Il Considerando 122 della Direttiva NIS 2 stabilisce una chiara differenziazione tra i soggetti essenziali e quelli importanti, imponendo regimi di vigilanza distinti per ciascuno.
I soggetti essenziali, che rivestono un ruolo cruciale nella sicurezza nazionale e nella stabilità economica, sono sottoposti a un regime di vigilanza completo. Questo include controlli preventivi (ex ante) e successivi (ex post) per garantire che siano sempre conformi agli standard di cyber security.
I soggetti importanti, invece, sono sottoposti a un regime di vigilanza leggero, solo ex post. Questi soggetti non dovrebbero quindi essere tenuti a documentare sistematicamente il rispetto delle misure di gestione dei rischi di cibersicurezza e le autorità competenti dovrebbero attuare un approccio ex post, reattivo alla vigilanza.
Indice degli argomenti
Compiti di vigilanza e poteri delle autorità competenti
L’art. 32 della NIS 2 definisce un’intera gamma di compiti di vigilanza e di poteri di esecuzione che le autorità competenti devono esercitare nei confronti rispettivamente dei soggetti importanti e dei soggetti essenziali.
In questo modo, detto articolo implementa il quadro di vigilanza introdotto dal Considerando 122 che, come già accennato, prevede un regime differenziato di controlli: più rigorosi per i soggetti essenziali, più leggeri per quelli importanti.
Così, gli Stati membri, nell’ambito del recepimento della Direttiva, sono chiamati a garantire che le autorità competenti esercitino adeguati poteri di vigilanza e controllo. In particolare, tali autorità devono:
- disporre dei poteri necessari per effettuare una supervisione sui soggetti importanti, assicurando che questi rispettino tutte le norme e i requisiti previsti a loro carico dalla Direttiva;
- essere dotate di poteri di esecuzione più stringenti nei confronti dei soggetti essenziali, al fine di garantire la sicurezza e la resilienza delle infrastrutture critiche.
In tale scenario, il paragrafo 2 dell’art. 32 sancisce che le autorità competenti, nell’esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:
- ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
- audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente;
- audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;
- scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
- richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti;
- richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
- richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.
D’altra parte, il paragrafo 4 dello stesso articolo 32, prevede che le norme statali di recepimento della NIS 2 debbano garantire che le autorità competenti, nell’esercizio dei rispettivi poteri di esecuzione nei confronti dei soggetti essenziali, abbiano il potere come minimo di:
- emettere avvertimenti riguardo alle violazioni della NIS 2;
- adottare istruzioni vincolanti per prevenire o rimediare a incidenti, specificando e riferendo misure e termini per la loro attuazione;
- imporre ai soggetti interessati di porre termine al comportamento che viola la NIS 2 e di astenersi dal ripeterlo;
- assicurarsi che le misure di gestione del rischio di cibersicurezza siano conformi ai “controlli” fissati dall’articolo 21 della NIS 2 e di adempiere agli obblighi di segnalazione prescritti dall’art. 23 della stessa NIS 2;
- informare le persone fisiche o giuridiche potenzialmente minacciate da una minaccia informatica, indicando anche le relative misure protettive o correttive;
- attuare le raccomandazioni derivanti da audit sulla sicurezza entro termini ragionevoli;
- designare un funzionario di sorveglianza con compiti definiti;
- rendere pubbliche le violazioni della direttiva in una maniera specificata;
- imporre sanzioni amministrative pecuniarie a norma dell’articolo 34, oltre ad altre misure indicate.
Misure reattive e proattive per i soggetti essenziali e importanti
Nel quadro di quanto prescritto dai citati paragrafi 2 e 4 dell’articolo 32 della NIS 2, sia i soggetti importanti che quelli essenziali, esposti ai controlli, ex post ed eventualmente anche ex ante, dovrebbero prepararsi, definendo e adottando una serie di misure sia di carattere proattivo che reattivo.
Per tale specifica finalità, presentiamo di seguito un insieme strutturato di misure che permettono ai soggetti essenziali di gestire efficacemente i controlli e le ispezioni delle autorità competenti. Queste strategie, progettate per garantire conformità e resilienza, sono comunque applicabili anche ai soggetti importanti.
