L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha recentemente pubblicato una bozza di guida tecnica (di seguito la “Bozza di Guida Tecnica“) volta ad assistere i soggetti che rientrano nell’ambito di applicazione del regolamento attuativo (UE) 2024/2690 del 17 ottobre 2024 nell’attuazione dei requisiti tecnici e metodologici delle misure di sicurezza previste dalla direttiva (UE) 2022/2555 (di seguito “Direttiva NIS2“).
Oltre a fornire assistenza specifica ai soggetti che rientrano nell’ambito di applicazione del regolamento attuativo (UE) 2024/2690, la Bozza di Guida Tecnica fornisce preziose indicazioni sui requisiti tecnici e metodologici per le misure di gestione del rischio ai sensi della Direttiva NIS2. Pertanto, essa offre uno strumento utile per tutte le società e gli enti che intendono migliorare le proprie pratiche di sicurezza informatica e conformarsi alla nuova normativa.
La Direttiva NIS2 e il relativo Regolamento Attuativo
La Direttiva NIS2 (Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione) rappresenta un’evoluzione significativa nell’approccio dell’Unione Europea alla sicurezza informatica. Adottata per sostituire l’originaria direttiva NIS, la Direttiva NIS2 mira a migliorare la resilienza e le capacità di risposta agli incidenti delle infrastrutture critiche in tutta l’UE.
La Direttiva NIS2 amplia l’ambito di applicazione dei soggetti contemplati dalla direttiva NIS, includendo un maggior numero di settori e servizi fondamentali per l’economia e la società. Pone l’accento su un approccio alla cibersicurezza basato sul rischio, richiedendo di attuare misure di sicurezza adeguate e proporzionate e introducendo misure di vigilanza e poteri di esecuzione più rigorosi, comprese sanzioni più severe in caso di inosservanza.
La Direttiva NIS2 imponeva agli Stati membri di recepire i suoi requisiti nel diritto nazionale entro il 17 ottobre 2024. Nella stessa data, la Commissione UE ha adottato il Regolamento di esecuzione (UE) 2024/2690 (di seguito “Regolamento Attuativo“) per fornire requisiti tecnici e metodologici dettagliati per le misure di sicurezza informatica delineate nella Direttiva NIS 2. Il Regolamento Attuativo, che si rivolge a diversi tipi di operatori, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), il cloud computing, le piattaforme di marketplace, i motori di ricerca e i social network, definisce gli standard tecnici e metodologici per la gestione dei rischi di cibersicurezza e specifica i criteri per determinare quando un incidente può essere considerato significativo.
Scopo e campo di applicazione del progetto di guida tecnica
Il 7 novembre 2024, la stessa data di entrata in vigore dell’Regolamento Attuativo, l’ENISA, in collaborazione con la Commissione UE e gli Stati membri del Gruppo di Cooperazione NIS, ha pubblicato la Bozza di Guida Tecnica. Questo documento non vincolante di 155 pagine è stato concepito per offrire consigli dettagliati ed esempi pratici per aiutare i soggetti a comprendere e rispettare le misure di cibersicurezza imposte dalla Direttiva NIS2. La Bozza di Guida Tecnica fornisce ulteriori spiegazioni dei concetti e dei termini utilizzati nel testo giuridico, esempi di prove che possono essere utilizzate per dimostrare la conformità e tabelle che associano i requisiti di sicurezza a vari standard di cibersicurezza europei e internazionali, nonché ai quadri nazionali.
La Bozza di Guida Tecnica, che aderisce allo stesso ambito di applicazione del Regolamento Attuativo, stabilisce i requisiti tecnici e metodologici per un’ampia gamma di sottosettori della Direttiva NIS2:
- Fornitori di servizi DNS;
- Registri dei nomi di dominio di primo livello (TLD);
- Fornitori di servizi di cloud computing;
- Fornitori di servizi di data center;
- Fornitori di reti per la distribuzione di contenuti (CDN);
- Fornitori di servizi gestiti (MSP);
- Fornitori di servizi di sicurezza gestiti (MSSP);
- Fornitori di mercati online, motori di ricerca online e piattaforme di servizi di social networking;
- Fornitori di servizi fiduciari.
