è direttamente responsabile dell’implementazione delle misure di sicurezza richieste dalla direttiva.
  • Liability – Il top management, in caso di violazioni, può essere soggetto a sanzioni che includono responsabilità penale e l’esclusione temporanea dalle funzioni dirigenziali.
  • Formazione e Competenze – Ifornitori di IXP devono assicurare:
  • Programmi di formazione continua in cybersecurity per tutto il personale
  • Competenze specialistiche adeguate del team di sicurezza
  • Aggiornamento costante sulle nuove minacce e tecnologie di difesa
  • Obblighi di Reporting e Compliance – I fornitori di IXP devono garantire una gestione degli incidenti in termini di requisiti di “Notifica degli incidenti” che prevede:
  • Notifica Iniziale – Entro 24 ore dalla conoscenza di un incidente significativo, deve essere inviata una notifica preliminare all’autorità competente.
  • Rapporto Intermedio – Entro 72 ore, deve essere fornito un rapporto più dettagliato che includa valutazione dell’impatto, misure di contenimento adottate e stima dei tempi di ripristino.
  • Rapporto Finale – Entro un mese dall’incidente, deve essere presentato un rapporto finale completo con analisi delle cause, gli impatti definitivi e le misure correttive implementate.

Cooperazione e coordinamento

La NIS2, in termini di cooperazione e coordinamento, stabilisci che i fornitori di IXP devono collaborare con:

  • Autorità nazionali competenti per la cybersecurity
  • Computer Security Incident Response Teams (CSIRT) nazionali
  • Altre entità critiche per la condivisione di informazioni su minacce e vulnerabilità

È doveroso ricordare che, a livello europeo, la NIS2 stabilisce meccanismi di cooperazione attraverso:

  • il Cooperation Group, che facilita la cooperazione strategica tra Stati membri
  • La rete dei CSIRT per la gestione coordinata degli incidenti transfrontalieri
  • La condivisione di threat intelligence e best practices.

Fornitori IXP e Nis2, come adeguarsi

La conformità alla NIS2 non è solo un requisito legale, ma rappresenta un’opportunità per i fornitori di IXP per rafforzare la propria postura di sicurezza e contribuire alla resilienza complessiva dell’ecosistema Internet europeo. Di fatto, l’investimento nelle misure richieste dalla direttiva può inoltre tradursi in vantaggi competitivi migliorare la fiducia dei clienti, oltre che in una riduzione dei rischi operativi. Ovvero, un impegno coordinato che coinvolga il top management, i team tecnici, i fornitori e le autorità di regolamentazione, con l’obiettivo comune di costruire un cyberspace europeo più sicuro e resiliente che sta richiedendo un profondo cambiamento culturale anche da parte del management aziendale degli IXP commerciali, che dovrà affrontare sfide sempre più complesse in risposta alle crescenti problematiche di sicurezza delle infrastrutture di rete oltre che dimostrare la conformità alle normative vigenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • cybersecurity e competitività europea; DPIA

  • vademecum

    DPIA in azienda, come si fa: la guida completa per le imprese

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • equalize dossieraggi competenze cybersecurity

  • l'analisi

    Eu Cybersecurity Index: l'Europa è davvero pronta al digitale?

    18 Lug 2025

    di Francesco Macchia

    Condividi
  • CIA e AI; Ai cybersecurity

  • la guida

    AI per la cybersecurity, ecco come proteggersi dalle minacce informatiche

    16 Mag 2025

    di Federica Maria Rita Livelli

    Condividi