Un'unica piattaforma. Ogni requisito dell'UE. Nessuna lacuna.
L'UE ha creato NIS2 per armonizzare la cibersicurezza in tutta Europa. Poi 27 paesi l'hanno attuata in modo diverso. Noi abbiamo risolto questo problema.
La standardizzazione che non c'è mai stata
NIS2 avrebbe dovuto essere il grande unificatore: un'unica direttiva per allineare i requisiti di cibersicurezza in tutti i 27 Stati membri dell'UE. In pratica, ha fatto il contrario. La direttiva fissa requisiti minimi e ogni paese è libero di adottare regole più severe. La maggior parte l'ha fatto. Il risultato è un mosaico di leggi nazionali, ciascuna con la propria interpretazione, le proprie soglie e le proprie aspettative di applicazione.
Poi la Commissione europea ha aggiunto il CIR 2024/2690, un regolamento di esecuzione che specifica i requisiti tecnici per le entità transfrontaliere più critiche. Non sostituisce il diritto nazionale, si sovrappone ad esso. Così ora le aziende si trovano di fronte a tre livelli di requisiti che si sovrappongono, si contraddicono e confondono in misura all'incirca uguale.
Se operate in più paesi dell'UE, o se semplicemente volete sapere cosa significhi concretamente "conforme a NIS2", siete soli. Non esiste un'unica fonte di verità. Fino ad ora.
Direttiva NIS2 (UE 2022/2555)
La direttiva a livello UE che fissa i requisiti minimi di cibersicurezza per i soggetti essenziali e importanti. Deliberatamente vaga sui dettagli di attuazione: vi dice cosa raggiungere, non come raggiungerlo. Ogni Stato membro deve recepirla nel diritto nazionale ed è esplicitamente autorizzato ad andare oltre.
BSIG - recepimento nazionale tedesco
La Germania ha recepito NIS2 nel BSIG (BSI-Gesetz). Va significativamente oltre i minimi della direttiva: tempistiche di segnalazione degli incidenti più severe, ambito più ampio dei soggetti interessati e responsabilità esplicita della dirigenza ai sensi dell'articolo 38. Se operate in Germania, la sola direttiva non è sufficiente: è il BSIG che i revisori applicano.
CIR 2024/2690 - regolamento di esecuzione dell'UE
Il regolamento di esecuzione della Commissione specifica requisiti tecnici e metodologici dettagliati per i soggetti che forniscono servizi transfrontalieri (DNS, cloud, CDN, data center e altro). A differenza della direttiva, è direttamente applicabile: nessun recepimento nazionale necessario. Aggiunge requisiti granulari per la gestione del rischio, il trattamento degli incidenti e la sicurezza della catena di approvvigionamento che vanno ben oltre il testo della direttiva.
IT-Grundschutz - metodologia di attuazione del BSI
Gli standard IT-Grundschutz del BSI (BSI-200-1, 200-2, 200-3) definiscono esattamente come attuare i requisiti nella pratica. Ai sensi dell'articolo 44(2) BSIG, l'attuazione del Grundschutz è esplicitamente riconosciuta come adempimento degli obblighi NIS2 in Germania. È il livello più dettagliato e prescrittivo, e quello che trasforma vaghe dichiarazioni di policy in controlli concreti e verificabili.
Il minimo comune denominatore più severo
La nostra piattaforma non sceglie un unico framework sperando che vada bene. Per ogni ambito di conformità - gestione del rischio, segnalazione degli incidenti, controllo degli accessi, cifratura, formazione, catena di approvvigionamento - individuiamo il requisito più severo tra tutte e tre le fonti normative: la Direttiva NIS2, il CIR 2024/2690 e il BSIG con la metodologia IT-Grundschutz.
Poi integriamo quella versione più severa nella piattaforma come impostazione predefinita. Ogni modulo, ogni flusso di lavoro, ogni requisito di evidenza è progettato per soddisfare l'asticella più alta. Quando completate un requisito sulla nostra piattaforma, non soddisfate solo lo standard tedesco o il minimo dell'UE: li soddisfate tutti contemporaneamente.
