Valutazioni coordinate del rischio ai sensi dell'articolo 22 NIS 2
L'articolo 22 è il modo in cui l'UE valuta il rischio strategico della catena di approvvigionamento per cose come 5G, cloud e fornitori di servizi gestiti. Il gruppo di cooperazione svolge la valutazione. ENISA e la Commissione la supportano. I soggetti devono poi tenere conto degli esiti quando scelgono i fornitori ai sensi dell'articolo 21(2)(d).
La versione breve
L'articolo 22 NIS 2 conferisce al gruppo di cooperazione, insieme alla Commissione e a ENISA, il potere di condurre valutazioni coordinate del rischio sulla sicurezza delle catene di approvvigionamento per specifici servizi, sistemi o prodotti TIC critici. Il 5G Toolbox del 2020 è stato il primo esempio concreto. Cloud, fornitori di servizi gestiti, fornitori di identità e altri possono essere valutati allo stesso modo.
Queste valutazioni sono a livello UE e strategiche. Coprono fattori di rischio tecnici e, ove necessario, anche non tecnici. Non tecnici significa geopolitica, contesto normativo, proprietà e controllo dei fornitori. Il 5G Toolbox ha trattato il rischio dei fornitori extra-UE ad alto rischio esattamente sotto questa voce.
L'articolo 22 non vincola direttamente i soggetti. L'articolo 21(3) sì. I soggetti nell'ambito devono tenere conto dei risultati delle valutazioni coordinate quando scelgono le proprie misure di sicurezza dei fornitori ai sensi dell'articolo 21(2)(d). Questo è il ponte dalla strategia a livello UE all'approvvigionamento a livello di soggetto.
Articolo 22(1) e (2) Direttiva NIS 2 (2022/2555)
(1) Il gruppo di cooperazione, in cooperazione con la Commissione e l'ENISA, può effettuare valutazioni coordinate del rischio per la sicurezza di specifiche catene di approvvigionamento di servizi, sistemi o prodotti TIC critici, tenendo conto dei fattori di rischio tecnici e, ove pertinente, non tecnici. (2) La Commissione, previa consultazione del gruppo di cooperazione e dell'ENISA e, ove pertinente, dei pertinenti portatori di interessi, individua gli specifici servizi, sistemi o prodotti TIC critici che possono essere oggetto della valutazione coordinata del rischio per la sicurezza di cui al paragrafo 1.
L'articolo 22 istituisce il meccanismo. Il gruppo di cooperazione svolge la valutazione. La Commissione sceglie quali prodotti, sistemi e servizi TIC vengono valutati. ENISA supporta entrambi. Le valutazioni sono a livello UE e strategiche, non soggetto per soggetto.
Articolo 21(3) NIS 2 + CIR (UE) 2024/2690 §5
Articolo 21(3): Gli Stati membri provvedono affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo siano appropriate, i soggetti tengano conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle prassi di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro. Gli Stati membri provvedono inoltre affinché, nel valutare quali misure di cui a tale lettera siano appropriate, i soggetti siano tenuti a tenere conto dei risultati delle valutazioni coordinate del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell'articolo 22, paragrafo 1.
L'articolo 21(3) è l'effetto a livello di soggetto. Se siete nell'ambito e scegliete i fornitori ai sensi dell'articolo 21(2)(d), dovete tenere conto degli esiti dell'articolo 22. Il CIR §5 fissa poi il dettaglio operativo della sicurezza dei fornitori a livello di soggetto, e la profondità delle evidenze di approvvigionamento è disciplinata dalla clausola di proporzionalità dell'articolo 21(1).
§30(2)(4) BSIG e partecipazione al gruppo di cooperazione (Germania)
Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità.
La Germania copia l'obbligo di sicurezza dei fornitori nel §30(2)(4) BSIG. Il BMI e il BSI partecipano al gruppo di cooperazione per conto della Germania, così gli esiti dell'articolo 22 confluiscono nella guida nazionale. Il BSI pubblica sintesi nei suoi Infopakete e nella guida settoriale. Non esiste una legge tedesca separata per l'articolo 22 in quanto tale: è un meccanismo del gruppo di cooperazione e l'effetto a livello di soggetto passa già attraverso il §30 BSIG.
Chi lo conduce
Il gruppo di cooperazione, in collaborazione con la Commissione e ENISA. Il gruppo di cooperazione è il foro permanente delle autorità degli Stati membri ai sensi dell'articolo 14 NIS 2. ENISA fornisce il supporto tecnico e redige gran parte dell'analisi sottostante. La Commissione convoca e dirige.
Cosa copre
La Commissione sceglie gli specifici prodotti, sistemi e servizi TIC critici che vengono valutati. Previa consultazione del gruppo di cooperazione, di ENISA e, ove pertinente, di altri portatori di interessi. Il 5G è stato il primo. Cloud, fornitori di identità, fornitori di servizi gestiti e altri possono seguire. Nulla nel testo lo limita a un'unica tecnologia.
Come si concretizza a livello di soggetto
I soggetti nell'ambito devono tenere conto degli esiti della valutazione quando scelgono i fornitori ai sensi dell'articolo 21(2)(d). È questa la leva operativa. Non 'conformarsi all'articolo 22'. 'Tenere conto degli esiti dell'articolo 22 quando si scelgono e si gestiscono i propri fornitori'.
Strategico a livello UE, operativo a livello di soggetto
L'articolo 22 si colloca al livello strategico dell'UE. Il gruppo di cooperazione, la Commissione ed ENISA lo conducono. L'output è una lettura coordinata di una particolare catena di approvvigionamento. I soggetti operativizzano poi tale lettura attraverso l'articolo 21(2)(d) e il CIR §5, scalata dalla clausola di proporzionalità dell'articolo 21(1). I due livelli non si fondono in uno solo.
