Analisi delle lacune da ISO 27001 a NIS2
Una certificazione ISO 27001 copre all'incirca il 70% dei requisiti tecnici di NIS2, ma il restante 30% comprende le aree con il maggiore rischio sanzionatorio: registrazione, tempistiche di notifica degli incidenti e responsabilità personale della direzione.
La ISO 27001 è un vantaggio di partenza, non un traguardo
Se la vostra azienda possiede una certificazione ISO 27001:2022, siete avanti rispetto alla maggior parte dei soggetti interessati da NIS2. Il quadro dell'ISMS, la metodologia di valutazione del rischio e i controlli dell'Annex A si mappano bene sulle dieci aree di misure di cibersicurezza definite al §30(2) BSIG. Il BSI ha esplicitamente riconosciuto che la certificazione ISO 27001 dimostra una postura di sicurezza matura, ma ha altrettanto esplicitamente affermato che la sola certificazione non equivale alla conformità a NIS2.
La lacuna esiste perché NIS2 introduce obblighi che la ISO 27001 non è mai stata concepita per affrontare. La ISO 27001 è uno standard volontario di sistema di gestione incentrato sulla sicurezza delle informazioni all'interno di un'organizzazione. NIS2 è un obbligo regolamentare incentrato sulla resilienza delle infrastrutture critiche, con notifica alle autorità, responsabilità personale della direzione e sanzioni di legge. Si tratta di paradigmi di conformità fondamentalmente diversi: uno riguarda le buone prassi, l'altro la conformità giuridica.
La guida di mappatura di ENISA e le analisi di DataGuard, secuvera e dello stesso BSI individuano costantemente le stesse lacune. Comprendere dove la ISO 27001 copre NIS2, e dove non lo fa, consente alle aziende certificate di costruire sul proprio ISMS esistente anziché ripartire da zero, garantendo al tempo stesso di non trascurare i requisiti specifici della normativa che comportano il maggiore rischio sanzionatorio.
Gestione del rischio (§30(2)(1) BSIG)
Le clausole 6.1 e 8.2 della ISO 27001 richiedono identificazione, analisi, valutazione e trattamento del rischio, esattamente ciò che il §30(2)(1) impone. Una metodologia esistente di valutazione del rischio dell'ISMS, se mantenuta correttamente, soddisfa questo requisito. Assicuratevi che il vostro registro dei rischi copra specificamente i rischi della tecnologia operativa e della catena di fornitura, non solo i rischi della sicurezza delle informazioni.
Controllo degli accessi (§30(2)(5) BSIG)
I controlli dell'Annex A della ISO 27001 da A.5.15 ad A.5.18 e da A.8.2 ad A.8.5 coprono la politica di controllo degli accessi, l'assegnazione degli accessi utente, la gestione degli accessi privilegiati e la restrizione dell'accesso alle informazioni. Ciò si mappa direttamente sui requisiti del §30(2)(5) BSIG per il controllo degli accessi ai sistemi informatici e di rete.
Gestione degli incidenti (§30(2)(2) BSIG)
I controlli dell'Annex A della ISO 27001 da A.5.24 ad A.5.28 coprono la pianificazione, la valutazione, la risposta e l'apprendimento nella gestione degli incidenti. Il processo tecnico di gestione degli incidenti richiesto da NIS2 è ben coperto, sebbene le tempistiche di notifica e la segnalazione al BSI non facciano parte della ISO 27001 (si vedano le lacune sotto).
Continuità operativa (§30(2)(3) BSIG)
I controlli dell'Annex A della ISO 27001 A.5.29 e A.5.30 affrontano la sicurezza delle informazioni durante le interruzioni e la prontezza ICT per la continuità operativa. Uniti a un'adeguata BIA e a procedure di ripristino testate, ciò copre sostanzialmente i requisiti di continuità di NIS2.
Crittografia (§30(2)(8) BSIG)
Il controllo dell'Annex A della ISO 27001 A.8.24 copre l'uso della crittografia. Un ISMS maturo include politiche crittografiche, procedure di gestione delle chiavi e standard di selezione degli algoritmi che si allineano ai requisiti di crittografia di NIS2.
Rapporti con i fornitori (§30(2)(4) BSIG - parziale)
I controlli dell'Annex A della ISO 27001 da A.5.19 ad A.5.23 affrontano la sicurezza delle informazioni nei rapporti con i fornitori, inclusa la valutazione dei fornitori, il monitoraggio dell'erogazione dei servizi e la gestione delle modifiche. Ciò fornisce una base, ma NIS2 richiede una due diligence più estesa sulla catena di fornitura (si vedano le lacune).
Formazione e sensibilizzazione (§30(2)(9) BSIG)
Il controllo dell'Annex A della ISO 27001 A.6.3 copre la sensibilizzazione, l'istruzione e la formazione sulla sicurezza delle informazioni. Ciò si allinea al requisito generale di formazione di NIS2, sebbene NIS2 aggiunga specifici obblighi di formazione della direzione ai sensi del §38 BSIG che vanno oltre l'ambito della ISO 27001.