Il risultato: conformati una volta, sii conforme ovunque. Che operiate solo in Germania, in tutta l'UE o rientriate nell'ambito transfrontaliero del CIR, la vostra postura di conformità regge. Nessun lavoro duplicato, nessuna lacuna, nessuna sorpresa durante un audit in una giurisdizione diversa.
| Ambito di conformità | Direttiva NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Gestione del rischio | Misure "adeguate e proporzionate", nessuna metodologia prescritta | Metodologia esplicita di valutazione del rischio con criteri definiti, accettazione del rischio documentata | Analisi del rischio completa basata sugli asset secondo BSI-200-3, modellazione delle minacce secondo il Compendio IT-Grundschutz, revisione annuale obbligatoria |
| Segnalazione degli incidenti | Preallarme entro 24 ore, notifica completa entro 72 ore | Stesse tempistiche, in più gli incidenti ricorrenti devono essere aggregati e segnalati come schema | 24 ore/72 ore più segnalazione obbligatoria al BSI, la dirigenza deve essere informata immediatamente, analisi della causa radice richiesta |
| Sicurezza della catena di approvvigionamento | Considerare i rischi della catena di approvvigionamento, tenere conto delle vulnerabilità dei fornitori | Valutazione documentata dei fornitori, requisiti di sicurezza contrattuali, rivalutazione periodica | Registro dei rischi dei fornitori collegato all'inventario degli asset, stato di registrazione NIS2 monitorato, audit dei fornitori a livello Grundschutz |
| Cifratura e crittografia | "Ove appropriato" - uso della crittografia e della cifratura | Policy di crittografia richiesta, gestione delle chiavi documentata, idoneità degli algoritmi valutata | Le Linee guida tecniche del BSI (TR-02102) definiscono algoritmi, lunghezze delle chiavi e protocolli approvati - nessuno spazio per interpretazioni |
| Controllo degli accessi | Policy per il controllo degli accessi ai sistemi informatici e di rete | Accesso basato sui ruoli, gestione degli accessi privilegiati, revisioni periodiche degli accessi | Principio del need-to-know, separazione delle funzioni, MFA obbligatoria per l'accesso amministrativo, RBAC documentato con ricertificazione annuale |
| Formazione sulla cibersicurezza | Formazione periodica per la dirigenza e per tutti i dipendenti | Formazione specifica per ruolo, la dirigenza deve dimostrare competenza nella supervisione del rischio | Formazione annuale di sensibilizzazione per tutti i dipendenti, formazione specifica per ruolo per il personale IT, formazione obbligatoria sulla responsabilità ai sensi dell'articolo 38 BSIG per la dirigenza |
Transfrontaliero per impostazione predefinita
Operate in Germania, espandetevi in Francia, servite clienti nei Paesi Bassi: la vostra conformità regge ovunque. Nessuna rilavorazione specifica per giurisdizione, nessun secondo audit. Un unico processo copre tutti i 27 Stati membri perché soddisfate già l'interpretazione più severa.
Zero ambiguità
La Direttiva NIS2 è deliberatamente vaga. "Misure adeguate" significa cose diverse per revisori diversi. La nostra piattaforma elimina tale ambiguità adottando per impostazione predefinita il requisito più specifico e prescrittivo disponibile. Non dovete mai indovinare se la vostra interpretazione sia "sufficiente".
Conformità a prova di futuro
Le normative si inaspriscono soltanto. I paesi che hanno recepito NIS2 oggi al livello minimo adotteranno regole più severe domani. Soddisfacendo già lo standard attuale più elevato, siete avanti rispetto a ogni futuro inasprimento, non in affanno a recuperare.
Pronti per l'audit dal primo giorno
I revisori del BSI si aspettano evidenze a livello Grundschutz. Le valutazioni ENISA verificano la conformità al CIR. La nostra piattaforma genera automaticamente evidenze che soddisfano entrambe. Assegnazioni, approvazioni, scadenze e tracce di audit sono integrate nel flusso di lavoro: sono il processo di conformità, non un ripensamento.
