Il Regolamento di esecuzione (UE) 2024/2690 (il “Regolamento”) muove dalla necessità di rafforzare le misure di protezione informatica negli Stati membri dell’UE e di migliorare la resilienza delle reti critiche, in applicazione alla Direttiva NIS 2 finalizzata a garantire un livello comune elevato in materia di cybersicurezza all’interno del confine europeo, nel quale gli Stati membri sono chiamati a recepire la direttiva nel diritto nazionale di ognuno.
Il Regolamento, in particolare, stabilisce i requisiti tecnici e metodologici delle misure di cui al NIS2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione di contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i fornitori di servizi fiduciari (i soggetti pertinenti).
Gli articoli del Regolamento forniscono la definizione di “incidenti significativi” e determinano le soglie entro le quali si rende necessaria la comunicazione dell’evento alle competenti autorità di controllo.
Quando un incidente è considerato significativo
In particolare, ai sensi dell’art. 3 del presente Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri dei seguenti criteri (se ne riportano i principali):
- l’incidente ha causato o è capace di causare una perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo totale dell’esercizio precedente
- l’incidente ha causato o è capace di causare l’esfiltrazione di segreti commerciali
- l’incidente ha causato o è capace di causare la morte o danni considerevoli alla salute di una persona;
- si è verificato un accesso non autorizzato ai sistemi informativi e di rete, che si sospetta essere malevolo ed è in grado di causare gravi perturbazioni operative.
Non sono, invece, considerati come incidenti significativi le interruzioni programmate del servizio e le conseguenze previste delle operazioni di manutenzione programmata effettuate dai soggetti pertinenti o per loro conto.
Gli incidenti collettivamente significativi
È bene menzionare anche l’art. 4 del presente Regolamento, il quale afferma che gli incidenti che individualmente non sono considerati significativi ai sensi dell’ar.t 3 possono essere considerati collettivamente significativi se si verificano almeno due volte in sei mesi (ricorrenti), se hanno la stessa causa apparente e se collettivamente l’incidente ha causato o è capace di causare una perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo totale dell’esercizio precedente
L’allegato al Regolamento introduce una serie di best practice sui requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’articolo 21, paragrafo 2, lettere da a) a j), della Direttiva.
La policy sulla sicurezza dei sistemi di rete e delle informazioni
Particolare considerazione merita l’Allegato del Regolamento, il quale, specifica i requisiti tecnici e metodologici. Viene, dunque, disciplinata la policy sulla sicurezza dei sistemi di rete e delle informazioni: le entità devono sviluppare una policy che definisca chiaramente le responsabilità e le autorità per la sicurezza dei sistemi di rete e informazione. Tale policy deve essere comunicata a tutto il personale e alle parti terze coinvolte, e deve includere un impegno al miglioramento continuo e alla fornitura delle risorse necessarie per la sua attuazione, oltre alla data di formale approvazione da parte degli organi di gestione.
La politica di sicurezza dei sistemi informativi e di rete deve essere riesaminata e, se opportuno, aggiornata dagli organi di gestione almeno annualmente e qualora si verifichino incidenti significativi o cambiamenti significativi delle operazioni o dei rischi.
La policy di gestione dei rischi
L’art. 2 dell’Allegato specifica che le entità devono stabilire un quadro di gestione del rischio per identificare e affrontare i rischi per la sicurezza dei sistemi di rete e informazione. Questo include la revisione e l’aggiornamento dei risultati della valutazione del rischio e del piano di trattamento del rischio almeno annualmente o quando si verificano cambiamenti significativi. I soggetti pertinenti devono stabilire procedure per l’individuazione, l’analisi, la valutazione e il trattamento dei rischi («processo di gestione dei rischi di cibersicurezza»).
Politica di continuità operativa e gestione delle crisi
I soggetti pertinenti devono stabilire e mantenere un piano di continuità operativa e di ripristino in caso di disastro da applicare in caso di incidenti. A tal fine, è necessaria un’analisi dell’impatto sulle attività aziendali al fine di valutare il potenziale impatto di perturbazioni gravi delle operazioni aziendali e, sulla base dei risultati di tale analisi, devono essere stabilit i requisiti di continuità per i sistemi informativi e di rete. Il piano di continuità operativa e di ripristino in caso di disastro deve essere sottoposto a test, riesaminato e, se opportuno, aggiornato a intervalli pianificati e in seguito a incidenti significativi o cambiamenti significativi delle operazioni o dei rischi.
Politica di sicurezza della catena di fornitura
Particolarmente importante è l’art. 5 il quale specifica che le entità devono implementare e applicare una politica di sicurezza della catena di approvigionamento che discipilini le relazioni con i loro diretti fornitori e fornitori di serviz al fine di mitigare i rischi identificati. In tale contesto, le entità devono, quindi:
– individuare il loro ruolo in tale catena e comunicarlo ai loro diretti fornitori e fornitori di servizi;
– tenere e mantenere aggiornato un registro dei loro diretti fornitori e fornitori di servizi;
– stabilire i criteri per selezionare e concedere appalti a fornitori e fornitori di servizi;
– tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento.
Sulla base della politica di sicurezza della catena di approvvigionamento e tenendo conto dei risultati della
valutazione dei rischi effettuata, le Entità devono provvedere affinché i loro contratti con i fornitori contengano alcune disposizioni, tra cui, ad esempio, quelle relative ai requisiti di cybersicurezza, compresi i requisiti relativi alla sicurezza nell’acquisizione di servizi TIC o prodotti TIC, ai requisiti in materia di sensibilizzazione, competenze e formazione imposti ai dipendenti dei fornitori, nonché all’obbligo di notifica da parte dei fornitori di incidenti che presentino un rischio per la sicurezza dei sistemi informativi e di rete.
Gli ulteriori articoli dell’Allegato disciplinano ulteriori temi, partimenti importanti, come la crittografia , la sicurezza delle risorse umane, il controllo degli accessi e la sicurezza fisica.
Un passo avanti verso la piena applicazione delle disposizioni della NIS2
Il Regolamento di esecuzione rappresenta un passo in avanti fondamentale verso la piena applicazione delle disposizioni della Direttiva NIS2, posto che lo stesso, tra le altre cose, fornisce delle preziose indicazioni in merito alla possibilità di riconoscere un incidente cyber significativo.
Le linee guida ENISA
ENISA ha avviato la consultazione pubblica, fino al 9 dicembre 2024, della sua guida pratica per la cyber sicurezza delle organizzazioni europee secondo la direttiva NIS2. Il documento è finalizzato a fornire ulteriori suggerimenti per garantire una corretta implementazione dei requisiti di cui al Regolamento, fornendo esempi, best practice e tabelle di approfondimento.
Un riferimento importante su cui le stesse organizzazioni potranno implementare il loro piano di conformità normativa.
Avv. Valentina De Simone
Commenti recenti