Igiene informatica e formazione alla sicurezza NIS 2 ai sensi dell'articolo 21(2)(g)
L'articolo 21(2)(g) NIS 2 copre la tua forza lavoro. L'articolo 20(2) copre il tuo organo di gestione. Due obblighi separati. Il §8 del CIR (UE) 2024/2690 stabilisce cosa significhi effettivamente l'obbligo verso la forza lavoro: un programma di sensibilizzazione per tutti, più formazione specifica per ruolo per le persone in ruoli rilevanti per la sicurezza.
La versione breve
L'articolo 21(2)(g) inserisce l'igiene informatica e la formazione alla sicurezza nell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante deve avere in atto. L'obbligo copre tutti nel soggetto, compresi l'organo di gestione e i fornitori diretti.
Il §8 del CIR (UE) 2024/2690 suddivide l'obbligo in due parti. Il §8.1 è la sensibilizzazione: un programma che raggiunge ogni membro del personale, ripetuto periodicamente, allineato alla tua politica di sicurezza delle informazioni e al tuo quadro di minacce reale, che copre minacce, punti di contatto e risorse. Il §8.2 è la formazione specifica per ruolo: individua il personale in ruoli rilevanti per la sicurezza, formalo sulla configurazione e sul funzionamento sicuri, sulle minacce note e su come comportarsi durante un evento rilevante per la sicurezza.
Questo non è lo stesso obbligo dell'articolo 20(2). L'articolo 20(2) è la formazione per l'organo di gestione stesso, sui rischi di cibersicurezza e sulle pratiche di gestione. L'articolo 21(2)(g) è la formazione per il resto dell'organizzazione. Hai bisogno di entrambi. Gli auditor verificano entrambi.
Articolo 21(2)(g) direttiva NIS 2 (2022/2555)
Pratiche di igiene informatica di base e formazione in materia di cibersicurezza.
Questo è il punto (g) nell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante deve attuare. È l'obbligo per tutta la forza lavoro, distinto dalla formazione dell'organo di gestione di cui all'articolo 20(2).
CIR (UE) 2024/2690, allegato §8
Ai fini dell'articolo 21(2)(g) della direttiva (UE) 2022/2555, i soggetti pertinenti garantiscono che i loro dipendenti, compresi i membri dell'organo di gestione e i fornitori diretti, siano consapevoli dei rischi, informati dell'importanza della cibersicurezza e applichino pratiche di igiene informatica.
Poiché si tratta di un regolamento (non di una direttiva), è diritto UE direttamente vincolante. Il §8.1 stabilisce il programma di sensibilizzazione. Il §8.2 stabilisce l'obbligo di formazione specifica per ruolo. Si applica ai fornitori DNS, ai registri TLD, ai fornitori di cloud e data center, agli MSP, ai prestatori di servizi fiduciari e agli altri settori elencati nel suo allegato.
§30(2)(7) BSIG (Germania)
Procedure di base nell'ambito dell'igiene informatica e formazione nell'ambito della cibersicurezza.
La Germania copia il testo UE da vicino. La via di attuazione indicata dal BSI è il Baustein IT-Grundschutz ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit', che copre sia il lato sensibilizzazione sia il lato specifico per ruolo.
Programma di sensibilizzazione per tutti
Un programma che raggiunge ogni membro del personale, compresi l'organo di gestione e i fornitori diretti. Ripetuto periodicamente, non una tantum. I nuovi assunti vengono inclusi. Il contenuto è allineato alla tua politica di sicurezza delle informazioni e al tuo quadro di minacce reale. Copre le minacce informatiche che effettivamente ti riguardano, i punti di contatto se qualcosa sembra anomalo e le risorse che il personale può utilizzare.
Formazione specifica per ruolo per i ruoli rilevanti per la sicurezza
Individua quali ruoli necessitano di competenze rilevanti per la sicurezza. Poi forma quelle persone su tre cose: come configurare e far funzionare i sistemi che toccano (compresi i dispositivi mobili), le minacce note che riguardano il loro lavoro e come comportarsi durante un evento rilevante per la sicurezza. Più ampio dell'IT: helpdesk, sviluppatori, risorse umane, finanza possono tutti rientrarvi.
Nuovi assunti e aggiornamento periodico
Entrambe le parti del §8 stabiliscono che il programma deve raggiungere il nuovo personale in ruoli rilevanti per la sicurezza ed essere aggiornato regolarmente. Ciò significa un passo di inserimento all'interno dei processi delle risorse umane, più una cadenza di riesame sul programma formativo stesso, così che il contenuto segua le minacce che effettivamente affronti oggi anziché le minacce che affrontavi due anni fa.
Sensibilizzazione e specifica per ruolo sono due programmi distinti
Il §8.1 e il §8.2 non sono la stessa cosa riconfezionata. La sensibilizzazione va a tutti. La specifica per ruolo va alle persone il cui lavoro crea o controlla l'esposizione alla sicurezza. Il contenuto è diverso, la cadenza è diversa, la prova è diversa. Se il tuo piano formativo ha un solo programma, ti manca uno dei due obblighi.
