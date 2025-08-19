Il 14 dicembre 2022 il Parlamento Europeo e il Consiglio dell’Unione Europea hanno adottato la direttiva (UE) 2022/2555 (NIS 2) rafforzando il proprio quadro normativo in materia di cybersicurezza, estendendo l’ambito di applicazione a nuovi settori e imponendo requisiti più stringenti relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, abrogando la direttiva (UE) 2016/1148 (NIS 1).

L’Italia ha recepito la direttiva attraverso l’introduzione del Decreto Legislativo n. 138 del 4 Settembre 2024. Le aziende e gli enti pubblici coinvolti nei provvedimenti dovranno adeguarsi, innalzando il loro livello di sicurezza e unificandolo con lo standard europeo. Tra i soggetti direttamente coinvolti figurano i fornitori di servizi di data center che sono considerati infrastrutture critiche per la resilienza digitale dell’Europa.

Chi sono i fornitori di servizi di data center secondo la NIS 2

La NIS 2 rappresenta un passo fondamentale verso il rafforzamento della sicurezza e della resilienza digitale a livello europeo, ponendo un’attenzione specifica sui fornitori di servizi di data center, considerati infrastrutture essenziali per il funzionamento delle società moderne e delle economie digitali. L’obiettivo centrale della NIS 2 è assicurare che questi operatori adottino misure idonee per prevenire, gestire e mitigare i rischi informatici, garantendo la continuità operativa anche in caso di incidenti. La direttiva identifica una serie di obblighi stringenti che investono l’intera governance aziendale e coinvolgono sia la dimensione fisica sia quella logica della sicurezza.

Questi operatori offrono servizi infrastrutturali per l’elaborazione, l’archiviazione e la trasmissione di dati digitali, e sono quindi tenuti a rispettare obblighi specifici in materia di:

Gestione del rischio : la direttiva impone l’adozione di un approccio sistematico alla gestione del rischio, che prevede la valutazione continua delle minacce e delle vulnerabilità che possono compromettere la disponibilità, l’integrità e la riservatezza dei dati e dei servizi erogati. I fornitori devono implementare politiche e procedure formali per identificare, analizzare e mitigare i rischi, con un’attenzione particolare a scenari di attacco complessi e in continua evoluzione, come quelli legati al cybercrime, agli atti di sabotaggio o all’interruzione dei servizi critici.

Oltre alla protezione delle infrastrutture digitali (reti, sistemi, dati), la NIS 2 richiede anche robusti controlli di sicurezza fisica sugli accessi ai data center, ai locali tecnici e alle apparecchiature sensibili. Si tratta di garantire che solo personale autorizzato possa entrare nelle aree critiche e che siano adottate misure contro furti, intrusioni o danni accidentali. Sul piano logico, è fondamentale implementare sistemi avanzati di autenticazione, monitoraggio continuo, crittografia e segmentazione delle reti per prevenire accessi non autorizzati e limitarne l’impatto. Business continuity : La direttiva esige che i fornitori di data center predispongano solidi piani di continuità operativa e disaster recovery, in modo da poter garantire la ripresa tempestiva delle attività in caso di incidente, attacco informatico o evento catastrofico. Questi piani devono essere testati regolarmente e coinvolgere sia l’aspetto tecnologico sia quello organizzativo, includendo procedure di backup, ridondanza dei sistemi e comunicazione efficace con clienti e stakeholder

Per i motivi sopra descritti si parla di fornitori di data center come soggetti “essenziali” o “importanti”, in quanto si fa riferimento al loro ruolo cruciale nel garantire la resilienza e la sicurezza delle infrastrutture digitali su cui si fondano società moderne e economie digitali.

La direttiva NIS 2 li identifica infatti come infrastrutture vitali, la cui interruzione potrebbe avere impatti significativi sulla continuità dei servizi digitali, sulla sicurezza nazionale e sul funzionamento di servizi pubblici e privati fondamentali. In altri termini, la normativa attribuisce loro una responsabilità strategica nella protezione dell’ecosistema digitale europeo, elevando il livello di attenzione e di vigilanza richiesti per prevenire, gestire e mitigare i rischi informatici.

La differenza tra soggetti “essenziali” e “importanti” nella NIS 2

La direttiva NIS 2 introduce una distinzione significativa tra “soggetti essenziali” e “soggetti importanti”, due categorie di operatori chiave per la sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Questa differenziazione è centrale per stabilire il livello di obblighi di sicurezza e di supervisione a cui sono sottoposti i diversi attori.