Obbligo di registrazione presso il BSI (§33 BSIG)
La ISO 27001 non ha alcun concetto di registrazione presso le autorità. Il §33 BSIG impone a ogni soggetto NIS2 di registrarsi presso il BSI, fornendo informazioni sul soggetto, classificazione settoriale, recapiti e intervalli di indirizzi IP. Si tratta di un obbligo regolamentare autonomo con proprie disposizioni sanzionatorie: la vostra certificazione ISO non lo attiva né lo sostituisce.
Tempistiche di notifica degli incidenti (§32 BSIG)
La ISO 27001 richiede la risposta agli incidenti ma non fissa alcuna tempistica di notifica esterna. Il §32 BSIG impone: preallarme al BSI entro 24 ore, notifica dell'incidente entro 72 ore e relazione finale entro un mese. Si tratta di termini di legge con sanzioni distinte per l'inadempimento. Il processo di gestione degli incidenti del vostro ISMS deve essere esteso con flussi di lavoro di notifica specifici per il BSI.
Responsabilità personale della direzione (§38 BSIG)
La ISO 27001 richiede l'impegno e la leadership della direzione (clausola 5) ma non crea alcuna responsabilità giuridica personale. Il §38 BSIG rende i Geschäftsleiter personalmente responsabili per le carenze nella governance della cibersicurezza, incluso un dovere non derogabile di approvare le misure, supervisionarne l'attuazione e completare una formazione personale sulla cibersicurezza. Nessun controllo ISO affronta questo aspetto.
Quadro sanzionatorio di legge (§65 BSIG)
L'inadempimento della ISO 27001 comporta la perdita della certificazione, una conseguenza reputazionale. L'inadempimento di NIS2 ai sensi del §65 BSIG comporta sanzioni fino a 10 milioni di EUR o al 2% del fatturato mondiale per i soggetti essenziali. Il meccanismo di applicazione è fondamentalmente diverso: sanzioni delle autorità contro lo stato di una certificazione volontaria.
Due diligence rafforzata sulla catena di fornitura (§30(2)(4) BSIG)
Mentre i controlli dell'Annex A della ISO 27001 da A.5.19 ad A.5.23 coprono la sicurezza dei fornitori, NIS2 richiede una valutazione del rischio della catena di fornitura più granulare, inclusa la valutazione della maturità in cibersicurezza degli stessi fornitori, la considerazione delle vulnerabilità specifiche della catena di fornitura e la valutazione delle dipendenze critiche. L'Annex del CIR 2024/2690 specifica requisiti di sicurezza contrattuali e un monitoraggio continuo dei fornitori che eccedono i controlli di gestione dei fornitori della ISO 27001.
Requisiti di governance specifici di NIS2
NIS2 richiede strutture di governance specifiche, inclusi punti di contatto designati per il BSI (§33 BSIG), la partecipazione ai CSIRT settoriali e la conformità agli ordini di esecuzione del BSI. Si tratta di requisiti di governance regolamentari che esulano dall'ambito dell'ISMS: riguardano il rapporto tra il soggetto e le autorità pubbliche, non la gestione interna della sicurezza.
| Misura NIS2 / §30(2) BSIG | Controlli ISO 27001:2022 | Copertura |
|---|---|---|
| Analisi del rischio e politiche di sicurezza | Clausola 6.1, 8.2; A.5.1 | Completa |
| Gestione degli incidenti | A.5.24-A.5.28 | Parziale - nessuna tempistica di notifica al BSI |
| Continuità operativa e gestione delle crisi | A.5.29, A.5.30 | Completa |
| Sicurezza della catena di fornitura | A.5.19-A.5.23 | Parziale - manca la due diligence rafforzata |
| Sicurezza in acquisizione, sviluppo, manutenzione | A.8.25-A.8.31 | Completa |
| Valutazione dell'efficacia | Clausola 9.1, 9.2, 9.3; A.8.8 | Completa |
| Formazione sulla cibersicurezza | A.6.3 | Parziale - formazione della direzione ex §38 non coperta |
| Crittografia | A.8.24 | Completa |
| Controllo degli accessi e gestione degli asset | A.5.9-A.5.18; A.8.2-A.8.5 | Completa |
| Autenticazione a più fattori e comunicazione sicura | A.8.5 | Parziale - requisito MFA più specifico in NIS2 |
- ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems
- BSIG - §30(2) (Risikomanagementmaßnahmen), §32 (Meldepflichten), §33 (Registrierung), §38 (Geschäftsleitung), §65 (Bußgeldvorschriften)
- BSI - Guida sul rapporto tra certificazione ISO 27001 e conformità a NIS2
- ENISA - Guida di mappatura da NIS2 a ISO 27001 (2024)
- DataGuard - Analisi delle lacune e mappatura da ISO 27001 a NIS2 (2024)
- CIR (UE) 2024/2690 - Requisiti tecnici dell'Annex e riferimenti alla ISO 27001