Il contenuto della formazione riflette il tuo quadro di rischio reale
Il §8.1 stabilisce che il programma di sensibilizzazione deve essere 'allineato alla politica di sicurezza delle informazioni e al panorama dei rischi' del soggetto. Contenuti generici sul phishing pensati per una banca non si adattano a uno Stadtwerk o a un'azienda di gestione dei rifiuti. Il programma deve seguire le minacce che effettivamente affronti, i sistemi che effettivamente gestisci e i punti di contatto che il personale deve effettivamente chiamare.
BSI / Baustein IT-Grundschutz ORP.3
La via di attuazione del BSI per il §30(2)(7) BSIG è il Baustein IT-Grundschutz ORP.3 'Sensibilisierung und Schulung'. ORP.3 copre sia il lato sensibilizzazione (sessioni annuali per tutto il personale) sia il lato specifico per ruolo (moduli più approfonditi per amministratori, sviluppatori, helpdesk e manager). Stabilisce anche aspettative concrete sulla frequenza e ti chiede di documentare il programma formativo, la partecipazione e una cadenza di riesame.
Orientamenti tecnici di attuazione dell'ENISA
Il TIG dell'ENISA per il CIR (UE) 2024/2690 mappa il §8 su ISO/IEC 27001:2022 (A.6.3, A.7.2.2 nella vecchia numerazione), NIST CSF 2.0 (PR.AT) ed ETSI EN 319 401. Se gestisci già la sensibilizzazione alla sicurezza ai sensi di ISO 27001, il TIG ti dice quali controlli esistenti coprono il §8 e dove si trova la lacuna.
Leggi di recepimento nazionali
Ogni Stato membro recepisce l'obbligo (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). La sostanza è la stessa perché la direttiva stabilisce un unico standard a livello UE. Ciò che differisce: la lingua della documentazione, i canali di notifica e quale autorità nazionale verifica i registri della formazione.
Abbiamo fatto il corso per l'organo di gestione, abbiamo finito con la formazione NIS 2.
L'articolo 20(2) e l'articolo 21(2)(g) sono due obblighi separati. Il corso per l'organo di gestione copre l'articolo 20(2). Il tuo programma per tutta la forza lavoro copre l'articolo 21(2)(g). Uno non sostituisce l'altro. Un auditor chiederà prove di entrambi.
Eseguiamo una simulazione di phishing annuale, quindi la sensibilizzazione è coperta.
Una simulazione di phishing è una tattica, non un programma. Il §8.1 del CIR richiede un programma che copra le minacce che ti riguardano, i punti di contatto per segnalare preoccupazioni e le risorse che il personale può utilizzare. Deve inoltre raggiungere i nuovi assunti ed essere eseguito periodicamente. Una singola simulazione annuale non supera da sola quel criterio.
Formiamo il team IT, questo copre l'obbligo specifico per ruolo.
Il §8.2 stabilisce 'personale i cui ruoli richiedono competenze rilevanti per la sicurezza'. Questo è più ampio dell'IT. Il personale helpdesk che reimposta le password, gli sviluppatori che scrivono il codice, il personale delle risorse umane che gestisce assunzioni e cessazioni, il personale della finanza che gestisce l'autorizzazione dei pagamenti. Tutti possono rientrare nel §8.2. L'elenco dei ruoli deve derivare dal tuo quadro di rischio reale, non dall'organigramma.
Cosa vediamo nel Mittelstand tedesco: una simulazione di phishing annuale più un paragrafo sulla sicurezza nella presentazione di inserimento. Quello non è il §8. Il §8 vuole un programma scritto, con un pubblico destinatario per modulo, una frequenza per modulo e un registro per discente di cosa ha completato e quando.
La struttura che regge in audit: un percorso di sensibilizzazione per tutti (modulo di inserimento più aggiornamento annuale, minacce e punti di contatto) e un percorso specifico per ruolo per i ruoli rilevanti per la sicurezza che hai individuato (amministratori, sviluppatori, helpdesk, più i ruoli aziendali che la tua analisi dei rischi ha segnalato). Documenta il programma formativo, il pubblico, la frequenza, i registri di completamento e una data di riesame per il programma formativo stesso.
Il modulo Formazione (TRN) cattura il programma: ogni corso, il suo pubblico destinatario, la sua frequenza e un registro di completamento per discente. Puoi associare il programma di sensibilizzazione a 'tutto il personale' e i moduli specifici per ruolo ai ruoli che hai definito. La traccia di audit è la prova.
Il lato sensibilizzazione §8.1 è soddisfatto dal corso CEO della piattaforma (articolo 20(2)) più un percorso di sensibilizzazione per tutto il personale. Il lato specifico per ruolo §8.2 è soddisfatto aggiungendo moduli specifici per ruolo e assegnandoli al personale segnalato dalla tua analisi dei rischi. Il completamento è registrato automaticamente. I cicli di ri-formazione sono programmati dal modulo.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21(2)(g) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §30(2)(7) come modificato dalla legge di attuazione di NIS2 e di rafforzamento della cibersicurezza
- Baustein IT-Grundschutz del BSI ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit'
- Orientamenti tecnici di attuazione dell'ENISA per il CIR (UE) 2024/2690 (al maggio 2026)