La nostra indagine
Il nostro obiettivo è di valutare se la direttiva in esame coinvolga anche soggetti privati i quali abbiano deciso di mettere volontariamente e gratuitamente a disposizione di chiunque servizi online.
In sostanza, ci proponiamo di approfondire se la direttiva NIS 2 si applichi anche a privati (persone fisiche, giuridiche, associazioni, fondazioni) che, dai server che amministrano, espongano pubblicamente su Internet servizi (o determinati servizi) gratuitamente come istanze self-hosted, rendendoli così fruibili a chiunque ne abbia interesse.
Sono esclusi dalla presente indagine i soggetti che siano qualificabili come impresa nelle diverse configurazioni (piccola, media e grande), così ogni altro soggetto che svolga le attività individuate dalla direttiva NIS 2 a scopo di lucro.
La direttiva UE 2022/2555 - (direttiva NIS 2)
La Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE)2016/1148 (direttiva NIS2) è stata pubblicata nella Gazzetta Ufficiale dell’Unione europea del 27/12/2022.
Ai sensi dell’art. 41(1), rubricato “Recepimento"
Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.
Essi applicano tali disposizioni a decorrere dal 18 ottobre 2024.
La Direttiva (UE) 2022/2555 (NIS 2) è entrata in vigore il 16/1/2023 (art. 45).
Oggetto della direttiva
Il paragrafo 1 dell’art. 1, dispone:
La presente direttiva stabilisce misure volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno.
Chi? Quali i soggetti coinvolti
La parte più rilevante riguarda i soggetti coinvolti che il legislatore europeo individua all’articolo 2 - utilizzando una complessa tecnica di richiami normativi che impegna non poco anche i giuristi - in diverse categorie.
Ai fini di questo contributo, focalizzeremo l’attenzione su quei soggetti che non sono considerati imprese (piccole, medie o grandi) sia pubbliche sia private.
Il fenomeno sul quale va posta attenzione è il seguente. Molto frequentemente si riscontra su Internet l’esistenza di servizi digitali pubblici, e cioè disponibili a chiunque abbia interesse e ne faccia richiesta. Tali servizi sono installati su “istanze” (server) di privati, i quali hanno scelto volontariamente di renderli fruibili gratuitamente.
Nel novero dei soggetti privati, oltre alle persone fisiche, vanno incluse anche associazioni, fondazioni che - per loro natura - non hanno scopo di lucro.
Pertanto, la nostra disamina ha necessariamente inizio dalla individuazione dei soggetti identificati dalla direttiva NIS 2 ai quali la stessa si applica.
L’art. 2(1) individua “i soggetti pubblici o privati delle tipologie di cui all’allegato I o II che sono considerati medie imprese” richiamando per la loro precisa identificazione l’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE.
Escludendo volutamente, come si è detto, le categorie di soggetti classificati imprese (piccole, medie e grandi) secondo la definizione contenuta nella legislazione europea, procediamo all’analisi delle singole norme della direttiva.
L’art. 2(2) stabilisce che la “direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II qualora”
(a) i servizi siano forniti da:
- fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
- prestatore di servizi di fiducia;
- registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
La qualificazione dei soggetti
A questo punto, emergono i seguenti aspetti da approfondire:
- la qualificazione dei “soggetti” così come genericamente proposta dalla norma citata;
- la qualificazione dei “soggetti” indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II;
- l’individuazione dei “servizi”, quanto meno secondo quanto indicato alla lettera (a) - i).
Riguardo al primo punto, è fondamentale la definizione di “soggetto” contenuta nell’art. 6, paragrafo 1, numero (38), secondo la quale:
«soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale applicabile nel suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi
La predetta definizione di soggetto è talmente ampia da includere senza possibilità di esclusione tutte le persone fisiche che abbiano capacità di esercitare diritti ed essere soggetta a obblighi (capacità di agire secondo l’ordinamento italiano).
Allo stesso modo, è altrettanto ampia la qualificazione come “soggetto” delle persone giuridiche che abbiano le medesime capacità di esercitare diritti ed essere soggette a obblighi. In quest’ultimo caso, non si fa alcuna distinzione sia riguardo alla natura giuridica della persona giuridica (società, associazioni, fondazioni) sia relativamente alla finalità di un eventuale scopo di lucro.
Peraltro, la qualificazione “indipendentemente dalle loro dimensioni” contenuta nel menzionato articolo 2(2)(a)(i) fa escludere che essa sia applicabile alle persone fisiche, restando unicamente una caratteristica delle persone giuridiche. Conseguentemente, la qualificazione della “persone giuridica” risulta ulteriormente estesa rispetto a quanto precisato nel paragrafo precedente, poiché risulta ininfluente la sua dimensione.