Attenzione: per questi ultimi non è richiesta un’implementazione integrale delle misure proposte. Pertanto, queste possono essere adottate selettivamente mediante la tecnica dello “handpicking”,[1] consentendo così un adattamento flessibile alle specifiche esigenze e risorse disponibili.
Modalità di esercizio dei compiti di vigilanza come definito dall’art. 32 | Misura reattiva | Misura proattiva |
Ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati | Predisporre una procedura per la gestione delle ispezioni ed audit da parte di soggetti terzi autorizzati nel contesto della cybersecurity. Tale procedura potrebbe integrare anche quella di norma prevista nel perimetro del D.lgs 231/2001. Tale procedura dovrebbe anche prevedere la gestione degli “avvertimenti riguardo alle violazioni della NIS 2 che potrebbero emettere le autorità competenti” (così testualmente l’art. 32 al par. 4a)). Inoltre, bisognerebbe considerare che le eventuali raccomandazioni fornite siano prese in carico entro tempi definiti e documentati come prevede l’art. 32 al par. 4f). Bisognerebbe integrare i flussi verso ODV e DPO sulle comunicazioni a seguito di ispezioni nel contesto della NIS 2. | Selezionare professionisti qualificati (preferibilmente esterni al fine di garantire maggiore indipendenza) per pianificare ed eseguire controlli sulle misure adottate, a seguito delle raccomandazioni fornite, nel rispetto di quanto previsto dall’art. 21, effettuare tali controlli anche a sorpresa o con “breve preavviso”. |
Audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente | Come sopra. | Pianificare ed effettuare audit mirati e di sistema, integrando eventualmente anche quelli previsti nel perimetro della ISO/IEC 27001:2022 avendo come criterio la NIS 2 (vedi in particolare art. 21 relativi alle misure da mettere in atto per contrastare i rischi di cibersicurezza). |
audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale | La procedura per la gestione degli incidenti sulla sicurezza dovrebbe prevedere che l’organizzazione informi le persone fisiche e quelle giuridiche, potenzialmente interessate da una minaccia significativa, in relazione alla minaccia e ad alle misure protettive e/o correttive che tali soggetti possono adottare come prevede l’art. 32 al par. 4e). | La procedura per la gestione degli incidenti sulla sicurezza dovrebbe prevedere audit mirati per verificare l’efficacia di tali misure. Tali audit andrebbero eseguiti a valle di ciascun incidente e dopo che siano state messe in atto le azioni correttive (volte ad evitare che si ripeta). |
Modalità di esercizio dei compiti di vigilanza come definito dall’art. 32 | Misura reattiva | Misura proattiva |
scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato | Pianificare e far effettuare, ad intervalli regolari, da soggetti terzi indipendenti scansioni di sicurezza. Mettere in atto le azioni correttive a seguito delle eventuali criticità emerse. | Definire ed applicare criteri di qualifica dei soggetti incaricati di effettuare le scansioni di sicurezzaVerificare l’efficacia delle azioni correttive. |
richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti | Definire ed implementare criteri di archiviazione della documentazione che ne permetta una rapida rintracciabilità su richiesta delle autorità. Predisporre una procedura per la gestione delle richieste di informazioni soggetti terzi autorizzati nel contesto della cybersecurity. Tale procedura potrebbe integrare anche quella di cui al punto 1. Integrare i flussi verso ODV e DPO sulle richieste di informazioni nel contesto della NIS | Mantenere una documentazione dettagliata e aggiornata delle politiche di cibersicurezza, inclusi i piani di gestione dei rischi, le procedure operative standard e le misure di mitigazione. Implementare un sistema di gestione delle politiche (Policy Management System) che consenta di creare, aggiornare e tracciare tutte le politiche di cibersicurezza. Mantenere un registro di controllo (audit trail) di tutte le richieste di accesso e dei dati condivisi, assicurando la tracciabilità e la trasparenza delle operazioni. Conservare tutte le evidenze documentali degli audit, come i rapporti di audit, i registri delle vulnerabilità risolte, i test di penetrazione e le verifiche di conformità, in un archivio centralizzato e sicuro. |
richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza | ||
richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova |
Misure complementari per la procedura
