Il punto di vista di Cyber Academy
NIS 2 (Direttiva (UE) 2022/2555) è la direttiva UE che chiama in causa i consigli di amministrazione sulla cybersecurity. Rientrano nell'ambito di applicazione le entità di medie o grandi dimensioni operanti in 18 settori elencati. In caso di incidente significativo: preallarme entro 24 ore, notifica entro 72 ore, relazione completa entro un mese. Sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale per le entità essenziali. Recepita in modo disomogeneo dagli Stati membri a partire da ottobre 2024.
TL;DR
- 1Nell'ambito di applicazione: 18 settori, entità di medie dimensioni (50+ dipendenti / 10M+ di fatturato) e di dimensioni maggiori. Due categorie, essenziali e importanti, con diversa intensità di vigilanza.
- 2Dieci misure di gestione dei rischi di cybersecurity ai sensi dell'Articolo 21. La direttiva indica cosa fare; ISO 27001 è il come più diffuso.
- 3Segnalazione degli incidenti: preallarme entro 24 ore, notifica entro 72 ore, relazione completa entro un mese. Definisci il percorso prima di averne bisogno.
- 4La responsabilità personale e l'accountability del management sono ora esplicite. Il consiglio di amministrazione è chiamato in causa, non solo il CISO.
- 5Lo stato di recepimento varia da Paese a Paese: verifica la tua autorità nazionale prima di dare per scontato che il testo UE si applichi così com'è.
Stabilire se rientri nell'ambito di applicazione e a quale categoria
L'ambito di applicazione è la domanda che determina tutto il resto, quindi risolvila per prima e metti per iscritto il ragionamento. NIS 2 si applica alle entità operanti in uno dei 18 settori elencati che soddisfano anche una soglia dimensionale. La regola predefinita è la soglia della media impresa: almeno 50 dipendenti, oppure fatturato annuo e totale di bilancio superiori a 10 milioni di euro. Al di sotto di tale soglia sei di norma escluso, ma non sempre: la direttiva include determinati fornitori indipendentemente dalla dimensione quando il servizio è sufficientemente critico (ad esempio fornitori di DNS, registri dei domini di primo livello e alcuni fornitori di comunicazioni elettroniche pubbliche e di servizi fiduciari).
Le due categorie, essenziali e importanti, non sono due elenchi tra cui scegliere. Derivano dal tuo settore e dalla tua dimensione. I settori ad alta criticità (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio) generano entità essenziali alle dimensioni maggiori; gli altri settori elencati, e le entità di dimensioni minori in quelli ad alta criticità, sono generalmente classificati come importanti. La conseguenza pratica è l'intensità della vigilanza, non un insieme di obblighi più leggero: le misure di sicurezza e le scadenze di segnalazione sono identiche per entrambe le categorie.
Essenziali vs importanti: dove le due categorie divergono davvero
Entrambe le categorie sono soggette alle stesse misure dell'Articolo 21 e allo stesso orologio di segnalazione degli incidenti. Ciò che cambia è il modo in cui il regolatore ti sorveglia e cosa può fare quando qualcosa non va. Le entità essenziali sono soggette a una vigilanza proattiva, ex ante: un'autorità può effettuare ispezioni e richiedere prove senza attendere un incidente. Le entità importanti sono soggette a una vigilanza reattiva, ex post, il che significa che il controllo segue tipicamente un incidente o un reclamo credibile. Anche i massimali sanzionatori differiscono, e tale divario è la ragione più citata per confermare la propria categoria con anticipo.
