Sicurezza del personale NIS 2 ai sensi dell'articolo 21(2)(i)
Le persone fanno parte del perimetro di sicurezza. L'articolo 21(2)(i) di NIS 2 nomina la sicurezza del personale, il controllo degli accessi e la gestione degli asset in un'unica espressione. Il §10 del CIR (UE) 2024/2690 dettaglia le quattro parti relative al personale. In Germania, il §30(2)(9) BSIG reca lo stesso dovere.
La versione breve
La maggior parte delle violazioni inizia con una persona. L'articolo 21(2)(i) inserisce la sicurezza del personale nell'elenco dei dieci doveri di cybersicurezza. Il testo raggruppa tre cose: sicurezza del personale, controllo degli accessi e gestione degli asset. Sono collegate perché un ruolo decide di quale accesso una persona ha bisogno e quali asset può toccare.
Il §10 del CIR (UE) 2024/2690 prende la parte relativa al personale e la suddivide in quattro parti. Assicurarsi che le persone comprendano il proprio ruolo (§10.1). Verificare l'affidabilità dove ha senso (§10.2). Gestire in modo pulito le uscite e i cambi di ruolo (§10.3). Disporre di una procedura disciplinare per le violazioni (§10.4). Non un soft HR. Sicurezza operativa.
La Germania traspone l'intero articolo 21(2)(i) tramite il §30(2)(9) BSIG, che elenca insieme sicurezza del personale, controllo degli accessi e gestione degli asset. Lo stesso testo. Lo stesso dovere. Questa pagina percorre la direttiva, il regolamento di attuazione dell'UE e il recepimento tedesco in quest'ordine.
Articolo 21(2)(i) direttiva NIS 2 (2022/2555)
Sicurezza delle risorse umane, politiche di controllo dell'accesso e gestione degli attivi.
Il punto (i) dell'elenco delle dieci misure di cybersicurezza che ogni soggetto essenziale e importante deve attuare. Tre doveri condensati in un solo paragrafo, perché funzionano solo insieme.
CIR (UE) 2024/2690, Allegato §10
Sicurezza delle risorse umane (articolo 21(2)(i) della direttiva (UE) 2022/2555).
Il §10 del CIR suddivide la parte relativa al personale in quattro sottosezioni. §10.1 ruoli e assunzioni, §10.2 verifiche di affidabilità, §10.3 cessazione e cambi di ruolo, §10.4 procedura disciplinare. Diritto dell'UE direttamente vincolante per i fornitori di DNS, i fornitori di cloud e di centri dati, gli MSP, i prestatori di servizi fiduciari e gli altri settori indicati nell'Allegato.
§30(2)(9) BSIG (Germania)
Sicurezza delle risorse umane, concetti per il controllo degli accessi e gestione degli asset.
La Germania copia il testo dell'UE. Il dovere è lo stesso. Il BSI indica IT-Grundschutz, in particolare il modulo ORP.2 'Personnel', come via pratica all'attuazione.
Ruoli, sensibilizzazione e assunzioni
Assicurati che le persone sappiano quali sono le loro responsabilità in materia di cybersicurezza. Il personale in generale, gli utenti con accesso amministrativo o privilegiato e l'organo di gestione in particolare. Assumi in modo deliberato per i ruoli rilevanti per la cybersicurezza: verifica delle referenze, convalida delle qualifiche, test scritti ove opportuno.
Verifiche di affidabilità ove opportuno
Controlli sui precedenti del personale e dei fornitori diretti dove 'fattibile e applicabile' e dove il ruolo lo richiede. Metti per iscritto quali ruoli possono essere ricoperti solo da persone la cui affidabilità è stata verificata. Dipende dal ruolo, non è universale. I ruoli con accesso amministrativo e privilegiato sono i candidati tipici.
Cessazione, cambio di ruolo e disciplina
Quando qualcuno lascia o cambia ruolo, i doveri di sicurezza che sopravvivono al rapporto di lavoro devono essere fissati per iscritto nel contratto ed effettivamente applicati. Le clausole di riservatezza valgono oltre la fine del rapporto di lavoro. E deve esistere una procedura disciplinare per le violazioni delle politiche di sicurezza.
Le verifiche di affidabilità dipendono dal ruolo, non sono universali
Il §10.2 prevede controlli sui precedenti 'dove fattibile e applicabile' e solo sui ruoli che lo richiedono. Non sottoponi a screening ogni cassiere. Sottoponi a screening la persona che detiene i privilegi di amministratore di dominio. I criteri per stabilire quali ruoli necessitano di una verifica di affidabilità vanno messi per iscritto, prima di assumere, non dopo.
La riservatezza sopravvive al rapporto di lavoro
Il §10.3 richiede che i doveri di sicurezza che devono valere dopo che qualcuno se ne è andato siano fissati contrattualmente. La riservatezza è quello ovvio. Non divulgazione dei dettagli degli incidenti, dei dati dei clienti, dell'architettura dei sistemi. La clausola va inserita nel contratto il primo giorno, non l'ultimo giorno di chi lascia.
