Cybersecurity UE

NIS 2, ecco il regolamento sugli incidenti significativi



Indirizzo copiato

La Commissione europea approva nuove regole per la gestione dei rischi cyber. Un incidente è “significativo” se causa perdite oltre 500.000 euro, compromette segreti commerciali o minaccia vite umane. Il regolamento definisce obblighi precisi per provider cloud, marketplace online e social network

Pubblicato il 25 ott 2024

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)



Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1)

Il 17 ottobre 2024, la Commissione europea ha approvato il Regolamento di esecuzione sulle misure di cybersicurezza e sugli incidenti cyber significativi ai sensi della Direttiva NIS2 (Direttiva relativa a misure per un livello comune elevato di cybersicurezza nell’Unione).

NIS: al via il nuovo percorso di rafforzamento della sicurezza informatica

Il regolamento di esecuzione descrive nel dettaglio le misure di gestione dei rischi di cybersicurezza e i casi in cui un incidente dovrebbe essere considerato significativo e le imprese che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali.

Sintesi del Regolamento di esecuzione

Il Regolamento di esecuzione si compone di 43 Consideranda, 16 articoli e un Allegato.

A chi si applica il regolamento di esecuzione? Ai Cloud Service Provider, ai fornitori di servizi gestiti IT & Security ed ai fornitori di marketplace online, di motori di ricerca online e di piattaforme di servizi di social network, ai prestatori di servizi fiduciari.

Di seguito un’analisi dei principali articoli del Regolamento di esecuzione.

L’art. 1 del Regolamento fa riferimento ai requisiti tecnici e metodologici (stabiliti nell’Allegato al Regolamento) per i fornitori di servizi DNS, registri di nomi a dominio di primo livello, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di marketplace online, motori di ricerca online, piattaforme di servizi di social networking e fornitori di servizi fiduciari. Inoltre, la norma specifica i casi in cui un incidente è considerato significativo.

Quando un incidente è considerato significativo

In particolare, ai sensi dell’art. 3 del presente Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri dei seguenti criteri (se ne riportano i principali):

  • l’incidente ha causato o è capace di causare una perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo totale dell’esercizio precedente
  • l’incidente ha causato o è capace di causare l’esfiltrazione di segreti commerciali
  • l’incidente ha causato o è capace di causare la morte o danni considerevoli alla salute di una persona.

Gli incidenti collettivamente significativi

È bene menzionare anche l’art. 4 del presente Regolamento, il quale afferma che gli incidenti che individualmente non sono considerati significativi ai sensi dell’ar.t 3 possono essere considerati collettivamente significativi se si verificano almeno due volte in sei mesi (ricorrenti), se hanno la stessa causa apparente e se collettivamente soddisfano i criteri di cui al sopracitato art. 3 par. 1 lettera a).

I successivi articoli (dal 5 al 14) passano in rassegna gli ulteriori casi in cui un incidente è considerato significativo. Tra questi, si ricordano gli artt. 5, 7, 8, 9, 10, 11, 12, 13, 14 i quali stabiliscono la significatività di un incidente nei casi in cui i relativi servizi non siano disponibili per più di 30 minuti, o se l’integrità, la riservatezza o l’autenticità dei dati sia compromessa.

La policy sulla sicurezza dei sistemi di rete e delle informazioni

Particolare considerazione merita l’Allegato al presente Regolamento, il quale, all’art. 1 disciplina la policy sulla sicurezza dei sistemi di rete e delle informazioni ex art. 21 par. 2 lett. a) NIS2: le entità devono sviluppare una policy che definisca chiaramente le responsabilità e le autorità per la sicurezza dei sistemi di rete e informazione. Questa policy deve essere comunicata a tutto il personale e alle parti terze coinvolte, e deve includere un impegno al miglioramento continuo e alla fornitura delle risorse necessarie per la sua attuazione.

Si ricorda, inoltre, l’art. 2 del suddetto Allegato (Risk management policy ex art. 21, par. 2, lett. a) NIS2) il quale specifica che le entità devono stabilire un quadro di gestione del rischio per identificare e affrontare i rischi per la sicurezza dei sistemi di rete e informazione. Questo include la revisione e l’aggiornamento dei risultati della valutazione del rischio e del piano di trattamento del rischio almeno annualmente o quando si verificano cambiamenti significativi.

Politica di sicurezza della catena di fornitura

Particolarmente importante è l’art. 5 (Sicurezza della supply chain ex art. 21, par. 2, lett. d) NIS2) il quale specifica che le entità devono implementare una politica di sicurezza della catena di fornitura per mitigare i rischi identificati e specificare i requisiti di sicurezza nei contratti con fornitori e prestatori di servizi.

Gli ulteriori articoli dell’Allegato disciplinano ulteriori temi, partimenti importanti, come la crittografia all’art. 9 (ex art. 21 par. 2 lettera h) NIS2), la sicurezza delle risorse umane all’art. 10 (ex art. 21 par. 2 lett. i) NIS2), il controllo degli accessi all’art. 11 (ex art. 21 par. 2 lett. i) e j) NIS2), la sicurezza fisica all’art. 13 (ex art. 21, par. 2, lett. c), e), i), NIS2).

Un passo avanti verso la piena applicazione delle disposizioni della NIS2

Questo nuovo Regolamento di esecuzione sulle misure di cybersicurezza e sugli incidenti cyber significativi rappresenta un passo in avanti fondamentale verso la piena applicazione delle disposizioni della Direttiva NIS2, posto che lo stesso, tra le altre cose, fornisce delle preziose indicazioni in merito alla possibilità di riconoscere un incidente cyber significativo.

Ora, si attende la pubblicazione in Gazzetta Ufficiale del Regolamento di esecuzione, al quale seguirà la sua entrata in vigore, venti giorni dopo la pubblicazione.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4