| Dimensione | Entità essenziali | Entità importanti |
|---|---|---|
| Modello di vigilanza | Proattivo (ex ante): ispezioni e richieste di prove in qualsiasi momento | Reattivo (ex post): attivato da un incidente o da un reclamo |
| Sanzione amministrativa massima | Almeno 10 milioni di euro o il 2% del fatturato annuo mondiale totale, se superiore | Almeno 7 milioni di euro o l'1,4% del fatturato annuo mondiale totale, se superiore |
| Obblighi di sicurezza (Articolo 21) | Si applicano tutte e dieci le misure | Si applicano tutte e dieci le misure (identiche) |
| Tempistica di segnalazione | 24h / 72h / 1 mese (identica) | 24h / 72h / 1 mese (identica) |
| Accountability del management | Esplicita; gli organi possono essere ritenuti responsabili, i singoli individui possono subire divieti temporanei di gestione | Esplicita; si applica la responsabilità individuale, i divieti di gestione sono generalmente riservati alle entità essenziali |
Leggi la tabella come la leggerà un auditor: le misure e le scadenze non sono negoziabili per nessuno, quindi la categoria ti dice soprattutto quanto margine di errore hai prima che qualcuno venga a controllare. Le entità essenziali dovrebbero dare per scontato che un'ispezione possa avvenire in un tranquillo martedì. Le entità importanti dovrebbero dare per scontato che la prima vera prova sarà un incidente reale, ovvero il momento peggiore per scoprire che le proprie prove sono insufficienti.
Le dieci misure dell'Articolo 21, e perché ISO 27001 è la risposta abituale
L'Articolo 21(2) elenca dieci categorie di misure di gestione dei rischi di cybersecurity che ogni entità rientrante nell'ambito di applicazione deve implementare, in proporzione alla propria esposizione al rischio. La direttiva descrive risultati, non controlli, e ciò è deliberato: ti dice cosa deve essere coperto e lascia a te il come.
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi.
- Gestione degli incidenti (rilevamento, risposta e gli obblighi di segnalazione descritti di seguito).
- Continuità operativa, comprese la gestione dei backup e il disaster recovery, e gestione delle crisi.
- Sicurezza della catena di approvvigionamento, che copre la sicurezza dei rapporti con i fornitori diretti e i prestatori di servizi.
- Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilità.
- Politiche e procedure per valutare l'efficacia delle misure.
- Pratiche di igiene informatica di base e formazione sulla sicurezza.
- Politiche e procedure in materia di crittografia e, ove appropriato, cifratura.
- Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset.
- Autenticazione a più fattori, comunicazioni protette e comunicazioni di emergenza protette ove appropriato.
Leggi quell'elenco accanto a un set di controlli dell'Annex A e la sovrapposizione è evidente. È per questo che, nella pratica, il percorso più comune verso una conformità dimostrabile è un sistema di gestione della sicurezza delle informazioni ISO 27001. NIS 2 nomina i risultati; ISO 27001 ti fornisce il sistema di gestione, la disciplina di trattamento del rischio e le prove documentate che si mappano su nove delle dieci categorie senza grandi traduzioni. Non hai strettamente bisogno di un certificato per soddisfare NIS 2, ma la struttura dell'ISMS è il modo più pulito per produrre i record che un'autorità si aspetta.
Il modo più rapido per un team di interiorizzare sia l'obbligo sia la realizzazione è abbinare la prospettiva normativa a quella implementativa: il corso NIS 2 Directive Lead Implementer per il programma in sé, e il corso ISO 27001 Lead Implementer per costruire l'ISMS che sostiene gran parte del peso dell'Articolo 21.
L'orologio della segnalazione: 24 ore, 72 ore, un mese
L'obbligo di segnalazione si attiva in caso di incidente significativo, ovvero uno che ha causato o è in grado di causare gravi perturbazioni operative o perdite finanziarie, oppure che ha colpito altri attraverso un danno materiale o immateriale considerevole. L'orologio scorre poi in tre fasi verso il tuo CSIRT nazionale o l'autorità competente.
- 24 ore: un preallarme. Indica se sospetti che l'incidente sia illecito o malevolo e se potrebbe avere un impatto transfrontaliero. Si tratta di una segnalazione, non di un rapporto forense.
- 72 ore: una notifica dell'incidente. Aggiorna il preallarme con una valutazione iniziale, comprensiva di gravità, impatto e di eventuali indicatori di compromissione di cui disponi.
