Valutazione dell'efficacia NIS 2 ai sensi dell'articolo 21(2)(f)
Non basta mettere per iscritto le vostre misure di cybersecurity. L'articolo 21(2)(f) impone di verificare se funzionino davvero, su base continuativa. Il §7 del CIR lo traduce in KPI nominati, responsabili e una cadenza di riesame.
La versione breve
La valutazione dell'efficacia è il ciclo di prova. Avete passato un anno a impostare la gestione del rischio, il controllo degli accessi, la crittografia, i riesami dei fornitori e il resto. L'articolo 21(2)(f) pone la domanda successiva: le misure che avete messo per iscritto funzionano davvero? Un controllo documentato che nessuno verifica non equivale a un controllo funzionante.
Il §7 del CIR (UE) 2024/2690 trasforma l'obbligo astratto in un processo PDCA. Scegliete cosa misurare. Scegliete come e con quale frequenza. Nominate un responsabile della misurazione e un responsabile dell'analisi. Riesaminate i risultati. Aggiornate il framework dopo ogni incidente significativo.
La Germania recepisce la stessa regola nel diritto nazionale tramite il §30(2)(6) BSIG. Il testo segue da vicino la direttiva. Questa pagina illustra la direttiva, il regolamento di esecuzione dell'UE e il recepimento tedesco in quest'ordine.
Articolo 21(2)(f) direttiva NIS 2 (2022/2555)
Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza.
Punto (f) dell'elenco delle dieci misure di cybersicurezza che ogni entità essenziale e importante deve mettere in atto. La direttiva non dice con quale frequenza o con quali KPI. Questo è lasciato al §7 del CIR.
CIR (UE) 2024/2690, allegato §7
Ai fini dell'articolo 21, paragrafo 2, lettera f), della direttiva (UE) 2022/2555, i soggetti interessati stabiliscono, attuano e applicano una politica e procedure per valutare se le misure di gestione dei rischi di cybersicurezza sono attuate e mantenute in modo efficace.
Diritto dell'UE direttamente vincolante per i settori indicati nell'allegato del CIR. Il §7 nomina le sei cose che la vostra politica deve coprire (cosa, come, quando, chi misura, quando i risultati vengono analizzati, chi analizza). Richiede inoltre un riesame a intervalli pianificati o dopo ogni incidente significativo.
§30(2)(6) BSIG (Germania)
Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza.
La Germania ricopia il testo dell'UE quasi parola per parola. Il BSI si aspetta che indichiate un concetto di valutazione documentato durante un audit, non un foglio di calcolo improvvisato.
COSA misurate
Nominate le misure di gestione dei rischi di cybersicurezza che monitorate. Contano sia le procedure sia i controlli. Non dovete misurare tutto. Dovete scegliere un insieme, metterlo per iscritto e ricollegarlo ai risultati della vostra valutazione del rischio e ai vostri precedenti incidenti significativi.
COME e QUANDO misurate
Per ciascuna misura, nominate il metodo di monitoraggio e misurazione, l'approccio di analisi e la cadenza. Indicatori trimestrali con un approfondimento annuale sono una struttura comune. Il metodo deve produrre risultati validi, quindi 'abbiamo una sensazione' non passa.
CHI è responsabile
Due ruoli nominati. Una persona è responsabile della misurazione (estrae i dati, esegue il test, esporta il log). Una seconda persona è responsabile dell'analisi (legge i dati, giudica se il controllo funziona, effettua l'escalation). La stessa persona può fare entrambe le cose nelle piccole realtà del Mittelstand, ma il documento deve nominarle.
Collega l'efficacia al registro dei rischi
Il §7.2 del CIR stabilisce che la politica deve tenere conto dei risultati della valutazione del rischio e dei precedenti incidenti significativi. KPI sganciati dal contesto non contano. Se misurate la conformità delle patch ma i vostri tre rischi principali sono violazioni dei fornitori, phishing ed esposizione OT, i vostri KPI mancano il bersaglio. Scegliete KPI che verifichino i controlli a copertura dei vostri rischi più elevati.
Riportate all'organo di gestione
L'articolo 20(1) NIS 2 impone all'organo di gestione di approvare le misure di gestione dei rischi di cybersicurezza e di vigilare sulla loro attuazione. Non può vigilare su ciò che non vede. I dati sull'efficacia devono arrivare periodicamente davanti a esso. Trimestrale è la cadenza comune. Il formato non importa, purché sia documentato.
