Controllo degli accessi NIS 2 ai sensi dell'articolo 21(2)(i)+(j)
L'articolo 21(2)(i) nomina le politiche di controllo degli accessi. L'articolo 21(2)(j) nomina l'autenticazione a più fattori. Il CIR §11 le copre insieme in sette sotto-sezioni. Questa pagina percorre gli obblighi più ampi relativi alla politica, agli account con privilegi e all'identità. La pagina dedicata alla MFA copre il §11.7.
La versione breve
Il controllo degli accessi è ai punti (i) e (j) dell'articolo 21(2). Il punto (i) nomina 'sicurezza delle risorse umane, politiche di controllo dell'accesso e gestione degli attivi'. Il punto (j) nomina 'l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette'. Entrambi si applicano a ogni soggetto essenziale e importante in tutta l'UE.
Il CIR (UE) 2024/2690 §11 copre entrambe le lettere insieme, sotto l'intestazione 'Controllo degli accessi (articolo 21, paragrafo 2, lettere i) e j), della direttiva (UE) 2022/2555)'. Suddivide l'obbligo in sette sotto-sezioni: la politica stessa, la gestione dei diritti, gli account con privilegi, i sistemi di amministrazione di sistema, l'identificazione, l'autenticazione e l'autenticazione a più fattori. Questa pagina percorre dal §11.1 al §11.6. Per il §11.7 nello specifico, si veda la pagina dedicata alla MFA.
La Germania recepisce l'obbligo relativo alla politica nel §30(2)(9) BSIG e l'obbligo della MFA nel §30(2)(10) BSIG. La base tedesca per l'attuazione è IT-Grundschutz ORP.4 'Identitäts- und Berechtigungsmanagement'.
info.accessControl.legalAnchor.directiveI.label
info.accessControl.legalAnchor.directiveI.quote
info.accessControl.legalAnchor.directiveI.context
info.accessControl.legalAnchor.directiveJ.label
info.accessControl.legalAnchor.directiveJ.quote
info.accessControl.legalAnchor.directiveJ.context
CIR (UE) 2024/2690, allegato §11
Controllo degli accessi (articolo 21, paragrafo 2, lettere i) e j), della direttiva (UE) 2022/2555).
Il CIR §11 ha sette sotto-sezioni: §11.1 politica di controllo degli accessi, §11.2 gestione dei diritti di accesso, §11.3 account con privilegi e account di amministrazione di sistema, §11.4 sistemi di amministrazione di sistema, §11.5 identificazione, §11.6 autenticazione, §11.7 autenticazione a più fattori. Questo regolamento vincola direttamente i fornitori di DNS, cloud, centri dati, fornitori di servizi gestiti e gli altri settori indicati nell'allegato.
§30(2)(9) e (10) BSIG (Germania)
Konzepte für die Zugriffskontrolle und für das Management von Anlagen. […] Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.
La Germania divide il punto (i)+(j) dell'UE in due numeri del BSIG. Il §30(2)(9) porta il controllo degli accessi e la gestione degli asset. Il §30(2)(10) porta la MFA e le comunicazioni sicure. La sostanza è la stessa regola UE.
Politica e gestione dei diritti
Mettete per iscritto come funziona l'accesso (logico e fisico) per dipendenti, visitatori, fornitori e prestatori di servizi. Concedete, modificate e revocate i diritti in base alla necessità aziendale: necessità di conoscere, necessità di usare, separazione dei compiti. Ogni diritto è assegnato a una persona nominata. La revoca scatta al cambiamento del rapporto di lavoro, non su un ciclo settimanale. L'accesso di terze parti (visitatori, fornitori) è tracciato.
Account con privilegi e di amministrazione
Gli account amministrativi ottengono identificazione, autenticazione e autorizzazione robuste. Solo account di amministrazione dedicati, usati unicamente per installazione, configurazione, gestione e manutenzione. I diritti amministrativi sono adattati individualmente e limitati. I sistemi di amministrazione di sistema risiedono su una propria rete logica, separata dalle reti applicative, accessibili tramite autenticazione e cifratura.
Identità e autenticazione
Ciclo di vita dell'identità: ID univoci, ogni ID collegato a una sola persona, monitoraggio e registrazione lungo il ciclo di vita. Le procedure di autenticazione corrispondono alla politica di controllo degli accessi: robustezza delle password scalata sulla classificazione degli asset, procedure di modifica, blocco ai tentativi falliti, timeout di sessione, credenziali separate per gli account con privilegi.
Necessità di conoscere, necessità di usare, separazione dei compiti
Il CIR §11.2 li nomina tutti e tre. Necessità di conoscere: solo le persone che hanno bisogno dei dati ottengono i dati. Necessità di usare: i diritti corrispondono al compito, non al titolo. Separazione dei compiti: nessuna singola persona dovrebbe poter concedere, usare e verificare lo stesso diritto. Se i vostri gruppi AD sono 'IT' e 'tutti gli altri', non avete attuato nessuno dei tre.