I soggetti essenziali sono quelle organizzazioni, aziende o enti che svolgono un ruolo fondamentale per il funzionamento della società e dell’economia. Si tratta di realtà la cui interruzione dei servizi, anche temporanea, avrebbe impatti gravi e diffusi su settori strategici come energia, trasporti, sanità, infrastrutture digitali, finanza e altri servizi vitali. Per questo motivo, ai soggetti essenziali la NIS 2 impone requisiti di sicurezza più stringenti, controlli più frequenti e una supervisione rafforzata da parte delle autorità competenti. Esempi: fornitori di servizi energetici, gestori di reti di comunicazione elettronica, operatori di data center critici, ospedali e istituzioni finanziarie di rilievo.

I soggetti importanti sono organizzazioni che, pur non rientrando nella categoria degli essenziali, rivestono comunque un ruolo significativo nella catena di fornitura o nell’erogazione di servizi digitali e infrastrutturali. Anche se un eventuale incidente in queste realtà può avere conseguenze rilevanti, l’impatto a livello sociale, economico o nazionale è generalmente meno esteso rispetto ai soggetti essenziali. Per questa categoria, la NIS 2 prevede obblighi di sicurezza robusti, ma con un regime di supervisione meno gravoso e controlli prevalentemente ex post, cioè successivi a segnalazioni o incidenti.

Principali differenze operative

Supervisione: i soggetti essenziali sono soggetti a controlli regolari e proattivi, mentre per i soggetti importanti la supervisione è in genere reattiva, attivata da incidenti o segnalazioni.

Obblighi di notifica: entrambe le categorie devono notificare incidenti rilevanti, ma i tempi e le modalità possono variare, con requisiti più stringenti per i soggetti essenziali.

Sanzioni e responsabilità: le sanzioni previste dalla normativa possono essere più elevate per i soggetti essenziali, vista la loro criticità per la collettività.

Sicurezza dell’infrastruttura fisica: Nis 2 e fornitori data center

La sicurezza fisica è un pilastro fondamentale della NIS 2. I data center devono garantire:

Controllo degli accessi fisici: sistemi biometrici, badge RFID-Radio Frequency Identification, videosorveglianza H24 .

. Protezione perimetrale: recinzioni, barriere anti-intrusione, vigilanza armata.

Sistemi antincendio e antiallagamento: con rilevatori intelligenti e sistemi di spegnimento automatico.

Ridondanza energetica: gruppi di continuità (UPS), generatori diesel, doppia alimentazione.

La direttiva sottolinea l’interconnessione tra sicurezza fisica e logica, riconoscendo che un attacco fisico può compromettere la disponibilità e l’integrità dei dati tanto quanto un attacco informatico.

Sicurezza logica e informatica

La sicurezza logica imposta dalla NIS 2 si basa su un approccio “multirischio” e sistemico.

I fornitori devono implementare:

Sistemi di gestione della sicurezza delle informazioni (ISMS) conformi a ISO/IEC 27001.

Segmentazione delle reti e architetture Zero Trust.

Crittografia dei dati in transito e a riposo.

Monitoraggio continuo e sistemi SIEM per la rilevazione delle minacce. Un elemento fondamentale nella protezione informatica è rappresentato dai sistemi SIEM (Security Information and Event Management), soluzioni che raccolgono, correlano e analizzano in tempo reale i log e gli eventi generati dall’infrastruttura IT. L’obiettivo dei SIEM è individuare tempestivamente attività sospette o anomalie, consentendo una risposta rapida agli incidenti di sicurezza e supportando la compliance normativa.

Gestione delle vulnerabilità e patching tempestivo.

Inoltre, la direttiva impone formazione continua del personale, gestione sicura degli asset e politiche di accesso basate sul principio del minimo privilegio. Sotto il profilo della governance, la NIS2 impone al top management dei Soggetti Essenziali e Importanti non solo la creazione di misure per la gestione dei rischi, ma anche l’istituzione di programmi di formazione erogati con regolarità alla popolazione aziendale.

Rispetto al risk management, la Direttiva NIS2 stabilisce l’obbligo di valutare i rischi e di adottare misure di natura tecnica e organizzativa per contrastarli efficacemente.

Obblighi di compliance e sanzioni

La direttiva NIS 2 chiede che ogni stato adotti una strategia nazionale per la cybersicurezza (art. 7), impostando obiettivi, risorse, misure strategiche e normative.

Dal 2024, i fornitori devono registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN) e dimostrare la conformità ai requisiti NIS 2. Le sanzioni per la mancata conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale.

Impatto sulla supply chain

La NIS 2 pone attenzione alla catena di approvvigionamento. I fornitori di data center devono valutare la sicurezza dei propri subfornitori e partner, integrando criteri di cybersicurezza nei contratti e nei processi di procurement.

Per le attività pubbliche e private oggetto della direttiva, selezionare fornitori certificati ISO 27001 significa allinearsi con maggiore facilità alle disposizioni che mirano a proteggere la catena di approvvigionamento, mitigando i rischi provenienti dal contatto con aziende esterne.