La Commissione Europea ha adottato quest’oggi, giovedì 17 ottobre 2024, il Regolamento di Esecuzione C(2024) 7151 per l’applicazione della Direttiva (UE) 2022/2555, nota come Direttiva NIS2. Questa normativa stabilisce i requisiti tecnici e metodologici per la gestione del rischio cibernetico e delinea i criteri per identificare gli incidenti significativi. Tale provvedimento rappresenta un passo fondamentale per uniformare e rafforzare la sicurezza cibernetica in tutta l’Unione Europea, in particolare per le infrastrutture digitali essenziali e i fornitori di servizi digitali.
Obiettivi del regolamento e campo di applicazione
Il Regolamento si concentra su una serie di entità essenziali per il funzionamento digitale e informatico dell’UE, tra cui:
- provider di servizi DNS;
- registri di nomi di dominio di primo livello (TLD);
- fornitori di cloud computing e data center;
- content delivery network (CDN);
- fornitori di servizi di sicurezza gestiti;
- marketplace online, motori di ricerca e piattaforme di social networking;
- fornitori di servizi fiduciari.
L’obiettivo principale del Regolamento è quello di assicurare un livello elevato e comune di sicurezza informatica per queste entità, applicando un quadro normativo coerente che ne regoli l’interazione e la risposta agli incidenti di sicurezza.
Misure tecniche e metodologiche per la gestione del rischio cibernetico
Uno degli aspetti centrali della regolamentazione riguarda le misure di gestione del rischio cibernetico. Queste misure si fondano su standard internazionali di sicurezza, come ISO/IEC 27001 e ETSI EN 319 401, e includono requisiti specifici come:
- analisi e valutazione del rischio: le entità devono identificare e documentare i rischi associati alle loro infrastrutture di rete e di informazione;
- piano di trattamento del rischio: in funzione dell’analisi dei rischi, le entità sono tenute a implementare misure per evitare, ridurre o, se necessario, accettare i rischi identificati;
- controlli di accesso e gestione delle identità: particolare attenzione viene riservata ai criteri di autenticazione, con l’adozione di pratiche di cyber igiene e autenticazione multi-fattore per l’accesso da remoto o a dati sensibili.
In base alla dimensione e alla struttura dell’entità, tali requisiti possono essere modulati, tenendo conto dei principi di proporzionalità. Le piccole entità, ad esempio, possono adottare misure alternative in mancanza di risorse per implementare determinate pratiche di segregazione dei compiti o controllo accessi.
Incidenti significativi: definizione e obblighi di notifica
Il Regolamento definisce come “significativo” un incidente che soddisfi specifici criteri, ad esempio:
- perdita finanziaria diretta superiore a 500.000 euro o al 5% del fatturato annuo dell’entità;
- accessi non autorizzati o compromissione della confidenzialità, integrità e autenticità dei dati;
- danno alla salute o addirittura decesso di persone fisiche come conseguenza dell’incidente.
Il Regolamento inoltre specifica che le interruzioni programmate o di manutenzione non devono essere considerate incidenti significativi. Tuttavia, le entità devono garantire che ogni evento sospetto venga attentamente valutato per determinarne la rilevanza e la possibile gravità, compresa la stima degli utenti impattati dall’incidente.
Criteri per incidenti specifici a certi servizi
Un punto distintivo del Regolamento è la dettagliata classificazione degli incidenti significativi per specifici tipi di servizi. Ad esempio:
- per i provider di servizi DNS, un’incidente è rilevante se un servizio di risoluzione dei nomi di dominio è completamente inattivo per oltre 30 minuti;
- per i fornitori di cloud computing, è considerato significativo se l’indisponibilità del servizio supera il 5% degli utenti dell’UE o un milione di utenti per più di un’ora;
- per i social network, gli incidenti che compromettono l’integrità o la riservatezza dei dati per oltre il 5% degli utenti nell’UE vengono classificati come significativi.
Questi criteri consentono alle entità di misurare e gestire in modo uniforme le interruzioni, facilitando la comparabilità delle informazioni sulle minacce cibernetiche all’interno dell’Unione.
Implementazione e responsabilità delle entità rilevanti
Le entità sono obbligate a:
- documentare il razionale per la mancata implementazione di alcune misure, nel caso in cui queste non siano applicabili o fattibili, fornendo alle autorità una spiegazione comprensibile;
- condurre regolari test di sicurezza per valutare l’efficacia delle misure adottate, incluso il monitoraggio delle attività sospette;
- gestire la catena di fornitura in modo sicuro, specificando nei contratti con i fornitori requisiti di sicurezza cibernetica per evitare vulnerabilità nella catena di approvvigionamento.
Conclusioni
Il nuovo Regolamento per l’attuazione della Direttiva NIS2 segna un’ulteriore tappa nel consolidamento di un ecosistema cibernetico sicuro e resiliente. Le misure di gestione del rischio cibernetico e i requisiti di notifica degli incidenti rappresentano strumenti essenziali per garantire che le entità critiche dell’UE siano pronte ad affrontare minacce in costante evoluzione. Le disposizioni puntano a creare un equilibrio tra proporzionalità delle misure e adeguatezza dei controlli di sicurezza, fornendo flessibilità ma anche rigore nel trattamento degli incidenti che possono compromettere la sicurezza e la fiducia nelle infrastrutture digitali dell’Unione.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
- Regolamento di Esecuzione della Commissione Europea per l’attuazione della Direttiva NIS2 - Ottobre 17, 2024