BSI / IT-Grundschutz ORP.2
La baseline IT-Grundschutz del BSI copre la sicurezza del personale nel modulo ORP.2 'Personnel'. L'ORP.2 percorre assunzioni, sensibilizzazione, formazione, procedure di uscita e personale dei fornitori. In Germania devi inoltre coordinarti con il diritto del lavoro: i limiti dell'AGG sui criteri di screening, la cogestione del comitato aziendale (BetrVG) sui controlli dei precedenti. Definisci la politica con il comitato aziendale presente, non contro di esso.
ENISA Technical Implementation Guidance
La TIG dell'ENISA per il CIR (UE) 2024/2690 mappa il §10 sui controlli dell'Allegato A della ISO/IEC 27001:2022 da A.6.1 a A.6.6 (screening, termini e condizioni di lavoro, sensibilizzazione, processo disciplinare, cessazione, riservatezza). Se gestisci già la ISO 27001, la maggior parte del §10 è già in atto. La TIG indica le prove che gli auditor si aspettano.
Leggi nazionali di recepimento
Ogni Stato membro ha il proprio recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Il dovere ai sensi dell'articolo 21(2)(i) è lo stesso. Ciò che differisce a livello locale: i vincoli del diritto del lavoro sui controlli dei precedenti, che rispecchiano l'AGG e il BetrVG tedeschi nella forma, se non nel dettaglio.
Non facciamo controlli sui precedenti. La protezione dei dati lo vieta.
Eccessivamente ampio. Il §10.2 limita le verifiche di affidabilità ai ruoli in cui sono 'fattibili e applicabili'. Per gli utenti con accesso amministrativo o privilegiato una verifica di affidabilità documentata è di norma ammissibile ai sensi del GDPR se disponi di una base giuridica chiara, di un ambito definito e del comitato aziendale a bordo. Il compito non è 'non sottoporre nessuno a screening'. Il compito è 'mettere per iscritto quali ruoli lo richiedono ed eseguirlo per quei ruoli'.
Quando qualcuno se ne va, ritiriamo il badge e disabilitiamo l'account. Fatto.
Va bene per la parte di accesso fisico e IT. Non basta per il §10.3. La direttiva richiede che i doveri che sopravvivono al rapporto di lavoro siano fissati per iscritto nel contratto. Riservatezza, non divulgazione, restituzione degli asset, obblighi continuativi di segnalazione per gli incidenti di cui la persona è a conoscenza. Una checklist di uscita senza ancoraggio contrattuale è metà del lavoro.
Non abbiamo una procedura disciplinare per le violazioni della sicurezza IT.
Sì che ce l'hai, semplicemente non l'hai messa per iscritto in modo specifico per l'IT. Il §10.4 richiede una procedura disciplinare per le violazioni delle politiche di sicurezza. Non deve essere un processo separato. Inseriscilo nella tua procedura disciplinare HR generale: indica l'elemento scatenante ('violazione della politica di sicurezza delle informazioni'), fai riferimento alla politica, documenta il percorso di escalation.
La maggior parte delle aziende del Mittelstand già fa metà del §10 senza chiamarlo NIS 2. L'HR esegue verifiche delle referenze al momento dell'assunzione. Esiste una checklist di uscita. Le clausole di riservatezza sono nel contratto di lavoro standard. La formazione di sensibilizzazione avviene una volta l'anno. Ciò copre la maggior parte del §10.1 e una parte del §10.3.
Le lacune del §10 che vediamo sono più ristrette di quanto si pensi. Una: clausole contrattuali di riservatezza che coprano esplicitamente gli obblighi relativi all'IT e sopravvivano alla fine del rapporto di lavoro, non solo un generico testo di NDA. Due: un elenco scritto dei ruoli per cui una verifica di affidabilità è obbligatoria prima dell'assunzione, con i criteri specificati. Tre: una procedura disciplinare esplicita per le violazioni della sicurezza IT, anche se è un solo paragrafo richiamato dalla procedura HR generale. Chiudi queste tre e il §10 è fatto.
La piattaforma cattura le prove del §10 nei moduli HR e ACC. Le assegnazioni di ruolo vivono in un unico posto con la persona, il ruolo, lo stato della verifica di affidabilità e la data dell'ultima formazione di sensibilizzazione. La checklist di uscita è un flusso di lavoro con approvazione, non un documento Word.
Il registro disciplinare si trova nella pista di controllo. Quando viene registrata una violazione di una politica, la procedura che si attiva è documentata, le misure adottate vengono approvate e la chiusura è visibile. Nessun foglio di calcolo. Nessun secondo strumento. La stessa base di prove che il tuo auditor esaminerà.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato §10 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §30(2)(9) come modificata dalla legge di attuazione di NIS2 e di rafforzamento della cybersicurezza
- BSI IT-Grundschutz, modulo ORP.2 'Personnel' — bsi.bund.de/grundschutz
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 (al maggio 2026)