info@studioiadecola.it
Viale Bovio, 161 64100 Teramo

Seguimi su:
 

Direttiva Nis 2Direttiva NIS 2 e Regolamento attuativo: prime indicazioni

24 Ottobre 2024
https://studioiadecola.it/wp-content/uploads/2024/10/DALL·E-2024-10-23-17.05.23-A-modern-and-professional-illustration-depicting-the-concept-of-the-NIS-2-Directive.-The-image-shows-a-digital-network-of-interconnected-systems-repr.webp

Articolo pubblicato su altalex

Il regolamento di attuazione del 17 ottobre 2024, descrive in concreto quali sono i requisiti tecnici e metodologici per la gestione del rischio legato alla cybersecurity e specifica i criteri per stabilire quando un incidente può essere considerato significativo o essenziale.

Premessa

L’evoluzione tecnologica ha portato una crescente dipendenza da infrastrutture digitali che necessitano di una protezione adeguata contro minacce sempre più sofisticate. In questo contesto, l’Unione Europea ha adottato la Direttiva NIS 2 (Direttiva (UE) 2022/2555) che mira a garantire un elevato livello comune di sicurezza informatica in tutta l’Unione.

A questa direttiva segue il regolamento di attuazione del 17 ottobre 2024, che definisce le norme tecniche e metodologiche per la gestione del rischio legato alla cybersecurity e specifica i criteri per stabilire quando un incidente può essere considerato significativo.

Questo regolamento si applica a diverse tipologie di operatori, tra cui i fornitori di servizi DNS, registri di nomi di dominio di primo livello (TLD), cloud computing, data center, piattaforme di marketplace online, motori di ricerca e social network.

In attesa della pubblicazione sulla Gazzetta UfficIale dell’Unione europea ne analizziamo, per sommi capi, i contenuti.

I requisiti tecnici e metodologici

Uno dei principali obiettivi del regolamento è garantire che le entità coperte dalla Direttiva NIS 2 adottino misure tecniche e metodologiche per la gestione del rischio informatico. Queste misure devono essere proporzionate ai rischi a cui le entità sono esposte e tenere conto di vari fattori, come la dimensione dell’entità, la probabilità che si verifichino incidenti e la gravità di tali eventi, inclusi gli impatti sociali ed economici. I requisiti tecnici si basano su standard internazionali riconosciuti, come ISO/IEC 27001 e ETSI EN 319, e devono essere adattati alla specificità delle attività svolte dalle entità.

In particolare, il regolamento prevede che le entità adottino un approccio sistematico alla gestione del rischio, sviluppando un quadro di gestione del rischio che includa politiche per la sicurezza delle reti e dei sistemi informativi. Inoltre, si incoraggiano politiche specifiche per la gestione degli accessi e la segmentazione della rete, assicurando che solo le persone e i sistemi autorizzati possano accedere alle risorse critiche.

Uno degli elementi fondamentali del regolamento è la possibilità, per le piccole e medie imprese, di implementare misure compensative nel caso in cui non riescano ad applicare completamente alcuni requisiti tecnici o metodologici. Questo garantisce una certa flessibilità nell’applicazione delle norme, purché le entità documentino adeguatamente le ragioni per cui certe misure non sono state applicate e adottino soluzioni alternative per mitigare i rischi.

Gli incidenti significativi  e ricorrenti

Un aspetto chiave del regolamento riguarda la definizione di ciò che costituisce un “incidente significativo” (art. 3). Un incidente è considerato significativo quando sono soddisfatti uno o più di questi criteri:

  • l’incidente ha causato o è in grado di causare un danno finanziario diretto all’entità interessata superiore a 500 000 EUR o al 5 % del fatturato totale annuo dell’entità interessata nell’esercizio finanziario precedente, se inferiore;
  • l’esfiltrazione di segreti commerciali ai sensi dell’articolo 2, punto 1, della direttiva (UE) 2016/943 dell’entità pertinente;
  • il decesso di una persona fisica;
  • danni considerevoli alla salute di una persona fisica.

Viene chiarito che “le interruzioni programmate” non sono da considerarsi incidenti significativi.

Per valutarne gli impatti, la Commissione stabilisce che nel calcolare il numero di utenti interessati da un incidente, i soggetti pertinenti devono considerare i seguenti elementi:

  • ·numero di clienti stipulanti un contratto con il soggetto pertinente che concede loro l’accesso alla rete e ai sistemi informativi o ai servizi del soggetto interessato offerti da tali reti e sistemi informativi o accessibili tramite tali sistemi di rete e informativi;
  • ·numero di persone fisiche e giuridiche associate a clienti commerciali che utilizzano la rete e i sistemi informativi o i servizi delle entità offerti da tali reti e sistemi informativi o accessibili tramite tali sistemi di rete e informativi.

Inoltre, il regolamento introduce il concetto di incidenti ricorrenti (art. 4). Se un insieme di incidenti minori, legati da una causa comune, si verifica più volte in un periodo di sei mesi e collettivamente soddisfa i criteri di un incidente significativo, essi vengono trattati come un unico grande incidente. Questo approccio mira a identificare e affrontare le carenze sistemiche nelle misure di gestione del rischio e la maturità della sicurezza informatica dell’entità coinvolta.

