La rete di CSIRT ed EU-CyCLONe ai sensi degli articoli 15 e 16
NIS 2 costruisce due reti di cooperazione transfrontaliera. La rete di CSIRT gestisce la risposta tecnica agli incidenti tra i CSIRT nazionali. EU-CyCLONe gestisce il coordinamento politico quando una crisi informatica va oltre un singolo paese. Entrambe hanno l'ENISA come segretariato.
La versione breve
NIS 2 fa due cose contemporaneamente. Dice ai soggetti rientranti nell'ambito di notificare gli incidenti al loro CSIRT nazionale o all'autorità competente. Dice anche agli Stati membri di parlarsi tra loro quando un incidente attraversa i confini o minaccia più di un paese. La parte del parlarsi è ciò che istituiscono gli articoli 15 e 16.
L'articolo 15 crea la rete di CSIRT. È il livello tecnico e operativo. I CSIRT nazionali (in Germania: CERT-Bund presso il BSI) più CERT-EU vi siedono. Si scambiano dati sulle minacce, coordinano la risposta agli incidenti transfrontalieri e condividono strumenti. L'ENISA gestisce il segretariato.
L'articolo 16 crea EU-CyCLONe, la rete europea delle organizzazioni di collegamento per le crisi informatiche. È il livello politico. Le autorità degli Stati membri per la gestione delle crisi informatiche (in Germania: il Ministero federale dell'Interno) vi siedono. Coordinano la risposta politica agli incidenti su vasta scala. Anche l'ENISA gestisce il segretariato. Stessa agenzia, due livelli.
Articolo 15(1) e articolo 16(1) direttiva NIS 2 (2022/2555)
Al fine di contribuire allo sviluppo della fiducia tra gli Stati membri e di promuovere una cooperazione operativa rapida ed efficace, è istituita una rete di CSIRT nazionali. […] Al fine di sostenere la gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala a livello operativo e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione, è istituita una rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).
Due articoli adiacenti. Due reti. L'articolo 15 si colloca sul piano operativo. L'articolo 16 si colloca sul piano politico. La direttiva istituisce direttamente entrambi gli organismi. Non è necessaria alcuna ulteriore norma UE per farli esistere.
N/D — Istituzioni a livello di articolo
Non esiste alcun regolamento di esecuzione che specifichi ulteriormente la rete di CSIRT o EU-CyCLONe.
A differenza dell'articolo 21(2) (che il CIR sviluppa nel dettaglio), gli articoli 15 e 16 sono autoesecutivi. Le reti hanno pubblicato i propri regolamenti interni, ma quelli sono documenti di lavoro, non normativa UE. Ciò che conta per i soggetti rientranti nell'ambito è chi siano le loro controparti nazionali, non le procedure operative interne delle reti.
Designazione del CSIRT nazionale ai sensi dell'art. 10 NIS 2 + autorità nazionale per le crisi informatiche
Germania: CERT-Bund (presso il BSI) è il CSIRT nazionale designato sulla rete dell'articolo 15. Il Ministero federale dell'Interno (BMI) rappresenta la Germania in EU-CyCLONe.
Ogni Stato membro nomina un CSIRT nazionale ai sensi dell'articolo 10 NIS 2 e nomina l'autorità responsabile della gestione delle crisi informatiche. Per la Germania, il BSIG conferma il BSI come autorità nazionale e CERT-Bund come CSIRT nazionale. Il rappresentante del piano politico in EU-CyCLONe è il BMI.
Rete di CSIRT: cooperazione operativa
La rete si scambia informazioni sulle capacità dei CSIRT, condivide strumenti e procedure, si scambia dati su incidenti e minacce, coordina la risposta agli incidenti transfrontalieri, sostiene gli Stati membri con gli incidenti che li riguardano e alimenta la divulgazione coordinata delle vulnerabilità ai sensi dell'articolo 12. Lavoro tecnico tra team tecnici.
EU-CyCLONe: coordinamento politico
EU-CyCLONe costruisce la preparazione alla gestione degli incidenti e delle crisi di cibersicurezza su vasta scala, sviluppa un quadro situazionale condiviso, valuta le conseguenze e propone come porvi rimedio, coordina la risposta politica e (su richiesta di uno Stato membro) discute i piani nazionali di risposta agli incidenti su vasta scala. Lavoro politico tra rappresentanti politici.
Quando il livello operativo scala al livello politico
Gli incidenti transfrontalieri piccoli o di routine restano sulla rete di CSIRT. Gli incidenti su vasta scala che richiedono decisioni a livello ministeriale (impatto intersettoriale, comunicazioni pubbliche, dichiarazioni a livello UE) scalano a EU-CyCLONe. Le due reti sono progettate per passarsi il lavoro a vicenda, con l'ENISA come segretariato di collegamento.
Tecnico e politico sono lavori diversi
Un analista di CSIRT che condivide firme di malware oltre i confini ha un lavoro diverso da un consigliere ministeriale che informa un gabinetto se attribuire un attacco a un attore statale. NIS 2 li tiene in reti separate di proposito. Mescolare i due livelli è il modo per rallentare la risposta tecnica e soffocare il processo decisionale politico.
