EU 2024/2690

Guida all'attuazione del CIR 2024/2690

Il regolamento di esecuzione dell'UE che specifica esattamente quali misure tecniche e metodologiche i soggetti NIS2 devono attuare - pubblicato nella Gazzetta ufficiale il 17 ottobre 2024 e direttamente applicabile in tutti gli Stati membri.

Cory HiseyCory Hisey·Laufend geprüft

Che cos'è il CIR 2024/2690?

Il regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 è stato pubblicato nella Gazzetta ufficiale dell'Unione europea (serie GU L, 2024/2690). Stabilisce le norme per l'applicazione della direttiva (UE) 2022/2555 (la direttiva NIS2) in relazione ai requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza. A differenza della direttiva NIS2 stessa, questo regolamento non richiede recepimento nazionale: si applica direttamente in tutti i 27 Stati membri dalla data della sua entrata in vigore.

Il CIR è la risposta alla domanda che ogni responsabile della conformità si pone: 'Che cosa dobbiamo esattamente attuare?' Mentre il §30 BSIG (il recepimento tedesco) elenca 10 ambiti di misure in termini generali, l'allegato del CIR li scompone in requisiti tecnici e metodologici specifici e verificabili. È la specifica ufficiale più granulare degli obblighi NIS2 disponibile: più dettagliata della direttiva stessa, più specifica del BSIG e direttamente applicabile.

Il regolamento è stato sviluppato in consultazione con l'ENISA e il gruppo di cooperazione NIS, attingendo a quadri di riferimento esistenti tra cui ISO/IEC 27001, ETSI EN 319 401 e norme nazionali. Si applica specificamente ai fornitori di servizi DNS, ai registri dei nomi di dominio di primo livello (TLD), ai fornitori di servizi di cloud computing, ai fornitori di servizi di gestione dei servizi TIC, ai fornitori di servizi di sicurezza gestiti, ai fornitori di mercati online, ai fornitori di motori di ricerca online, ai fornitori di piattaforme di servizi di rete sociale e ai prestatori di servizi fiduciari, anche se i suoi requisiti tecnici fungono da parametro di riferimento de facto per tutti i soggetti NIS2.

Soggetti coperti direttamente
Il CIR applica requisiti obbligatori ai seguenti tipi di soggetto definiti all'articolo 1:

Fornitori di servizi DNS

Registri dei nomi di dominio di primo livello (TLD)

Fornitori di servizi di cloud computing

Fornitori di servizi di gestione dei servizi TIC (servizi gestiti) e fornitori di servizi di sicurezza gestiti

Fornitori di mercati online

Fornitori di piattaforme di servizi di rete sociale

Prestatori di servizi fiduciari

Struttura del regolamento

Il CIR è composto da 7 articoli che definiscono ambito di applicazione, definizioni e requisiti, più un allegato dettagliato contenente le specifiche tecniche e metodologiche.

Articolo 2 - Definizioni

Stabilisce le definizioni di 'sicurezza dei sistemi informatici e di rete', 'incidente significativo' e altri termini chiave. Allinea la terminologia con la direttiva NIS2 aggiungendo precisione specifica per l'attuazione.

Articolo 3 - Significatività degli incidenti

Definisce quando un incidente è 'significativo' - la soglia che fa scattare gli obblighi di notifica. Un incidente è significativo se causa una perdita finanziaria superiore a 500.000 EUR o al 5 % del fatturato annuo, comporta l'esfiltrazione di segreti commerciali, causa decesso o danno considerevole alla salute, oppure soddisfa criteri specifici per soggetto definiti nell'articolo.

Articolo 4 - Incidenti significativi ricorrenti

Specifica che gli incidenti ricorrenti che individualmente non raggiungono la soglia di significatività possono essere aggregati e trattati come un unico incidente significativo se collettivamente soddisfano i criteri entro un periodo di sei mesi.