Questa è l'obiezione più comune, ed è sbagliata. La differenza tra soddisfare i requisiti minimi della Direttiva NIS2 e soddisfare lo standard BSIG/Grundschutz non è più immissione di dati, più documenti o più lavoro inutile. È più struttura. Le stesse informazioni che un'azienda fornisce per un esercizio NIS2 ridotto al minimo sono le stesse informazioni necessarie per un'attuazione a livello Grundschutz.
Il "lavoro" in più è la comprensione: sapere quali asset documentare, come strutturare una valutazione del rischio, cosa costituisca un'evidenza adeguata. È esattamente ciò di cui si occupa la nostra piattaforma al posto vostro. I moduli vi guidano attraverso le domande giuste. I flussi di lavoro impongono il processo corretto. L'evidenza viene generata mentre lavorate.
Nella pratica, un'azienda che usa la nostra piattaforma non impiega più tempo di una che usa uno strumento a checklist con conformità minima. La differenza è che il nostro risultato regge effettivamente a un audit, in qualunque paese dell'UE, sotto qualunque normativa applicabile. Lo sforzo è identico. Il risultato è incomparabilmente migliore.
Domande frequenti
Non è eccessivo per un'azienda che opera in un solo paese?
No. Anche all'interno di un singolo paese, vi trovate di fronte a molteplici requisiti sovrapposti: il recepimento nazionale, potenzialmente il CIR se fornite servizi transfrontalieri e le aspettative pratiche del vostro revisore nazionale. Soddisfare il minimo comune denominatore più severo significa non doversi mai preoccupare di quale normativa specifica si applichi a quale parte della vostra attività. Non è eccessivo: è l'unico approccio che rimuove del tutto l'ambiguità.
E se il mio paese avesse requisiti diversi dal BSIG tedesco?
Ogni paese dell'UE ha recepito NIS2 al livello minimo della direttiva o al di sopra. Il BSIG tedesco è tra i recepimenti più severi. Se soddisfate i requisiti a livello BSIG, superate automaticamente qualunque cosa richieda il vostro paese. Pensatelo come un superinsieme: la legge nazionale più severa più il CIR più la direttiva copre ogni possibile interpretazione che qualunque Stato membro potrebbe applicare.
L'approccio più severo costa di più o richiede più tempo?
No. La piattaforma vi guida attraverso lo stesso numero di passaggi indipendentemente. La differenza è in come quei passaggi sono strutturati: i nostri moduli e flussi di lavoro sono progettati per acquisire le informazioni al livello di dettaglio che soddisfa la metodologia Grundschutz. Non state facendo più lavoro; state facendo lo stesso lavoro in modo più preciso. L'investimento di tempo è paragonabile a quello di qualunque strumento di conformità, ma il risultato è difendibile in tutte le giurisdizioni dell'UE.
E per quanto riguarda ISO 27001? Ne ho ancora bisogno?
ISO 27001 è uno standard per un sistema di gestione, non un obbligo di legge. NIS2, BSIG e CIR sono obblighi di legge. Vi è una significativa sovrapposizione: se vi conformate ai requisiti della nostra piattaforma, avete coperto all'incirca il 70-80% dei controlli dell'Allegato A di ISO 27001. Ma servono scopi diversi: la conformità a NIS2 è obbligatoria e applicata per legge, la certificazione ISO 27001 è volontaria e guidata dal mercato. La nostra piattaforma si concentra prima di tutto sugli obblighi di legge. L'allineamento a ISO 27001 seguirà come funzionalità futura.
Come si relaziona il CIR 2024/2690 al diritto nazionale come il BSIG?
Il CIR è un regolamento di esecuzione dell'UE: si applica direttamente in tutti gli Stati membri senza recepimento nazionale. Non sostituisce il diritto nazionale; vi si aggiunge. Per i soggetti che rientrano nell'ambito del CIR (principalmente fornitori transfrontalieri di infrastrutture digitali), dovete conformarvi sia al vostro recepimento nazionale (ad esempio, BSIG in Germania) sia al CIR. Dove si sovrappongono, si applica il requisito più severo. Dove non si sovrappongono, si applicano entrambi in modo indipendente. La nostra piattaforma gestisce questa stratificazione così che non dobbiate farlo voi.