NIS 2 per l'organo di gestione in cinque minuti
NIS 2 non è un tema IT. L'articolo 20 della Direttiva (UE) 2022/2555 mette il dovere di cibersicurezza in capo all'organo di gestione di ogni soggetto essenziale e importante, per nome. Questa pagina è la versione breve di cui un amministratore delegato o un membro del consiglio ha bisogno prima di lunedì mattina.
Perché questo è sulla vostra scrivania
Se sedete nell'organo di gestione di una società che NIS 2 copre, l'articolo 20 vi nomina. Non il responsabile IT, non il CISO, non il fornitore di servizi esterno. La direttiva traccia una linea dai doveri di cibersicurezza dell'articolo 21 direttamente alle persone che firmano per la società.
Da ciò derivano tre cose. L'organo di gestione deve approvare le misure di gestione del rischio che la società mette in atto. Deve vigilare affinché tali misure siano effettivamente attuate. E i suoi membri stessi devono seguire una formazione per poter comprendere ciò che approvano. La direttiva afferma tutte e tre.
La Germania recepisce la stessa regola nel diritto nazionale tramite il §38 BSIG, che richiama gli stessi tre doveri uno per uno e aggiunge una clausola di responsabilità personale. L'orologio per tutto questo decorre dalla data di recepimento della direttiva del 17 ottobre 2024.
Articolo 20(1) Direttiva NIS 2 (2022/2555)
Gli Stati membri assicurano che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all'articolo 21, sovrintendano alla loro attuazione e possano essere ritenuti responsabili delle violazioni dell'articolo da parte dei soggetti.
L'articolo 20 è l'articolo sulla governance della direttiva. Il paragrafo 1 fissa i tre doveri in capo all'organo di gestione: approvare, sovrintendere, poter essere ritenuto responsabile. Il paragrafo 2 aggiunge il dovere di formazione per lo stesso organo di gestione e chiede al soggetto di offrire una formazione periodica a tutto il personale.
CIR (UE) 2024/2690, Allegato §1.1
La politica sulla sicurezza dei sistemi informatici e di rete stabilisce l'approccio dei soggetti pertinenti alla gestione della sicurezza dei loro sistemi informatici e di rete. Il quadro di gestione del rischio di cui al punto 2.1 individua, e prevede la gestione dei, rischi per la sicurezza dei sistemi informatici e di rete.
Il Regolamento di esecuzione della Commissione non rende operativo l'articolo 20 in sé. Rende operative le misure dell'articolo 21 che l'organo di gestione deve approvare ai sensi dell'articolo 20(1). Il §1 è l'ombrello della politica, il §2 il quadro di gestione del rischio. Per i fornitori DNS, gli operatori di cloud e data center, gli MSP e gli altri settori nominati nell'Allegato del CIR, questo è ciò che l'organo di gestione sta approvando.
§38 BSIG (Germania)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
La Germania recepisce l'articolo 20(1) nel diritto nazionale tramite il §38 BSIG e nomina il destinatario esplicitamente come Geschäftsleiter, le persone fisiche che dirigono il soggetto. Il §38(2) aggiunge che i membri dell'organo di gestione sono responsabili nei confronti del soggetto per le violazioni di questi doveri. Il §38(3) riporta il dovere di formazione. Gli altri Stati membri hanno leggi di recepimento parallele (Cyberbeveiligingswet in NL, NISG in AT, NIS2-Wet in BE).
Confermare se la direttiva si applica
NIS 2 si applica se il soggetto si colloca in uno dei settori nominati nell'Allegato I o nell'Allegato II e soddisfa la soglia dimensionale (media impresa quale definita nella Raccomandazione 2003/361/CE, quindi 50 dipendenti o più di 10 milioni di euro di fatturato). Un ristretto numero di tipi di soggetto è coperto indipendentemente dalla dimensione: prestatori di servizi fiduciari qualificati, registri dei nomi di dominio di primo livello, fornitori di servizi DNS, pubblica amministrazione, fornitori unici in uno Stato membro. Il primo compito dell'organo di gestione è sapere quale di questi si applica.
Approvare, sovrintendere, formarsi
L'articolo 20(1) attribuisce all'organo di gestione due doveri operativi: approvare le misure di gestione dei rischi di cibersicurezza che il soggetto mette in atto ai sensi dell'articolo 21, e sovrintendere alla loro attuazione. L'articolo 20(2) ne aggiunge un terzo: seguire voi stessi una formazione, e fare in modo che il soggetto offra una formazione periodica al personale. Tutti e tre i doveri sono nominati in capo all'organo di gestione. Nessuno di essi è in capo al responsabile IT.
L'orologio decorre dal 17 ottobre 2024
L'articolo 41 NIS 2 ha fissato il 17 ottobre 2024 come la data entro cui gli Stati membri dovevano recepire la direttiva. Da tale data, i doveri degli articoli 20, 21 e 23 si applicano ai soggetti in ambito. L'esecuzione nazionale corre su orologi nazionali (il NIS2UmsuCG tedesco è in ritardo, ma il dovere a livello UE non attende la legge nazionale). Gli operatori trattano l'ottobre 2024 come la linea di partenza operativa.
La responsabilità è in capo alla persona fisica
L'articolo 20(1) afferma che l'organo di gestione 'può essere ritenuto responsabile' delle violazioni dell'articolo 21 da parte del soggetto. Il §38(2) BSIG lo trasforma in una pretesa di responsabilità interna: i membri dell'organo di gestione sono responsabili nei confronti del soggetto stesso per le violazioni dei doveri di cui al §38(1). Potete delegare l'esecuzione delle misure di cibersicurezza. Non potete delegare l'approvazione o la vigilanza. La direttiva traccia la linea alle persone che firmano.