- Un mese: una relazione finale. Un resoconto completo dell'incidente, della sua probabile causa profonda, della mitigazione applicata e di qualsiasi impatto transfrontaliero. Se l'incidente è ancora in corso al termine del mese, fornisci una relazione sullo stato di avanzamento e una relazione finale alla sua chiusura.
Le scadenze sembrano generose finché non le confronti con un incidente reale. Il preallarme delle 24 ore arriva mentre stai ancora confermando cosa è successo, quindi il percorso deve essere definito in anticipo: chi decide che un incidente è "significativo", chi redige il preallarme, chi ha l'autorità per inviarlo e quale portale o contatto utilizzare in ciascuno Stato membro in cui operi. Esercitati. Un'esercitazione tabletop che si conclude con la bozza di un preallarme scritta contro il tempo vale più di qualsiasi documento di policy sulla segnalazione.
La responsabilità del management e gli errori che emergono nella sala di audit
NIS 2 sposta l'accountability verso l'alto. Gli organi di gestione devono approvare le misure di gestione dei rischi di cybersecurity, supervisionarne l'implementazione e seguire una formazione che permetta loro di individuare i rischi autonomamente. La non conformità può ricadere su singoli individui nominati, e per le entità essenziali le autorità possono imporre divieti temporanei alle persone fisiche che esercitano funzioni dirigenziali. Il consiglio di amministrazione è chiamato in causa, e "la sicurezza la gestisce il CISO" non è più una risposta completa per un regolatore.
Gli errori ricorrenti che osserviamo sono raramente esotici. Sono prevedibili ed evitabili:
- Trattare il recepimento come uniforme. La direttiva è recepita nel diritto nazionale e le tempistiche, le soglie, gli obblighi di registrazione e i portali di segnalazione variano da Paese a Paese. Verifica l'autorità nazionale per ogni Stato membro in cui operi prima di dare per scontato che il testo UE si applichi così com'è.
- Ignorare l'obbligo di registrazione e auto-identificazione. Molti Stati membri richiedono alle entità rientranti nell'ambito di applicazione di registrarsi presso l'autorità competente. Rientrare nell'ambito di applicazione ed essere non registrati è di per sé un rilievo, distinto da qualsiasi lacuna di sicurezza.
- Investire troppo poco nella sicurezza della catena di approvvigionamento. È una delle dieci misure, ed è il punto in cui le entità più grandi sono maggiormente esposte. Un processo di gestione del rischio fornitori insufficiente è una debolezza visibile.
- Confondere le categorie con gli obblighi. Le entità importanti talvolta presumono che una vigilanza più leggera significhi obblighi più leggeri. Non è così: si applicano le stesse misure e lo stesso orologio di segnalazione.
- Nessun percorso di segnalazione provato. Il preallarme delle 24 ore è l'obbligo più spesso mancato, perché nessuno si è assunto la responsabilità della decisione e della bozza finché l'incidente non lo ha imposto.
Se il tuo team ha bisogno di orientarsi su ambito di applicazione, categorie e obblighi prima di impegnarsi in una realizzazione, il corso NIS 2 Directive Foundation è il punto di partenza giusto; passa ai percorsi Lead Implementer e ISO 27001 una volta che stai definendo l'ambito del programma stesso.
NIS 2 interagisce con altri regimi UE (DORA disciplina la resilienza operativa del settore finanziario e generalmente prevale in tale ambito in quanto regola più specifica; l'AI Act aggiunge i propri obblighi per i sistemi di IA), quindi conferma quale regime è prevalente per un dato obbligo, invece di segnalare lo stesso incidente due volte o, peggio, di non segnalarlo affatto. Nel dubbio, la postura sicura è quella che la direttiva stessa premia: decisioni documentate, una mappatura dei controlli mantenuta aggiornata e un percorso di segnalazione che hai già provato prima di averne bisogno.
Frequently asked questions
01Rientro nell'ambito di applicazione di NIS 2?
