La nostra indagine
Il nostro obiettivo è di valutare se la direttiva in esame coinvolga anche soggetti privati i quali abbiano deciso di mettere volontariamente e gratuitamente a disposizione di chiunque servizi online.
In sostanza, ci proponiamo di approfondire se la direttiva NIS 2 si applichi anche a privati (persone fisiche, giuridiche, associazioni, fondazioni) che, dai server che amministrano, espongano pubblicamente su Internet servizi (o determinati servizi) gratuitamente, rendendoli così fruibili a chiunque ne abbia interesse.
Sono esclusi dalla presente indagine i soggetti che siano qualificabili come impresa nelle diverse configurazioni (piccola, media e grande), così ogni altro soggetto che svolga le attività individuate dalla direttiva NIS 2 a scopo di lucro.
La Direttiva sulla sicurezza delle reti e dell’informazione (NIS 2) mira a migliorare la sicurezza delle reti e dell’informazione nell’UE. Essa si concentra sulla protezione dei sistemi critici per la società e per l’economia, come i sistemi di trasporto, l’energia, la sanità e i servizi finanziari, così come sulla protezione delle infrastrutture digitali. Tuttavia, la direttiva si applica anche alle organizzazioni che offrono servizi digitali ai consumatori, comprese quelle che li offrono gratuitamente.
Il rischio è che le organizzazioni private che offrono servizi gratuiti, possono essere soggette a pesanti obblighi di sicurezza e di notifica delle violazioni, che potrebbero rappresentare un onere significativo per loro. Ciò potrebbe limitare l’offerta di tali servizi e l’innovazione.
Inoltre, la Direttiva NIS 2 potrebbe avere un impatto sulla libertà di espressione e sulla privacy degli utenti, in quanto potrebbe essere utilizzata per limitare la diffusione di contenuti online considerati “pericolosi” o “inaffidabili”.
In generale, l’impianto della Direttiva NIS 2 è complesso e presenta sfide significative. Tuttavia, è importante che le istituzioni europee trovino un equilibrio tra la protezione della sicurezza delle reti e dell’informazione e la tutela dei diritti fondamentali degli utenti e delle organizzazioni.
L’ambito soggettivo previsto dalla Direttiva NIS 2 è articolato e disciplinato dall’articolo 2. La nostra interpretazione, derivante dalla lettura delle specifiche norme, è descritta nel contributo, ove si chiarisce il senso del topic.
L’ambito soggettivo previsto dalla Direttiva NIS 2 è descritto nell’articolo 2 e comprende due tipi di organizzazioni: gli operatori di servizi essenziali (OSE) e le organizzazioni di importanza vitale per la società (IVSO).
Gli OSE sono definiti come organizzazioni che forniscono servizi essenziali per la società e per l’economia, come i sistemi di trasporto, l’energia, la sanità e i servizi finanziari. Queste organizzazioni sono obbligate a implementare misure di sicurezza appropriate per proteggere i loro sistemi e a notificare alle autorità competenti eventuali violazioni della sicurezza.
Le IVSO sono organizzazioni che offrono servizi digitali ai consumatori, come i fornitori di servizi cloud, i motori di ricerca e i social network. Anche queste organizzazioni sono obbligate a implementare misure di sicurezza appropriate e a notificare eventuali violazioni della sicurezza alle autorità competenti.
In generale, l’obiettivo della Direttiva NIS 2 è quello di garantire un livello elevato di sicurezza delle reti e dell’informazione nell’UE, ma ci sono preoccupazioni che gli obblighi imposti possano rappresentare un onere eccessivo per le organizzazioni, soprattutto per quelle che offrono servizi gratuiti.