La Comunità Europea ha emanto le prime norme di attuazione della Direttiva NIS 2 con un regolamento di attuazione (2024/2690). Il regolamento, pubblicato in Gazzetta Ufficiale UE il 18 ottobre 2024, descrive le regole (requisiti tecnici e metodologici) per la gestione dei rischi cyber e specifica i criteri per cui un incidente può essere considerato significativo o essenziale.

In realtà il regolamento è dedicato ai fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari, ma può essere una base interessante anche per tutte le altre aziende che ricadono nel perimetro di applicazione della NIS 2. Vediamo perchè.

I primi suggerimenti interessanti vengono proprio dai “considerando” che vale la pena leggere e studiare in dettaglio perchè specificano “come fare” quello che, negli articoli successivi, si impone di fare. Qui ne approfondiamo qualcuno.

Nel considerando 3, si specifica che i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento si basano su norme europee e internazionali, quali ISO/IEC 27001, ISO/IEC 27002 ed ETSI EN 319401, e su specifiche tecniche, quali CEN/TS 18026:2024, pertinenti per la sicurezza dei sistemi informativi e di rete.

Il considerando 4 ribadisce il concetto di proporzionalità che deve tener conto dell’esposizione al rischio del soggetto, le dimensioni della struttura, la probabilità che si verifichino incidenti e la loro gravità, compreso il loro impatto sociale ed economico. Il regolamento prevede anche il caso in cui alcune delle misure non sia possibile attuarle (considerando 6) o non si ritengono opportune (accountability), il soggetto dovrebbe documentare in modo comprensibile le ragioni di tale decisione.

Nel considerando 9 si definisce la politica di sicurezza aziendale come il documento di livello più elevato che definisce l’approccio generale dei soggetti pertinenti alla sicurezza dei sistemi informativi e di rete e dovrebbe essere approvata dagli organi di gestione dei soggetti pertinenti.

Nei considerando successivi si riprendono alcuni concetti fondamentali sulle misure di sicurezza da adottare:

  • n.11 istituire e mantenere un piano di gestione e trattamento dei rischi
  • n.12 monitoraggio dei sistemi informativi e di rete volto ad individuare eventi, quasi incidenti ed incidenti
  • n.13 obiettivi in termini di ripristino
  • n.14 catena di approvvigionamento
  • n.15 test di sicurezza periodici
  • n.16 applicazione di patch di sicurezza
  • n.17 gestire i rischi durante l’acquisto di nuove infrastrutture
  • n.18 protezione contro minacce informatiche (es. firewall, vpn, ecc.)
  • n.19 protezione da software malevoli
  • n.20 formazione in materia di sicurezza informatica
  • n.21 politiche sull’accesso ai sistemi informativi
  • n.22 misure di gestione della sicurezza del personale
  • n.23 autenticazione a più fattori
  • n.24 e 25 misure per la gestione delle risorse di valore

Entrando in dettaglio del regolamento gli incidenti vengono suddivisi in due “famiglie”: incidenti significativi ed incidenti ricorrenti.

L’articolo 3 identifica quando un incidente è considerato significativo:

a) l’incidente ha causato o è in grado di causare al soggetto pertinente una perdita finanziaria diretta superiore a 500 000 EUR o, se tale importo è inferiore, al 5 % del suo fatturato totale annuo dell’esercizio precedente;

b) l’incidente ha causato o è in grado di causare l’esfiltrazione di segreti commerciali, quali definiti all’articolo 2, punto 1), della direttiva (UE) 2016/943, del soggetto pertinente;

c) l’incidente ha causato o è in grado di causare il decesso di una persona fisica;

d) l’incidente ha causato o è in grado di causare danni considerevoli alla salute di una persona fisica;

e) si è verificato un accesso non autorizzato ai sistemi informativi e di rete, che si sospetta essere malevolo ed è in grado di causare gravi perturbazioni operative;

f) l’incidente soddisfa i criteri di cui all’articolo 4 (incidenti ricorrenti);

g) l’incidente soddisfa uno o più criteri di cui agli articoli da 5 a 14.

Nell’articolo 4 vengono definiti gli incidenti ricorrenti:

Gli incidenti che singolarmente non sono considerati un incidente significativo ai sensi dell’articolo 3 sono considerati collettivamente come un unico incidente significativo se soddisfano tutti i criteri seguenti:

a) si sono verificati almeno due volte nell’arco di sei mesi;

b) presentano la stessa causa di fondo apparente;

c) soddisfano collettivamente il criterio di cui all’articolo 3, paragrafo 1, lettera a).

Negli articoli successivi vengono specificati i criteri per cui considerare gli incidenti significativi nei casi specifici per i fornitori di servizi DNS, i registri dei nomi di primo livello, dei fornitori di servizi di cloud computing, di servizi di data center, di reti di distribuzione dei contenuti, dei servizi gestiti, dei mercati online, dei motori di ricerca online, delle piattaforme di servizi social networking, dei prestatori di servizi fiduciari.

Come anticipato all’inizio della pagina, il regolamento si rivolge ad alcuni settori specifici e non tutti quelli inclusi nel perimetro NIS 2, tuttavia i contenuti del regolamento sono di indubbia utilità per tutti i soggetti che dovranno adeguarsi.

Altrettanto interessanti ed importanti sono gli allegati che specificano in dettaglio i requisiti tecnici e metodologici relativamente a:

  • Politica di sicurezza dei sistemi informativi e di rete [articolo 21, paragrafo 2, lettera a), della direttiva (UE) 2022/2555]
  • Politica di gestione dei rischi [articolo 21, paragrafo 2, lettera a), della direttiva (UE) 2022/2555]
  • Gestione degli incidenti [articolo 21, paragrafo 2, lettera b), della direttiva (UE) 2022/2555]
  • Continuità operativa e gestione delle crisi [articolo 21, paragrafo 2, lettera c), della direttiva (UE) 2022/2555]
  • Sicurezza della catena di approvvigionamento [articolo 21, paragrafo 2, lettera d), della direttiva (UE) 2022/2555]
  • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete [articolo 21, paragrafo 2, lettera e), della direttiva (UE) 2022/2555]
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza [articolo 21, paragrafo 2, lettera f), della direttiva (UE) 2022/2555]
  • Pratiche di igiene informatica di base e formazione in materia di sicurezza [articolo 21, paragrafo 2, lettera g), della direttiva (UE) 2022/2555]
  • Crittografia [articolo 21, paragrafo 2, lettera h), della direttiva (UE) 2022/2555]
  • Sicurezza delle risorse umane [articolo 21, paragrafo 2, lettera i), della direttiva (UE) 2022/2555]
  • Controllo dell’accesso [articolo 21, paragrafo 2, lettere i) e j), della direttiva (UE) 2022/2555]
  • Gestione delle risorse [articolo 21, paragrafo 2, lettera i), della direttiva (UE) 2022/2555]
  • Sicurezza ambientale e fisica [articolo 21, paragrafo 2, lettere c), e) ed i), della direttiva (UE) 2022/2555]