BSI / IT-Grundschutz DER.1
Il BSI elenca la valutazione dell'efficacia come punto sei delle dieci misure dell'articolo 21(2). Il livello DER.1 'Rilevamento' di IT-Grundschutz copre il lato del monitoraggio operativo (analisi dei log, SIEM, rilevamento delle anomalie). Da solo il DER.1 non soddisfa il §7, ma è uno degli input cui farà riferimento il vostro concetto di valutazione.
ENISA Technical Implementation Guidance
La TIG di ENISA per il CIR (UE) 2024/2690 indica le evidenze che gli auditor si aspettano ai sensi del §7: politica documentata, elenco di KPI con valori target ed effettivi, responsabili nominati, verbali dei riesami, azioni derivanti dall'analisi. ENISA mappa inoltre il §7 sui controlli ISO/IEC 27001:2022 9.1 (monitoraggio) e 5.36 (riesame della conformità).
Leggi nazionali di recepimento
Ogni Stato membro ha la propria legge di recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). L'obbligo è lo stesso perché la direttiva stabilisce un unico standard valido in tutta l'UE. Ciò che differisce: a chi riportate, come si presenta il ciclo di audit, quale autorità di regolamentazione settoriale ha voce in capitolo nel vostro Paese.
Eseguiamo un audit annuale, è la nostra valutazione dell'efficacia.
Un audit è una verifica in un dato momento. Il §7 del CIR chiede monitoraggio e misurazione continuativi, più un'analisi periodica. L'audit è uno degli input, non l'intera risposta. Se la vostra unica evidenza di efficacia è una relazione di audit annuale, non avete un concetto ai sensi del §7.
Abbiamo un SIEM, quindi il monitoraggio è coperto.
Un SIEM è uno strumento tra gli input cui fa riferimento il vostro concetto di valutazione. Il §7 non chiede 'avete un SIEM'. Chiede 'quale controllo state verificando, quale KPI state misurando rispetto a esso, quale valore target definisce l'efficacia'. Le dashboard del SIEM da sole non rispondono a questo.
Il nostro CISO sa se le misure funzionano.
Il §7.2(d) e il §7.2(f) del CIR richiedono responsabili nominati e un'analisi documentata. La conoscenza informale nella testa di una sola persona fallisce su due fronti: nessuna traccia di audit, nessuna continuità se quella persona se ne va. Il concetto deve essere scritto, l'analisi registrata e l'organo di gestione deve vedere i risultati.
La maggior parte delle aziende del Mittelstand misura già due cose: il tempo di funzionamento dei sistemi e la conformità delle patch. Entrambi sono buoni KPI, ma coprono solo due delle dieci misure dell'articolo 21(2). L'articolo 21(2)(f) chiede di più: conteggi degli incidenti rispetto ai target, tempo medio di rilevamento, tempo medio di risposta, tassi di completamento della formazione, risultati dei test di phishing, tassi di completamento dei riesami dei fornitori.
Ciò che vediamo in pratica: scegliete da sei a otto KPI che si mappino sui vostri rischi principali. Resoconto trimestrale all'organo di gestione. Approfondimento annuale che riesamina la selezione dei KPI rispetto al registro dei rischi aggiornato. Dopo ogni incidente significativo scatta il trigger del §7.3 e riesaminate le misure pertinenti a prescindere dal calendario. Questo regge alla prova della proporzionalità di cui all'articolo 21(1) per un operatore da 60 a 250 persone.
Abbiamo integrato il concetto di valutazione del §7 nella piattaforma come modulo. Definite i KPI, collegate ciascuno alla misura di gestione del rischio che verifica, impostate una cadenza di misurazione e un valore target e nominate il responsabile della misurazione e il responsabile dell'analisi. La piattaforma ricorda al responsabile quando è dovuta la rilevazione successiva.
La dashboard dell'organo di gestione raccoglie ogni KPI in un'unica vista trimestrale, pronta per la riunione di vigilanza di cui all'articolo 20(1). Dopo un incidente significativo, il trigger di riesame del §7.3 scatta automaticamente: i KPI pertinenti emergono, i responsabili interessati ricevono un compito, l'analisi viene sottoscritta. La traccia di audit è completa per impostazione predefinita.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(f) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §7 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §30(2)(6) come modificato dalla legge di attuazione della NIS2 e di rafforzamento della cybersicurezza
- BSI IT-Grundschutz, livello DER.1 'Rilevamento di eventi rilevanti per la sicurezza' — bsi.bund.de/grundschutz
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 (al maggio 2026)