Art. 21(2)(a) NIS 2

Gestione del rischio NIS 2 ai sensi dell'articolo 21(2)(a)

NIS 2 stabilisce che si deve gestire il rischio cibernetico in modo strutturato. L'articolo 21(2)(a) è dove risiede l'obbligo, il CIR (UE) 2024/2690 §2 ne specifica i dettagli, e l'autorità nazionale competente (in Germania: il BSI) è quella a cui si risponde.

Simon OrzelSimon Orzel·

La versione breve

La gestione del rischio è in cima all'elenco dei dieci obblighi di cibersicurezza dell'articolo 21(2). Se NIS 2 si applica a voi, dovete individuare i rischi per i vostri sistemi, valutare quanto possano essere gravi e intervenire. La stessa regola si applica in tutta l'UE.

Il CIR (UE) 2024/2690 ne completa il dettaglio. L'allegato §2 stabilisce che il vostro quadro di gestione del rischio necessita di tre parti. Predisponetene uno. Verificate che le persone lo utilizzino davvero. Fate sì che qualcuno indipendente lo riesamini. Questo è il minimo. Se gestite DNS, cloud, un centro dati, un MSP, servizi fiduciari o qualsiasi altro settore elencato nell'allegato del CIR, ciò vi vincola direttamente.

La Germania recepisce la stessa regola nel diritto nazionale tramite il §30(2)(1) BSIG. La formulazione è quasi parola per parola il testo UE. Questa pagina percorre la direttiva, il regolamento di attuazione UE e il recepimento tedesco in quest'ordine.

La fonte giuridica
Tre livelli sovrapposti uno sull'altro. La direttiva (vincolante per ogni Paese UE). Il regolamento di attuazione (diritto UE direttamente applicabile per i settori indicati nell'allegato). Il recepimento nazionale (in Germania: BSIG).

Articolo 21(2)(a) della direttiva NIS 2 (2022/2555)

Politiche di analisi dei rischi e di sicurezza dei sistemi informativi.

Questo è il punto (a) dell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante deve attuare.

CIR (UE) 2024/2690, allegato §2

Ai fini dell'articolo 21, paragrafo 2, lettera a), della direttiva (UE) 2022/2555, i soggetti interessati istituiscono un appropriato quadro di gestione dei rischi per individuare e affrontare i rischi per la sicurezza dei sistemi informativi e di rete.

Poiché si tratta di un regolamento (non di una direttiva), è diritto UE direttamente vincolante. Non serve alcun recepimento nazionale. Si applica ai fornitori di DNS, ai registri TLD, ai fornitori di cloud, ai centri dati, ai fornitori di servizi gestiti e agli altri settori elencati nel suo allegato.

§30(2)(1) BSIG (Germania)

Politiche di analisi dei rischi e di sicurezza delle tecnologie dell'informazione.

La Germania copia il testo UE quasi parola per parola. La piccola modifica ('sicurezza delle tecnologie dell'informazione' invece di 'sicurezza dei sistemi informativi') è formulazione, non significato.

Le tre cose che il CIR §2 effettivamente richiede
Il CIR 2024/2690 suddivide la gestione del rischio in tre parti. Ciascuna è una propria sottosezione dell'allegato. Servono tutte e tre.
§2.1

Istituire un quadro di gestione del rischio

Mettete per iscritto come individuate i rischi, come li valutate, cosa ne fate e quali rischi siete disposti ad accettare. Coprite ogni sistema rilevante per la vostra attività. Chiunque decida quali rischi accettare deve firmarlo, per nome.

§2.2

Verificare che le persone lo seguano davvero

Riesaminate a cadenza regolare se il vostro team fa ciò che il quadro prescrive. In caso contrario, annotate la lacuna e correggetela. Un quadro che nessuno segue non è un quadro.

§2.3

Fate esaminare il tutto da un occhio indipendente

Di tanto in tanto, qualcuno che non gestisce il quadro deve esaminarlo. Indipendente significa strutturalmente separato, non necessariamente esterno. Lo può fare il vostro team di audit interno. Lo può fare un consulente incaricato. Il punto è uno sguardo fresco.

Due regole che plasmano tutto il resto
L'articolo 21 ha due regole di base che plasmano il modo in cui ciascuna delle dieci misure viene valutata. Non consigli morbidi. Lo standard interpretativo.

Approccio multirischio (articolo 21(2))

Gli attacchi cibernetici non sono l'unica cosa nell'elenco. Incendio, alluvione, perdita di alimentazione, l'uscita di una persona chiave, il fallimento di un fornitore, tutto questo conta. Se il vostro registro dei rischi contiene solo malware e phishing, non avete soddisfatto lo standard.

Proporzionalità (articolo 21(1), secondo comma)

Adeguate ciò che fate al rischio che effettivamente affrontate. Il testo stabilisce che deve essere 'adeguato ai rischi che incombono'. Sei elementi rientrano nella valutazione: quanto siete esposti, quanto siete grandi, quanto è probabile un incidente, quanto sarebbe grave (compreso il più ampio impatto economico e sociale), lo stato dell'arte e quanto costa attuarlo. Un'azienda municipalizzata (Stadtwerk) di 60 persone non deve spendere come una banca.