Per completare l’inquadramento, risulta ininfluente anche l’eventuale collocazione del “soggetto” persona fisica o giuridica in una delle categorie previste dagli allegati I e II della direttiva NIS 2.
Al termine della disamina relativa esclusivamente al termine “soggetto”, emerge che qualunque persona fisica o persona giuridica è interessata dalla direttiva NIS 2.
L’individuazione dei servizi
L’elemento decisivo per la qualificazione dei soggetti (sempre riguardo all’obiettivo dichiarato al principio di questo contributo) ai quali va applicata la direttiva NIS 2 è unicamente quello della qualificazione dei servizi.
In particolare, il menzionato articolo 2(2)(a), alle lettere (i), (ii) e (iii), individua i servizi e precisamente i seguenti:
- fornitura di reti di comunicazione elettroniche pubbliche;
- fornitura di servizi di comunicazione elettronica accessibili al pubblico;
- servizi di fiducia;
- registri dei nomi di dominio di primo livello
- fornitori di servizi di sistema dei nomi di dominio.
Ai fini di una corretta qualificazione, vanno riportate le definizioni dei servizi suddetti così come indicate all’art. 6 della direttiva NIS 2.
Riportiamo, quindi, le seguenti definizioni:
1) Articolo 6(1)(36)
«rete pubblica di comunicazione elettronica»: una rete pubblica di comunicazione elettronica quale definita all’articolo 2, punto 8), della direttiva (UE) 2018/1972. Il sistema dei richiami utilizzato dal legislatore europeo impone di ricercare la definizione in altro provvedimento legislativo (direttiva (UE) 2018/1972 - codice europeo delle comunicazioni elettroniche) che la declina nei termini seguenti:
«rete pubblica di comunicazione elettronica»: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete.
2) Articolo 6(1)(36)
«servizio di comunicazione elettronica»: un servizio di comunicazione elettronica quale definito all’articolo 2, punto 4), della direttiva (UE) 2018/1972.
La definizione richiamata è la seguente:
«servizio di comunicazione elettronica»: i servizi forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono, con l’eccezione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti, i tipi di servizi seguenti:
a) «servizio di accesso a internet» quale definito all’articolo 2, secondo comma, punto 2), del regolamento (UE) 2015/ 2120;
b) «servizio di comunicazione interpersonale»;
c) servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la diffusione circolare radiotelevisiva.
3) Articolo 6(1)(24)
«servizio fiduciario»: un servizio fiduciario quale definito all’articolo 3, punto 16), del regolamento (UE) n. 910/2014.
La definizione richiamata è la seguente:
«servizio fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
b) creazione, verifica e convalida di certificati di autenticazione di siti web; o
c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
4) Articolo 6(1)(21)
«registro dei nomi di dominio di primo livello» o «registro dei nomi TLD»: un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell’amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi TLD sono utilizzati da un registro esclusivamente per uso proprio;
Sarebbe da escludere che persone fisiche, associazioni o fondazioni possano svolgere i servizi indicati ai numeri 1, 3 e 4, mentre il servizio indicato al numero 2 risulta erogabile.
5) Articolo 6(1)(22)
«soggetto che fornisce servizi di registrazione di nomi di dominio»: un registrar o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy.
Conclusioni: la direttiva NIS 2 si applica anche a persone fisiche e giuridiche
Alla luce del percorso ermeneutico che abbiamo illustrato, emergerebbe che persone fisiche, associazioni o fondazioni possano fornire unicamente servizi indicati al punto 2 dell’elenco declinato nel precedente paragrafo, ai quali soggetti, pertanto, si applica la direttiva NIS 2.
Quindi, persone fisiche, associazioni e fondazioni che forniscano anche gratuitamente un servizio di comunicazione elettronica, e specificamente servizi di comunicazione interpersonale, sono soggetti alla direttiva NIS 2.
Non è chiaro se nel novero dei servizi di comunicazione elettronica, così come definiti, possano rientrare anche i servizi di social network e cloud computing, che - allo stato - sembrerebbero riconducibili unicamente a soggetti che svolgono attività di impresa con evidente scopo di lucro.
Open source e servizi resi pubblicamente gratuiti online: quale sarà la sorte?
C’era una volta la libertà digitale e il significato profondo del software open source? Questo interrogativo è il punto di partenza della nostra indagine.