L'ENISA come tessuto connettivo
L'ENISA gestisce il segretariato per entrambe le reti. Stessa agenzia, stesso edificio, stessa consapevolezza situazionale. Questa è la scelta progettuale deliberata dell'UE: tenere i due livelli di cooperazione strutturalmente separati ma assicurarsi che condividano un quadro operativo comune. Senza questo, il livello politico reagirebbe su informazioni obsolete.
CERT-Bund (BSI) + BMI
CERT-Bund presso il BSI è il CSIRT nazionale della Germania sulla rete dell'articolo 15. Il Ministero federale dell'Interno (BMI) rappresenta la Germania in EU-CyCLONe. Per un soggetto rientrante nell'ambito, il contatto pratico è il BSI. Il piano politico corre sopra la tua testa, ma le sue decisioni possono plasmare ciò che il BSI ti dice di fare.
L'ENISA come segretariato per entrambe le reti
L'ENISA, l'agenzia dell'UE per la cibersicurezza, fornisce il segretariato per la rete di CSIRT e per EU-CyCLONe. Produce documenti di orientamento che emergono da entrambe le reti (manuali operativi di risposta agli incidenti, relazioni sulle minacce, relazioni sulle esercitazioni). Tali pubblicazioni si riversano negli orientamenti nazionali come gli Infopakete del BSI.
CSIRT nazionali + autorità nazionali per le crisi informatiche
Ogni Stato membro ne nomina uno. I Paesi Bassi: NCSC-NL sulla rete di CSIRT, il Ministero della Giustizia e della Sicurezza in EU-CyCLONe. L'Austria: GovCERT Austria sulla rete, la Cancelleria federale sul piano politico. La struttura è identica a livello UE; le agenzie differiscono per paese.
La rete di CSIRT gestisce tutto ciò che riguarda il cyber a livello UE.
Non è così. La rete di CSIRT è il livello operativo e tecnico. Gli incidenti su vasta scala che richiedono coordinamento politico (comunicazioni intersettoriali, decisioni di attribuzione, briefing ministeriali) scalano a EU-CyCLONe. Due reti, due livelli, per progettazione.
EU-CyCLONe è un regolatore a cui notifichiamo.
Non lo è. EU-CyCLONe è un organismo di coordinamento tra le autorità degli Stati membri. Non regola i soggetti rientranti nell'ambito. Non riceve relazioni sugli incidenti. La notifica ai sensi dell'articolo 23 NIS 2 va al tuo CSIRT nazionale o all'autorità competente. EU-CyCLONe opera un livello sopra, tra i governi.
Presentiamo le nostre relazioni sugli incidenti alla rete di CSIRT.
Non lo fai. L'articolo 23 NIS 2 stabilisce che notifichi al tuo CSIRT nazionale o all'autorità competente. In Germania, è il BSI. Il CSIRT nazionale condivide poi le informazioni pertinenti con la rete di CSIRT dove è necessario il coordinamento transfrontaliero. La rete è la controparte del tuo CSIRT, non la tua.
Per uno Stadtwerk o un operatore IT del Mittelstand, il punto di contatto pratico è il tuo CSIRT nazionale. In Germania è CERT-Bund presso il BSI. Notifichi gli incidenti ai sensi dell'articolo 23 NIS 2 a loro, leggi i loro avvisi, li chiami quando qualcosa va a fuoco. La rete di CSIRT ed EU-CyCLONe operano dietro quell'interfaccia.
Perché queste reti contano comunque per te: quando colpisce un incidente transfrontaliero (pensa a un attacco alla catena di approvvigionamento che colpisce quindici paesi in una volta), il coordinamento che avviene a livello di rete di CSIRT è ciò che rende la risposta del tuo CSIRT nazionale coerente con il resto dell'UE. E il coordinamento politico a livello di EU-CyCLONe è ciò che determina se la risposta si ferma al contenimento tecnico o diventa una dichiarazione pubblica. Entrambi plasmano i consigli che alla fine ricevi.
Il modulo incidenti instrada le notifiche al tuo CSIRT nazionale ai sensi dell'articolo 23 (in Germania: BSI). Non interagisci direttamente con la rete di CSIRT o con EU-CyCLONe; il CSIRT nazionale è la tua unica controparte per la notifica degli incidenti. La piattaforma si occupa delle scadenze (preallarme 24h, notifica 72h, relazione finale a un mese).
Il nostro livello di riferimento porta in evidenza le pubblicazioni e i documenti di orientamento dell'ENISA che emergono dal lavoro della rete di CSIRT. Avvisi sulle minacce, relazioni congiunte, riscontri delle esercitazioni: questi alimentano il modo in cui interpretiamo 'adeguate e proporzionate' ai sensi dell'articolo 21(1). Non devi tenerne traccia tu stesso.
- Direttiva (UE) 2022/2555 (NIS 2), Articoli 15 e 16 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 10 (designazione del CSIRT) e Articolo 23 (notifica degli incidenti)
- Sito web dell'ENISA sulla rete di CSIRT ed EU-CyCLONe — enisa.europa.eu
- Legge sul BSI (BSIG), CERT-Bund come CSIRT nazionale ai sensi del §5 BSIG
- Procedure operative standard di EU-CyCLONe (sintetizzate pubblicamente dall'ENISA)