Due filtri: settore e dimensione. Devi operare in uno dei 18 settori elencati (energia, trasporti, finanza, sanità, infrastrutture digitali, pubblica amministrazione, spazio, prodotti alimentari, sostanze chimiche, servizi postali, fabbricazione di prodotti critici, ricerca, gestione dei rifiuti, oltre ad alcuni altri). E devi soddisfare la soglia dimensionale: 50+ dipendenti o 10 milioni di euro di fatturato annuo. Al di sotto di tale soglia, sei fuori dall'ambito di applicazione per impostazione predefinita, con eccezioni nazionali per le entità critiche di qualsiasi dimensione.
Due categorie nell'ambito di applicazione: le entità essenziali (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT B2B, pubblica amministrazione, spazio) sono soggette a una vigilanza più rigorosa e a sanzioni più elevate. Le entità importanti (servizi postali, rifiuti, sostanze chimiche, prodotti alimentari, fabbricazione, fornitori digitali, ricerca) sono soggette a una vigilanza più leggera ma agli stessi obblighi di controllo.
02Quali sono le dieci misure dell'Articolo 21?
L'Articolo 21(2) elenca dieci misure di gestione dei rischi di cybersecurity: (a) politiche di analisi dei rischi e di sicurezza dei sistemi informativi; (b) gestione degli incidenti; (c) continuità operativa e gestione delle crisi; (d) sicurezza della catena di approvvigionamento; (e) sicurezza nell'acquisizione, sviluppo e manutenzione; (f) politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersecurity; (g) igiene informatica di base e formazione in materia di cybersecurity; (h) politiche in materia di crittografia e cifratura; (i) sicurezza delle risorse umane, controllo degli accessi e gestione degli asset; (j) uso dell'autenticazione a più fattori, di comunicazioni voce/video/testo protette e di sistemi di comunicazione di emergenza protetti.
La direttiva non specifica come implementare ciascuna misura. ISO 27001 si mappa con precisione su tutte e dieci; NIST CSF e CIS Controls ne coprono la maggior parte. Scegli un framework, documenta la mappatura e l'autorità di vigilanza sarà soddisfatta.
03Qual è la tempistica di segnalazione degli incidenti?
In caso di incidente significativo, tre scadenze: preallarme entro 24 ore (valutazione iniziale, se si sospetta che l'incidente sia causato da atti illeciti o malevoli, potenziale impatto transfrontaliero); notifica entro 72 ore (valutazione più ampia, indicatori di compromissione); relazione finale entro un mese (descrizione dettagliata dell'incidente, gravità, impatto, misure di mitigazione adottate, analisi delle cause profonde ove disponibile).
Un incidente significativo è quello che ha causato o è in grado di causare gravi perturbazioni operative o perdite finanziarie, oppure che colpisce altri causando un danno materiale o immateriale considerevole. Le soglie sono chiarite dalle autorità nazionali; verifica le tue.
04Quali sono le sanzioni?
Le entità essenziali sono soggette a sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, se superiore. Le entità importanti sono soggette a sanzioni fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale. Le autorità nazionali possono inoltre imporre sanzioni non pecuniarie: ordini di conformità, divulgazione pubblica della non conformità, divieti temporanei per le persone con funzioni dirigenziali di ricoprire il proprio ruolo.
Le sanzioni non sono l'unico strumento di enforcement. Il dialogo di vigilanza, gli audit e gli ordini di adottare una specifica azione correttiva si collocano tutti al di sotto della soglia sanzionatoria e sono più comuni nella pratica.
05Come interagisce NIS 2 con DORA e l'AI Act?
Per le entità finanziarie, DORA è lex specialis sui temi ICT: laddove DORA si applica, prevale su NIS 2 per le disposizioni relative all'ICT. Le entità finanziarie applicano comunque NIS 2 per i temi non ICT coperti dalla direttiva.
L'AI Act è parallelo: disciplina i sistemi di IA, non i programmi di cybersecurity. Se gestisci sistemi di IA ad alto rischio all'interno di un settore critico, sei soggetto a entrambi: NIS 2 per la baseline di cybersecurity, l'AI Act per il lavoro di conformità sull'IA.