Nel regolamento di attuazione sono declinati anche tutti i vari criteri per cui si possano classificare gli incidenti significati circa i fornitori di servizi DNS, i registri dei nomi di primo livello, dei fornitori di servizi di cloud computing, di servizi di data center, di reti di distribuzione dei contenuti, dei servizi gestiti, dei mercati online, dei motori di ricerca online, delle piattaforme di servizi social networking, dei prestatori di servizi fiduciari.

La gestione del rischio e la resilienza operativa

Le entità coperte dal regolamento devono istituire un piano di gestione del rischio che preveda l’identificazione, l’analisi e il trattamento dei rischi per la sicurezza dei sistemi informativi e delle reti. Questo piano dovrebbe essere rivisto e aggiornato regolarmente, almeno una volta all’anno, o quando si verificano cambiamenti significativi nelle operazioni o emergono nuovi rischi.

In particolare, il regolamento incoraggia l’adozione di un approccio di “cyber hygiene” di base, che include pratiche come la segmentazione delle reti, l’uso di autenticazione multifattoriale, aggiornamenti regolari del software e la protezione contro il phishing e altre tecniche di ingegneria sociale. Tali pratiche di base rappresentano una difesa fondamentale contro molte delle minacce informatiche più comuni e devono essere implementate su vasta scala dalle entità coperte.

Gli enti interessati devono offrire ai propri dipendenti, compresi i membri degli organi di gestione, nonché ai fornitori, un programma di sensibilizzazione che deve essere ripetuto nel tempo, in modo che le attività coprano nuovi dipendenti e riguardare le minacce informatiche pertinenti, le misure di gestione dei rischi di cybersicurezza in atto, nonché le pratiche di igiene informatica per gli utenti.

Si invita a  testare il programma di sensibilizzazione in termini di efficacia. Dovrà essere aggiornato e offerto a intervalli pianificati tenendo conto dei cambiamenti nelle pratiche di igiene informatica, dell’attuale panorama delle minacce e dei rischi posti alle entità interessate.

La resilienza operativa è un altro tema cruciale del regolamento. Le entità devono predisporre piani di continuità operativa e di disaster recovery per garantire che le loro attività possano essere ripristinate rapidamente in caso di incidenti. Questi piani devono includere l’analisi dell’impatto aziendale, stabilire obiettivi di ripristino e definire ruoli e responsabilità in caso di emergenza. Il regolamento richiede anche che i piani di continuità e di disaster recovery siano testati e aggiornati regolarmente per garantire la loro efficacia.

La sicurezza della supply chain

La gestione del rischio non si limita alle reti e ai sistemi informativi interni delle entità, ma si estende anche ai fornitori di servizi e ai partner della catena di fornitura. Il regolamento prevede che le entità stabiliscano politiche di sicurezza della catena di fornitura che includano criteri per la selezione e la contrattualizzazione dei fornitori. Questi criteri dovrebbero includere la valutazione delle pratiche di sicurezza informatica dei fornitori e la loro capacità di soddisfare i requisiti di sicurezza.

Le entità devono monitorare continuamente la sicurezza della catena di fornitura e rivedere i contratti con i fornitori per garantire che essi rispettino le specifiche di sicurezza richieste. Inoltre, il regolamento incoraggia l’utilizzo di certificazioni di cybersecurity per garantire che i prodotti e i servizi acquisiti soddisfino determinati standard di protezione.

Conclusioni

Il regolamento attuativo del 17 ottobre 2024 rappresenta un passo importante per rafforzare la sicurezza informatica in Europa, offrendo una base normativa chiara e armonizzata per l’implementazione della Direttiva NIS 2. Attraverso un approccio proporzionato e flessibile, il regolamento tiene conto delle diverse dimensioni e delle caratteristiche delle entità coperte, assicurando che esse adottino misure adeguate alla loro esposizione al rischio.

Il regolamento rappresenta un utile strumento per dare concretezza ai principi generali stabiliti nella Direttiva NIS 2 e fornire strumenti interpretativi agli addetti ai lavori per preparare le organizzazioni allo sforzo di migliorare la loro postura cyber.

Tutto ciò in un’ottica di accountability, principio che permea tutta la normativa in tema di trattamento dei dati personali e sicurezza e che richiede alle entità soggette alla direttiva uno sforzo teso all’implementazione delle misure di sicurezza informatica e alla dimostrazione della loro reale efficacia.

previous
Intervista su Ius Law Web Radio sulla Direttiva Nis 2
https://studioiadecola.it/wp-content/uploads/2021/01/studio-legale-avvocato-iadecola-web-chiaro.png
Viale Bovio n. 161 - 64100 Teramo
348.54.44.842
info@studioiadecola.it
PI. 01819860675
Follow on LinkedIn

A CHI CI RIVOLGIAMO

LINKS

CONSULENZA RAPIDA

348.54.44.842

ISCRIVITI ALLA NEWSLETTER

“I dati personali conferiti saranno trattati dall’Avv. Luca Iadecola, in qualità di Titolare del trattamento, al fine di fornire il servizio di newsletter e saranno conservati esclusivamente per il periodo in cui lo stesso sarà attivo. Consulta la nostra privacy policy per tutte le altre informazioni relative al trattamento dei tuoi dati personali”.

    Copyright © Studio Iadecola

    Geminit Web Marketing