Con privilegi non è solo regolare con più diritti
Il CIR §11.3 e §11.4 alzano l'asticella specificamente per gli account amministrativi. Identificazione robusta. MFA nominata nel §11.3 stesso, non solo nel §11.7. Account dedicati usati solo per il lavoro di amministrazione. Sistemi di amministrazione di sistema sulla propria rete. Il punto: un account amministrativo compromesso compromette tutto, quindi gli account amministrativi ottengono un proprio regime.
BSI / IT-Grundschutz ORP.4
La base tedesca è il modulo IT-Grundschutz ORP.4 'Identitäts- und Berechtigungsmanagement'. ORP.4 copre il ciclo di vita dell'identità, i diritti basati sui ruoli, la separazione degli account con privilegi, le regole sulle password e la cadenza di riesame. Ai sensi del §44(2) BSIG, attuare Grundschutz è esplicitamente riconosciuto come adempimento degli obblighi NIS 2 in Germania.
Guida tecnica all'attuazione dell'ENISA
La Guida tecnica all'attuazione dell'ENISA per il CIR (UE) 2024/2690 percorre ogni sotto-sezione del §11 in linguaggio operativo e la mappa su ISO/IEC 27001:2022 (da A.5.15 ad A.5.18, da A.8.2 ad A.8.5) e NIST CSF 2.0 (PR.AA). Un'implementazione esistente del controllo degli accessi ISO 27001 copre già la maggior parte del §11.
Leggi nazionali di recepimento
Ogni Stato membro recepisce l'articolo 21(2)(i) e (j) nella propria legge (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Gli obblighi sono identici perché la direttiva fissa un unico standard valido in tutta l'UE. Ciò che differisce: a quale standard di base punta l'autorità nazionale.
Abbiamo i gruppi AD, quindi abbiamo il controllo degli accessi.
Un inizio, non la fine. Il CIR §11.2 vuole una politica documentata dei diritti di accesso, diritti assegnati a persone nominate, una procedura di revoca legata al cambiamento del rapporto di lavoro e un registro di audit delle concessioni e delle revoche. I gruppi AD vi danno il meccanismo. Non vi danno la politica, il registro delle persone nominate o la procedura entrate-spostamenti-uscite che un auditor chiederà.
I nostri amministratori usano il loro account normale per il lavoro di amministrazione, con sudo o 'esegui come amministratore'.
Non ai sensi del CIR §11.3.2. Il testo richiede 'account di amministrazione dedicati' usati solo per installazione, configurazione, gestione e manutenzione. L'account normale di un amministratore è per email, calendario ed Excel. Un account amministrativo separato, con la propria MFA, è per il lavoro con privilegi. Mescolare i due significa che una email di phishing può compromettere il ruolo amministrativo.
Sincronizziamo i diritti di accesso ogni lunedì mattina.
Vicino, ma non è ciò che chiede il §11.2. L'obbligo di revoca scatta al cambiamento del rapporto di lavoro, non su un ciclo di calendario. Chi se n'è andato martedì non dovrebbe avere accesso mercoledì. Per i cambi di ruolo all'interno dell'azienda, in particolare quelli con privilegi, la modifica dovrebbe essere immediata. Una cadenza settimanale va bene per il riesame di audit, non per la revoca stessa.
Tipica configurazione di un Mittelstand di 50-250 persone: Active Directory o Entra ID per le identità, gruppi AD per l'accesso alle applicazioni, un sistema HR che emette ticket di onboarding all'IT. Il meccanismo c'è per lo più. Le lacune del §11 risiedono in tre punti.
Ciò che vediamo i professionisti individuare per primo: una politica scritta dei diritti di accesso (la maggior parte ne ha una bozza, pochi ne hanno una versione firmata e aggiornata), account di amministrazione dedicati (la maggior parte degli amministratori usa ancora sudo sul proprio account quotidiano) e la procedura entrate-spostamenti-uscite che è solo IT anziché guidata dall'HR (così l'account di un contraente persiste perché l'HR non ha mai comunicato all'IT che se n'era andato). Correggere questi tre chiude la maggior parte della lacuna del §11.
Il nostro modulo ACC copre il §11.1 (caricate o redigete la politica di controllo degli accessi e l'organo di gestione la approva), il §11.2 (un registro dei diritti collegato a utenti nominati), il §11.3 (inventario degli account con privilegi con prove di autenticazione separate) e il §11.5 più il §11.6 (registro delle fonti di identità collegato al vostro IdP). La separazione del sistema di amministrazione di sistema del §11.4 è documentata come decisione architetturale con prove.
Per la parte MFA del §11.7 nello specifico, si veda la pagina dedicata alla MFA e il suo flusso di prove. La pista di controllo che la piattaforma mantiene automaticamente (approvazioni, stato dei compiti, registro delle modifiche) copre ciò che un auditor vuole vedere per la cadenza di riesame e per la decisione di gestione.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(i) e (j) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §11 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge BSI (BSIG), §30(2)(9) e §30(2)(10) come modificato dalla legge di attuazione di NIS2 e di rafforzamento della cibersicurezza
- IT-Grundschutz Compendium, modulo ORP.4 'Identitäts- und Berechtigungsmanagement' — bsi.bund.de/grundschutz
- Guida tecnica all'attuazione dell'ENISA per il CIR (UE) 2024/2690 (al maggio 2026)