A integrazione degli elementi precedenti va anche considerato che:
- l’organo di governo dell’organizzazione deve conferire la delega al rappresentante legale per poter prendere decisioni per “garantire il rispetto di quanto richiesto dalla direttiva NIS 2” come previsto dall’art. 32 paragrafo 6);
- tutti i controlli previsti devono mirare a verificare la capacità di reazione dell’organizzazione considerando che deve essere tutelata la riservatezza, integrità disponibilità ed autenticità dei dati;
- le misure sopra identificate vanno richieste anche ai fornitori che risultano critici per garantire le prestazioni dell’organizzazione. Analogamente le misure potranno essere testate presso i fornitori pianificando audit e/o richiedendo documenti, ovvero applicando misure simili a quelle previste per le stesse organizzazioni;
- l’organizzazione critica dovrebbe integrare la propria procedura relativa alla gestione delle “Non Conformità” (NC) per adottare, in tempi rapidi ed in modo efficace, le istruzioni vincolanti emesse dall’autorità come previsto dall’art. 32 al paragrafo 4, lettera b);
- deve essere definita una modalità per rendere pubblici gli eventuali aspetti delle violazioni della NIS 2, da parte dell’organizzazione e su richiesta dell’autorità, secondo le modalità specificate da quest’ultima, come prescritto dall’art. 32, paragrafo 4, lettera h);
- le procedure di cui sopra, unitamente ad attività di formazione mirata e ad eventuali simulazioni, devono essere strettamente finalizzate ad evitare che alcun ostacolo sia posto dall’organizzazione in sede di audit e/o monitoraggio da parte dell’autorità come previsto dall’art. 32, paragrafo 7, sottoparagrafo iv);
- il codice di comportamento/codice etico deve vietare ai collaboratori dell’organizzazione di fornire informazioni false o inesatte relativamente alle misure adottate come indicato dall’art. 32, paragrafo 7, sottoparagrafo iv);
- le misure poste in atto devono comunque essere rivalutate nel caso di innovazioni tecnologiche e/o ampliamento del perimetro delle attività aziendali destinatarie della Direttiva NIS 2 o, ancora, laddove l’azienda cambiasse il suo stato da essenziale ad importante o ancora rientrasse nel contesto della NIS 2 laddove prima ne fosse stata esclusa;
- ulteriori e più dettagliate misure, sia di carattere reattivo che proattivo, potranno essere definite, in esito alle determinazioni del Legislatore Nazionale all’atto del recepimento della Direttiva NIS 2.
Funzione di salvaguardia per le certificazioni e la governance
L’applicazione efficace di tali misure serve anche a scongiurare quanto previsto dall’art. 32, paragrafo 5, secondo il quale, qualora dette misure non vengano adottate entro il termine stabilito, gli Stati membri devono prevedere che le proprie autorità competenti abbiano il potere di:
- sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale;
- chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.
Conclusioni
La direttiva NIS 2 è volta a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno. Ciò perché la cibersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.
Prepararsi a questa direttiva richiede un impegno reattivo, ma soprattutto proattivo da parte dei soggetti essenziali ed importanti per sviluppare e implementare procedure efficaci per gestire i controlli da parte delle autorità competenti.
Riteniamo che, ispirandosi alle linee di azione delineate in questo articolo, le organizzazioni possano assicurarsi di essere pronte a soddisfare i nuovi requisiti di sicurezza, contribuendo così a un ambiente digitale più sicuro e resiliente a tutela di tutte le parti interessate.
Siamo anche consapevoli dell’importanza di approfondire il tema della gestione delle ispezioni condotte dalle autorità competenti. È essenziale comprendere come prepararsi adeguatamente e quali comportamenti dovrebbero essere adottati durante tali ispezioni per ridurre al minimo i rischi connessi.
Tuttavia, queste indicazioni richiedono un’analisi dedicata e approfondita, che tratteremo in un prossimo articolo.
[1] Per “handpicking” intendiamo la selezione mirata e strategica di singole misure o pratiche da un insieme più ampio, adottando solo quelle più rilevanti o vantaggiose per le specifiche esigenze e risorse di un’organizzazione. Questa metodologia permette un’implementazione flessibile ed efficiente, ottimizzando l’applicazione delle risorse disponibili senza compromettere la conformità o la qualità.