Oltre ai soggetti di cui sopra, che sono direttamente coperti dal Regolamento Attuativo, il la Bozza di Guida Tecnica offre approfondimenti sui requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza delineati nella Direttiva NIS2 che potrebbero essere utili per altri soggetti pubblici o privati che mirano a migliorare le loro pratiche di cibersicurezza.
Struttura e contenuto della Bozza di Guida Tecnica
Il progetto di guida tecnica è un documento completo strutturato per facilitare la facilità d’uso e l’attuazione pratica dell’Regolamento Attuativo. Contiene diverse sezioni chiave:
- Requisiti tecnici: la Bozza di Guida Tecnica descrive i requisiti generali di sicurezza informatica che tutti i soggetti devono rispettare, indipendentemente dal loro settore specifico, comprese le linee guida sulla gestione del rischio, la gestione degli incidenti, la continuità operativa e la governance. Approfondisce inoltre i requisiti più specifici per i diversi settori, fornendo indicazioni su misura per ciascun tipo di entità contemplata dall’Regolamento Attuativo.
- Consigli per l’attuazione e raccolta di prove: si tratta di sezioni pratiche destinate a offrire consigli dettagliati su come attuare i requisiti, compresi esempi di prove che possono essere utilizzate per dimostrare la conformità ad essi, rendendo così il testo giuridico più accessibile per i soggetti destinatari.
- Ulteriori suggerimenti generali: poiché le indicazioni specifiche e gli esempi forniti all’interno della Bozza di Guida Tecnica non devono essere intesi come esaustivi, a questi si aggiungono anche ulteriori suggerimenti generali che i soggetti destinatari possono prendere in considerazione nell’implementazione della Direttiva NIS2 e dell’Regolamento Attuativo, consentendo di scegliere metodi alternativi per soddisfare un requisito o di utilizzare prove diverse per dimostrare la conformità.
- Tabelle degli standard di riferimento: una delle caratteristiche più preziose della Bozza di Guida Tecnica è l’inclusione di tabelle degli standard di riferimento. Queste tabelle correlano ciascun requisito con gli standard o i quadri normativi europei e internazionali pertinenti, come ISO/IEC 27001, NIST Cybersecurity Framework e standard nazionali. Questo aiuta i soggetti coinvolti ad allineare le loro misure di sicurezza informatica con standard ampiamente riconosciuti, facilitando la conformità e migliorando la posizione di sicurezza.
Conclusioni
La Bozza di Guida Tecnica dell’ENISA rappresenta un significativo passo avanti nel supportare l’attuazione della Direttiva NIS2. Fornendo consigli pratici e dettagliati e mappando i requisiti secondo gli standard nazionali e internazionali già condivisi, la guida aiuta le entità a navigare nel complesso panorama della conformità alla sicurezza informatica.
Una volta finalizzate e adottate, la Guida Tecnica costituirà uno strumento cruciale per i soggetti coperti dalla Direttiva NIS2, fornendo loro il supporto pratico e dettagliato necessario per attuare efficacemente la Direttiva NIS2 e i requisiti dell’Regolamento Attuativo. Attraverso l’allineamento dei requisiti a standard condivisi e offrendo consigli pratici, renderà più agevole ed efficace le misure di sicurezza informatica e la conformità al nuovo quadro normativo.
Man mano che il processo di consultazione sulla Bozza di Guida Tecnica procede verso il termine fissato per il 9 gennaio 2025, è essenziale che gli stakeholders forniscano un feedback per garantire che la versione finale della Guida Tecnica sia il più efficace e pratico possibile. Il successo dell’attuazione della NIS2 dipenderà dalla collaborazione tra le autorità di regolamentazione, le parti interessate del settore e gli esperti di sicurezza informatica, e la guida tecnica dell’ENISA è una componente vitale di questo sforzo collaborativo.
Su un argomento simile può essere di interesse l’articolo “La Direttiva NIS2 è diventata applicabile – Cosa fare per conformarsi?“