Il percorso di analisi ermenenutica delle citate norme contenute nella direttiva NIS 2, conduce ad alcune riflessioni importanti.
È noto che il software open source si basi su una propria filosofia e questa non è la sede per approfondire.
Tuttavia, non possiamo evitare di evidenziare come alcuni progetti con i quali si sono realizzati protocolli definiti “open” o “open standard” possano subire limitazioni nella fruibilità a livello globale in conseguenza della applicabilità delle norme della direttiva NIS 2. In effetti, soggetti (persone fisiche, associazioni, fondazioni) ai quali si applica la direttiva NIS 2, anche solo per sottrarsi agli adempimenti imposti da questa disciplina, potrebbero decidere di non offrire più gratuitamente servizi relativi a risorse open source a detrimento di potenziali utenti fruitori.
Per essere più chiari, immaginiamo soggetti privati quali persone fisiche (compresi noi), giuridiche, associazioni, fondazioni, che hanno voluto installare un’istanza pubblica di Matrix rendendola così fruibile a chiunque. Sul piano della individuazione dell’oggetto del servizio, non sembra esserci alcun dubbio che Matrix costituisca un servizio di comunicazione elettronica secondo la definizione fornita dalla direttiva NIS 2.
Altra ipotesi, è quella di chi (sempre soggetti privati quali persone fisiche, giuridiche, associazioni, fondazioni) abbia installato o intenda installare un’istanza pubblica di un servizio XMPP, rendendola fruibile gratuitamente a chiunque. Anche in questo caso, trattandosi di un servizio di comunicazione elettronica, il soggetto che fornisce questo servizio sarà obbligato al rispetto della direttiva NIS 2 con ogni conseguenza in ordine agli adempimenti da effettuare. Senza voler tediare il lettore, il medesimo ragionamento può essere trasposto per qualsiasi servizio di comunicazione offerto gratuitamente a chiunque da privati.
A nostro avviso, tra i servizi XMPP, potrebbe restare escluso dalla disciplina della direttiva NIS 2 Snikket in quanto non è prevista un accesso pubblico a chiunque per la registrazione, con la conseguenza che il servizio non è, appunto, pubblico. Tuttavia, si potrebbe anche obiettare che - sebbene la registrazione non sia pubblicamente esposta - il servizio di comunicazione è comunque fornito agli utenti ammessi dall’amministratore. Pertanto, anche in questo caso, non è del tutto chiaro quale sarà il trattamento normativo riservato a questo tipo di servizi.
Ancora, immaginiamo uno scenario del tutto simile ai precedenti in presenza di istanze pubbliche accessibili e fruibili gratuitamente da chiunque per servizi di social network, cloud computing o motori di ricerca. Immaginiamo, per esempio, un’istanza di Mastodon, di Nextcloud, oppure un’istanza pubblica di SearXNG.
In tutti i casi indicati (e non sono la totalità) va evidenziato come i soggetti che mettono volontariamente e gratuitamente a disposizione di chiunque servizi pubblici online hanno dei costi che sopportano a proprie spese e a volte (ma non sempre) con donazioni. Queste iniziative andrebbero apprezzate e incentivate.
Il comprensibile e condivisibile scopo della direttiva NIS 2 pregiudicherebbe da un lato la libertà di offrire gratuitamente servizi a chiunque (e quindi pubblici), e dall’altro inciderebbe sullo sviluppo di software open source - probabilmente - disincentivandolo.
Il punto nodale riguarda sempre la ricerca di un equilibrio frutto di un bilanciamento degli interessi tra l’esigenza (legittima) di una sovranità digitale europea e natura e essenza della rete Internet per come è stata concepita per quanto si sia evoluta sino ad oggi.
Tale equilibrio dovrebbe (o avrebbe dovuto) essere il risultato di un proficuo percorso congiunto tra la politica, i legislatori, gli stakeholder e la società civile.
Entro la scadenza del termine indicato dalla direttiva per il recepimento (17/10/2024) gli Stati dell’Unione provvedano consapevolmente per rendere applicabili le disposizioni dal 18/10/2024 come previsto.
L’auspicio è che - oltre ad eventuali chiarimenti utili a fugare dubbi - si intervenga per evitare che tale assetto comporti distorsioni talmente acute che possano risultare seriamente pregiudizievoli per lo sviluppo del software open source, per chi volontariamente mette a disposizione delle risorse digitali e per chi intenda liberamente fruire dei servizi pubblicamente disponibili online.
Se questa risorsa è stata utile, puoi contribuire con
o donare via
Follow us on Mastodon
Stay tuned!