Articolo 5 - Incidenti significativi per i registri DNS e TLD

Aggiunge criteri di significatività specifici per i fornitori di servizi DNS e i registri TLD, tra cui una disponibilità del servizio inferiore al 99,9 % per qualsiasi periodo, tassi di risposta DNS errati e compromissione dell'integrità o della riservatezza dei dati di registrazione dei domini archiviati.

Articolo 6 - Requisiti tecnici e metodologici

L'articolo centrale: impone ai soggetti coperti di attuare i requisiti tecnici e metodologici stabiliti nell'allegato. Le misure devono essere 'adeguate e proporzionate' ai rischi, tenendo conto delle dimensioni del soggetto, dell'esposizione, della probabilità di incidenti e dell'impatto sulla società.

Articolo 7 - Entrata in vigore

Il regolamento è entrato in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale (pubblicato il 17 ottobre 2024). Si applica direttamente in tutti gli Stati membri senza richiedere recepimento nazionale.

I 10 ambiti di misure (allegato del CIR)
L'allegato organizza i requisiti tecnici e metodologici in 10 ambiti che rispecchiano il §30(2) BSIG. Ciascun ambito contiene sotto-requisiti dettagliati con criteri di attuazione specifici.
1

Politica sulla sicurezza dei sistemi informatici e di rete

Richiede una politica di sicurezza documentata approvata dalla direzione, riesaminata almeno annualmente e aggiornata dopo incidenti significativi o cambiamenti. Deve definire ruoli, responsabilità e il quadro per tutte le misure successive. Deve includere una politica di accettazione del rischio e prove dell'impegno della direzione.

2

Gestione dei rischi

Richiede una metodologia documentata di valutazione dei rischi, l'identificazione dei rischi che copra tutti gli asset e i processi critici, l'analisi dei rischi con valutazione di probabilità e impatto, il trattamento dei rischi con decisioni documentate (accettare, mitigare, trasferire, evitare) e l'accettazione del rischio residuo da parte della direzione. Deve essere riesaminata a intervalli pianificati e dopo cambiamenti significativi.

3

Gestione degli incidenti

Richiede procedure di rilevamento, classificazione, risposta e ripristino degli incidenti. Deve definire ruoli e responsabilità per la gestione degli incidenti, stabilire canali di comunicazione, includere un'analisi post-incidente (lezioni apprese) e mantenere registri degli incidenti. Il rilevamento deve includere il monitoraggio di anomalie e di indicatori di compromissione noti.

4

Continuità operativa e gestione delle crisi

Richiede un'analisi dell'impatto operativo, piani di continuità per i servizi critici, procedure di backup e ripristino con capacità di ripristino testate e procedure di gestione delle crisi. L'integrità dei backup deve essere verificata regolarmente. Gli obiettivi di tempo di ripristino devono essere definiti e testati. I piani devono essere riesaminati dopo incidenti o cambiamenti significativi.

5

Sicurezza della catena di approvvigionamento

Richiede una politica di sicurezza della catena di approvvigionamento, la valutazione delle pratiche di cibersicurezza dei fornitori diretti, requisiti di sicurezza contrattuali per i prodotti e i servizi TIC e il monitoraggio della postura di sicurezza dei fornitori lungo il ciclo di vita del contratto. Deve considerare i rischi specifici della catena di approvvigionamento, compresi quelli derivanti dalla catena di approvvigionamento del fornitore stesso.

6

Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione

Richiede un ciclo di vita di sviluppo sicuro per lo sviluppo interno, requisiti di sicurezza per i prodotti e i servizi TIC acquisiti, gestione della configurazione, procedure di gestione delle modifiche e test di sicurezza (compresi scansione delle vulnerabilità e test di penetrazione ove appropriato). Deve coprire l'intero ciclo di vita dall'acquisizione alla dismissione.

7

Crittografia

Richiede una politica sull'uso della crittografia, compresa la selezione di algoritmi crittografici e lunghezze delle chiavi adeguati alla classificazione dei dati, procedure di gestione delle chiavi (generazione, distribuzione, archiviazione, rotazione, revoca, distruzione) e un riesame periodico delle implementazioni crittografiche rispetto alle migliori pratiche attuali e alle vulnerabilità note.