La proporzionalità consente al soggetto di adattarsi al proprio rischio
L'articolo 21(1), secondo comma, afferma che le misure devono essere 'adeguate e proporzionate' al rischio che il soggetto affronta. Sei fattori concorrono a tale valutazione: l'esposizione del soggetto, le sue dimensioni, la probabilità di un incidente, la gravità dell'impatto (compresi gli effetti sociali ed economici), lo stato dell'arte e il costo di attuazione. L'organo di gestione è l'organo che giudica tale valutazione di proporzionalità e la firma. A una Stadtwerk di 60 persone non si chiede di spendere come una banca.
BSI come autorità competente
Il Bundesamt für Sicherheit in der Informationstechnik (BSI) è l'autorità tedesca competente ai sensi del §29 BSIG. Vigila sulle misure di gestione del rischio del §30 BSIG, gestisce il canale di comunicazione degli incidenti del §32 BSIG e gestisce il portale di registrazione del §33 BSIG. Per l'organo di gestione, il BSI è l'indirizzo per domande, registrazioni, notifiche di incidenti e audit.
ENISA come riferimento
L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) è l'agenzia di cibersicurezza a livello UE. L'articolo 18 NIS 2 le attribuisce un ruolo di relazione sullo stato della cibersicurezza. Pubblica inoltre la Technical Implementation Guidance (TIG) per il Regolamento di esecuzione della Commissione, comprese tabelle di mappatura su ISO/IEC 27001:2022 e NIST CSF 2.0. ENISA non vigila, ma gli auditor e le autorità nazionali trattano i suoi orientamenti come una lettura ragionevole.
Aufsichtsrat come vigilanza parallela
Se il soggetto ha un consiglio di sorveglianza (Aufsichtsrat in una AG tedesca, Beirat in una GmbH più grande), i doveri NIS 2 dell'organo di gestione corrono in parallelo con i doveri esistenti del consiglio di sorveglianza ai sensi del §111 AktG di vigilare sulla gestione. Il consiglio di sorveglianza non può togliere l'articolo 20(1) dalla scrivania dell'organo di gestione, ma può chiedere le stesse prove di approvazione e vigilanza che NIS 2 si aspetta, e la maggior parte lo fa.
Ho delegato questo all'IT.
Potete delegare l'esecuzione. Non potete delegare l'approvazione o la vigilanza. L'articolo 20(1) nomina l'organo di gestione come l'organo che approva le misure e ne sovrintende l'attuazione. Il §38 BSIG nomina il Geschäftsleiter come destinatario. Il responsabile IT, il CISO, il fornitore di servizi esterno possono condurre il programma. Non possono firmarlo per vostro conto. La direttiva traccia la linea alle persone che rappresentano legalmente il soggetto.
Aspettiamo finché la legge nazionale non sia definitiva.
L'articolo 20 si applica dalla data di recepimento del 17 ottobre 2024. Il NIS2UmsuCG tedesco è in ritardo, ma il dovere della direttiva non attende la legge nazionale. Il Regolamento di esecuzione 2024/2690 della Commissione è direttamente vincolante sul suo ambito settoriale dall'ottobre 2024 senza necessitare di alcun recepimento. Gli operatori trattano l'ottobre 2024 come la linea di partenza operativa e documentano la loro gradualità ai sensi della proporzionalità dell'articolo 21(1).
La cibersicurezza è un problema IT.
L'articolo 20 lo rende deliberatamente un problema di governance. La direttiva mette il dovere in capo all'organo di gestione, non alla funzione IT, perché i costi, le valutazioni di accettazione del rischio e i compromessi hanno senso solo a quel livello. Il team IT attua le misure. L'organo di gestione possiede il quadro dei rischi, firma per il rischio residuo ed è l'organo con cui l'auditor e il BSI dialogano in proposito.
Ciò che vediamo nel Mittelstand tedesco: l'organo di gestione tiene una sessione di lavoro ogni trimestre, percorre il registro dei rischi, approva le misure dell'articolo 21 che rientrano nell'ambito per quel periodo e documenta la valutazione di proporzionalità in due o tre righe. Questa è la forma operativa dell'articolo 20(1) per un soggetto che non dispone di un team GRC dedicato.
Il dovere di formazione ai sensi dell'articolo 20(2) richiede meno di quanto si pensi. Non esiste alcun certificatore accreditato dall'UE per la formazione dell'organo di gestione su NIS 2. L'iscrizione e un attestato di completamento sono il minimo giuridico. Un corso di due ore che copre la struttura della direttiva, il quadro dei rischi specifico del soggetto e il ruolo dell'organo di gestione soddisfa il testo. Il punto è che le persone che firmano possano comprendere ciò che firmano.
La piattaforma registra i tre doveri dell'organo di gestione come artefatti distinti. Le approvazioni avvengono come firme di approvazione contro le misure dell'articolo 21, con il nome della persona fisica nel record. La vigilanza avviene tramite la vista dashboard che mostra in un unico luogo lo stato di attuazione, i rischi aperti e le prove di efficacia. I record di formazione si trovano sul profilo utente con le date di iscrizione e completamento.
Tutti e tre alimentano la stessa tracciabilità, così che la prova che l'articolo 20 si aspetta (chi ha approvato cosa, quando, su quale base) è prodotta come effetto collaterale dell'uso della piattaforma. Il corso per CEO è incluso nella piattaforma. La piattaforma è gratuita e open source, senza lock-in.
- Direttiva (UE) 2022/2555 (NIS 2), Articoli 20, 21 e 41 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato §1 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI Act (BSIG), §29, §30, §32, §33 e §38 — gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), §111 — gesetze-im-internet.de/aktg
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 — enisa.europa.eu