Fattori di rischio tecnici e non tecnici
L'articolo 22(1) nomina esplicitamente entrambi. I fattori tecnici sono la consueta superficie di cibersicurezza: vulnerabilità note, prassi di sviluppo sicuro, comportamento di patching. I fattori non tecnici sono geopolitica, esposizione normativa, proprietà e controllo del fornitore. Il 5G Toolbox ha trattato i profili dei fornitori extra-UE ad alto rischio esattamente sotto questa voce. L'articolo 22 è l'unico articolo di NIS 2 in cui il rischio non tecnico è nominato nel testo.
BMI e BSI tramite il gruppo di cooperazione
Il BMI e il BSI rappresentano la Germania nel gruppo di cooperazione. Quando una valutazione coordinata viene pubblicata, il BSI integra la sostanza nei suoi Infopakete e nella guida settoriale. Il §30(2)(4) BSIG trasferisce l'obbligo di sicurezza dei fornitori a livello di soggetto. L'esito dell'articolo 22 è uno degli input su come un revisore tedesco legge 'appropriato' ai sensi del §30.
Supporto tecnico di ENISA
ENISA è nominata all'articolo 22(1) come partner tecnico. Svolge gran parte del lavoro analitico per le valutazioni coordinate e lo fornisce al gruppo di cooperazione. ENISA mantiene anche la Technical Implementation Guidance per il CIR, che i soggetti usano poi per operativizzare gli obblighi di sicurezza dei fornitori ai sensi dell'articolo 21(2)(d).
Recepimenti nazionali dell'articolo 21(3)
Ogni Stato membro recepisce l'articolo 21(3) nella propria legge NIS 2 (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). L'obbligo di tenere conto degli esiti delle valutazioni coordinate è lo stesso in tutta l'UE. Ciò che differisce è quale autorità nazionale pubblica la guida e come le regole di approvvigionamento recepiscono i risultati della valutazione.
L'articolo 22 è solo la regola sul 5G.
Il 5G è stato il primo esempio concreto, non l'unico. L'articolo 22(2) conferisce alla Commissione un potere aperto di scegliere quali prodotti, sistemi e servizi TIC critici vengono valutati. Cloud, fornitori di servizi gestiti, fornitori di identità e altri possono tutti rientrarvi. Trattare l'articolo 22 come un articolo solo sul 5G ne sottovaluta ampiamente la portata.
Siamo al di sotto della soglia dimensionale, quindi l'articolo 22 non si applica a noi.
L'articolo 22 in sé non si applica direttamente ai soggetti. Si applica al livello UE. Ciò che si applica a voi, se siete un soggetto NIS 2 nell'ambito, è l'articolo 21(3): dovete tenere conto dei risultati delle valutazioni coordinate nelle vostre scelte di fornitori ai sensi dell'articolo 21(2)(d). Le vostre dimensioni non cambiano tale obbligo una volta che siete nell'ambito.
L'articolo 22 è il modo in cui l'UE applica NIS 2 contro i fornitori.
L'articolo 22 è un meccanismo di valutazione del rischio, non uno strumento di enforcement. Non impone obblighi ai fornitori. Produce una lettura coordinata a livello UE di cui i soggetti devono poi tenere conto ai sensi dell'articolo 21(3). L'enforcement contro i soggetti passa attraverso le autorità di vigilanza nazionali ai sensi degli articoli da 31 a 37. L'enforcement contro i fornitori passa indirettamente attraverso le clausole di approvvigionamento a livello di soggetto ai sensi dell'articolo 21(2)(d).
Monitorate gli esiti del gruppo di cooperazione. Il BSI li sintetizza negli Infopakete. ENISA vi fa riferimento negli aggiornamenti della TIG. Se una valutazione coordinata riguarda una tecnologia da cui dipendete (5G, cloud, fornitori di servizi gestiti), aggiornate di conseguenza la vostra policy di sicurezza dei fornitori e il vostro registro dei fornitori. Citate la valutazione nel registro così che un revisore veda il collegamento.
Il 5G Toolbox è l'esempio concreto. Determinate restrizioni sui fornitori ad alto rischio sono confluite nelle regole di approvvigionamento nazionali e da lì nelle scelte di fornitori a livello di soggetto. Aspettatevi lo stesso schema quando saranno pubblicate nuove valutazioni. Non dovete leggere l'intero documento del gruppo di cooperazione. La sintesi del BSI più una voce di una riga sui fornitori interessati nel vostro registro è sufficiente a dimostrare che avete tenuto conto degli esiti.
Il registro dei fornitori collega ciascun fornitore agli esiti pertinenti dell'articolo 22 ove applicabile. Se una valutazione coordinata classifica un fornitore o una categoria di fornitori, etichettate il fornitore con quella classificazione. Il vostro revisore vede sia il riferimento alla valutazione sia la vostra decisione di trattamento in un unico posto.
Il registro dei rischi recepisce le stesse etichette. Un fornitore soggetto a una valutazione coordinata compare come voce di rischio con la valutazione come sua fonte. Trattamento, approvazione e revisione continua passano attraverso il flusso standard del CIR §2. Nessun flusso di lavoro separato per gli input dell'articolo 22. Stessa forma di ogni altro rischio di fornitore, solo con una citazione esterna più forte.
- Direttiva (UE) 2022/2555 (NIS 2), Articoli 21 e 22 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato §5 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- EU Cybersecurity Toolbox di misure di mitigazione del rischio per le reti 5G (2020) — digital-strategy.ec.europa.eu
- BSI-Gesetz (BSIG), §30(2)(4) come modificato dalla NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 (al maggio 2026)