Come le autorità nazionali gestiscono effettivamente tutto questo
L'UE fissa la regola. Ogni Paese la recepisce. La sostanza è la stessa. Le modalità operative locali differiscono un po'.
Germania

BSI / §30 BSIG

Il BSI elenca le dieci misure dell'articolo 21(2) nei suoi Infopakete e le chiama 'almeno le seguenti dieci misure (cfr. § 30(2) BSIG)'. Il recepimento tedesco segue da vicino la formulazione della direttiva e indica IT-Grundschutz come via pratica all'attuazione.

A livello UE

Guida tecnica all'attuazione dell'ENISA

L'ENISA, l'agenzia dell'UE per la cibersicurezza, pubblica una Guida tecnica all'attuazione (TIG) che prende il testo astratto del CIR e mostra cosa fare in pratica. Mappa inoltre i requisiti su standard consolidati come ISO/IEC 27001:2022 e NIST CSF 2.0, in modo che le certificazioni esistenti vi diano un vantaggio iniziale.

Altri Stati membri

Leggi nazionali di recepimento

Ogni Stato membro ha la propria legge di recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Gli obblighi sono gli stessi perché la direttiva fissa un unico standard valido in tutta l'UE. Ciò che differisce: scadenze, canali di segnalazione, quale agenzia interpellare.

Tre trappole che vediamo continuamente
Tre assunti che emergono in quasi ogni chiamata di preparazione all'audit. Tutti e tre creano lacune che un auditor troverà.

  • Abbiamo un'assicurazione cibernetica, quindi siamo coperti.

    Il BSI è netto: 'Un trasferimento generalizzato del rischio o un'accettazione generale del rischio sono pertanto esclusi.' L'assicurazione è qualcosa che si aggiunge sopra il trattamento del rischio, non un sostituto. Inoltre non potete semplicemente 'accettare' ogni rischio di cui non volete occuparvi. Quell'argomento non sopravviverà a un audit.

  • Possiamo fare l'analisi dei rischi senza elencare i nostri asset.

    Non potete. Il CIR §2.1 non funziona senza un elenco scritto di ciò che effettivamente possedete. Applicazioni, sistemi, sedi, dati, fornitori. IT-Grundschutz consente di raggruppare asset identici (45 laptop d'ufficio contano come una sola voce con una quantità), così l'elenco non deve essere enorme. Ma deve esistere.

  • Decidiamo cosa accettare caso per caso.

    Un auditor deve vedere i criteri che avete fissato prima dell'incidente, non dopo. Decidete in anticipo: a quale soglia accettate un rischio, a quale soglia lo correggete, a quale soglia lo trasferite (per esempio tramite assicurazione). Quei criteri rientrano nel quadro, non in una email a posteriori.

Come gli operatori reali del Mittelstand fanno effettivamente questo

L'articolo 21(1) vi lascia margine con la clausola di proporzionalità: ciò che fate deve corrispondere alla vostra dimensione, alla vostra esposizione al rischio e a quanto costa. La direttiva stessa non si aspetta che facciate tutto alla massima profondità dal primo giorno.

Ciò che vediamo fare ai professionisti nel Mittelstand tedesco: prima una valutazione delle lacune, poi le dodici-quindici misure più urgenti entro il primo anno, poi il resto distribuito sui successivi uno o due anni. Questo regge ai sensi dell'articolo 21(1) finché la suddivisione in fasi è messa per iscritto, giustificata dal vostro quadro di rischio e approvata dall'organo di gestione. Non reggerà se la suddivisione in fasi non è documentata o se avete saltato i rischi più elevati.

Come gestiamo questo sulla piattaforma

Abbiamo integrato il quadro del §2 CIR nella piattaforma come modulo. Registrate i rischi rispetto agli asset, valutate probabilità e impatto, indirizzate ciascuno verso un piano di trattamento e acquisite i criteri di accettazione con un'approvazione firmata. Nessuna pila di fogli di calcolo. Nessun secondo strumento.

La parte di monitoraggio del §2.2 deriva dall'uso della piattaforma: approvazioni, stato dei compiti, pista di controllo. Non dovete mantenere un registro di conformità separato. Il riesame indipendente del §2.3 può svolgersi internamente (un collega che non è nella catena) o esternamente (un auditor incaricato). In entrambi i casi, gli forniamo la vista in sola lettura di cui hanno bisogno.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 21 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §1 e §2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legge BSI (BSIG), §30 come modificato dalla legge di attuazione di NIS2 e di rafforzamento della cibersicurezza
  • BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
  • Guida tecnica all'attuazione dell'ENISA per il CIR (UE) 2024/2690 (al maggio 2026)
Gestite il rischio senza la pila di fogli di calcolo
Asset, rischi, trattamento, approvazione e prove di efficacia su un'unica piattaforma. Gratuito, open source, nessun lock-in.
Apri la piattaforma gratuita