8

Controllo degli accessi e gestione degli asset

Richiede una politica di controllo degli accessi basata su requisiti aziendali e di sicurezza, gestione delle identità con identificazione univoca degli utenti, procedure di concessione e revoca degli accessi, gestione degli accessi privilegiati e un inventario degli asset che copra tutti i componenti dei sistemi informatici e di rete. I diritti di accesso devono essere riesaminati a intervalli pianificati.

9

Autenticazione a più fattori e comunicazione sicura

Richiede l'autenticazione a più fattori o l'autenticazione continua per l'accesso ai sistemi critici e per l'accesso remoto. Devono essere stabiliti canali di comunicazione sicuri per scenari di emergenza e di ripiego. Le comunicazioni vocali, video e di testo utilizzate per la risposta agli incidenti devono essere protette dall'intercettazione.

10

Sensibilizzazione e formazione alla cibersicurezza

Richiede programmi periodici di sensibilizzazione alla cibersicurezza per tutto il personale, formazione specifica per ruolo per il personale con responsabilità di sicurezza e formazione della direzione sulla governance della cibersicurezza. La formazione deve coprire le politiche di sicurezza del soggetto, le minacce comuni, le procedure di segnalazione degli incidenti e le responsabilità specifiche del personale.

CIR, direttiva NIS2 e BSIG - come si incastrano
Comprendere la gerarchia giuridica è essenziale per la pianificazione della conformità.

La direttiva NIS2 (UE) 2022/2555 è la normativa madre: stabilisce il quadro, gli obblighi e il regime di applicazione a livello UE. Gli Stati membri erano tenuti a recepirla nel diritto nazionale entro il 17 ottobre 2024. Il recepimento tedesco è il NIS2UmsuCG, che modifica il BSIG. Il BSIG contiene ora tutti gli obblighi NIS2 nel diritto tedesco, compresi il §30 (misure di cibersicurezza) e il §32 (notifica degli incidenti).

Il CIR 2024/2690 è un regolamento UE direttamente applicabile: non richiede recepimento e prevale sulle disposizioni nazionali contrastanti. Laddove il CIR specifica un requisito tecnico, tale requisito si applica direttamente, indipendentemente dal fatto che il BSIG lo affronti. Per i tipi di soggetto elencati all'articolo 1, il CIR è lo standard di conformità primario.

Per i soggetti NON elencati direttamente all'articolo 1 del CIR ma comunque soggetti a NIS2 (ad es. fornitori di energia, sanità, trasporti), il CIR funge da riferimento più autorevole su come si presentano le misure 'adeguate e proporzionate'. Ci si attende che i tribunali tedeschi e il BSI facciano riferimento alle specifiche tecniche del CIR nel valutare se le misure di un'azienda soddisfano lo standard del §30 BSIG, anche se il CIR non vincola formalmente tali soggetti.

Fonti
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 - Gazzetta ufficiale dell'Unione europea, GU L 2024/2690
  • EUR-Lex - Testo integrale del CIR 2024/2690 (CELEX: 32024R2690)
  • Direttiva (UE) 2022/2555 (direttiva NIS2) - Gazzetta ufficiale dell'Unione europea
  • ENISA - Orientamenti tecnici sulle misure di attuazione di NIS2 (2024)
  • secuvera GmbH - Analisi dei requisiti del CIR 2024/2690 e mappatura verso ISO 27001 (2024)
  • BSIG - §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), come modificato dal NIS2UmsuCG
Attuare i requisiti del CIR in modo sistematico
La piattaforma mappa ogni requisito dell'allegato del CIR in attività strutturate con caricamento di prove, monitoraggio delle scadenze e approvazioni della direzione, trasformando un regolamento di 30 pagine in passi di conformità concreti.
Avvia il tuo processo di conformità NIS2