Il 17 ottobre 2024, la Commissione europea ha approvato il Regolamento di esecuzione sulle misure di cybersicurezza e sugli incidenti cyber significativi ai sensi della Direttiva NIS2 (Direttiva relativa a misure per un livello comune elevato di cybersicurezza nell’Unione).
Il regolamento di esecuzione descrive nel dettaglio le misure di gestione dei rischi di cybersicurezza e i casi in cui un incidente dovrebbe essere considerato significativo e le imprese che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali.
Sintesi del Regolamento di esecuzione
Il Regolamento di esecuzione si compone di 43 Consideranda, 16 articoli e un Allegato.
A chi si applica il regolamento di esecuzione? Ai Cloud Service Provider, ai fornitori di servizi gestiti IT & Security ed ai fornitori di marketplace online, di motori di ricerca online e di piattaforme di servizi di social network, ai prestatori di servizi fiduciari.
Di seguito un’analisi dei principali articoli del Regolamento di esecuzione.
L’art. 1 del Regolamento fa riferimento ai requisiti tecnici e metodologici (stabiliti nell’Allegato al Regolamento) per i fornitori di servizi DNS, registri di nomi a dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di marketplace online, motori di ricerca online, piattaforme di servizi di social networking e fornitori di servizi fiduciari. Inoltre, la norma specifica i casi in cui un incidente è considerato significativo.
Quando un incidente è considerato significativo
In particolare, ai sensi dell’art. 3 del presente Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri dei seguenti criteri (se ne riportano i principali):
- l’incidente ha causato o è capace di causare una perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo totale dell’esercizio precedente
- l’incidente ha causato o è capace di causare l’esfiltrazione di segreti commerciali
- l’incidente ha causato o è capace di causare la morte o danni considerevoli alla salute di una persona.
Gli incidenti collettivamente significativi
È bene menzionare anche l’art. 4 del presente Regolamento, il quale afferma che gli incidenti che individualmente non sono considerati significativi ai sensi dell’ar.t 3 possono essere considerati collettivamente significativi se si verificano almeno due volte in sei mesi (ricorrenti), se hanno la stessa causa apparente e se collettivamente soddisfano i criteri di cui al sopracitato art. 3 par. 1 lettera a).
I successivi articoli (dal 5 al 14) passano in rassegna gli ulteriori casi in cui un incidente è considerato significativo. Tra questi, si ricordano gli artt. 5, 7, 8, 9, 10, 11, 12, 13, 14 i quali stabiliscono la significatività di un incidente nei casi in cui i relativi servizi non siano disponibili per più di 30 minuti, o se l’integrità, la riservatezza o l’autenticità dei dati sia compromessa.
La policy sulla sicurezza dei sistemi di rete e delle informazioni
Particolare considerazione merita l’Allegato al presente Regolamento, il quale, all’art. 1 disciplina la policy sulla sicurezza dei sistemi di rete e delle informazioni ex art. 21 par. 2 lett. a) NIS2: le entità devono sviluppare una policy che definisca chiaramente le responsabilità e le autorità per la sicurezza dei sistemi di rete e informazione. Questa policy deve essere comunicata a tutto il personale e alle parti terze coinvolte, e deve includere un impegno al miglioramento continuo e alla fornitura delle risorse necessarie per la sua attuazione.
Si ricorda, inoltre, l’art. 2 del suddetto Allegato (Risk management policy ex art. 21, par. 2, lett. a) NIS2) il quale specifica che le entità devono stabilire un quadro di gestione del rischio per identificare e affrontare i rischi per la sicurezza dei sistemi di rete e informazione. Questo include la revisione e l’aggiornamento dei risultati della valutazione del rischio e del piano di trattamento del rischio almeno annualmente o quando si verificano cambiamenti significativi.
Politica di sicurezza della catena di fornitura
Particolarmente importante è l’art. 5 (Sicurezza della supply chain ex art. 21, par. 2, lett. d) NIS2) il quale specifica che le entità devono implementare una politica di sicurezza della catena di fornitura per mitigare i rischi identificati e specificare i requisiti di sicurezza nei contratti con fornitori e prestatori di servizi.
Gli ulteriori articoli dell’Allegato disciplinano ulteriori temi, partimenti importanti, come la crittografia all’art. 9 (ex art. 21 par. 2 lettera h) NIS2), la sicurezza delle risorse umane all’art. 10 (ex art. 21 par. 2 lett. i) NIS2), il controllo degli accessi all’art. 11 (ex art. 21 par. 2 lett. i) e j) NIS2), la sicurezza fisica all’art. 13 (ex art. 21, par. 2, lett. c), e), i), NIS2).
Un passo avanti verso la piena applicazione delle disposizioni della NIS2
Questo nuovo Regolamento di esecuzione sulle misure di cybersicurezza e sugli incidenti cyber significativi rappresenta un passo in avanti fondamentale verso la piena applicazione delle disposizioni della Direttiva NIS2, posto che lo stesso, tra le altre cose, fornisce delle preziose indicazioni in merito alla possibilità di riconoscere un incidente cyber significativo.
Ora, si attende la pubblicazione in Gazzetta Ufficiale del Regolamento di esecuzione, al quale seguirà la sua entrata in vigore, venti giorni dopo la pubblicazione.
