Art. 23 NIS 2

Interruzione di un fornitore di servizi cloud sotto la NIS 2

Il fatto che il vostro fornitore sia inattivo è il test del vostro piano di continuità, non un'esenzione da esso.

Simon OrzelSimon Orzel·

Cos'è questa pagina

Un grande fornitore di servizi cloud si guasta. La produzione si ferma. La domanda nella stanza è se gli obblighi NIS 2 spettino al fornitore o al vostro soggetto. La risposta della direttiva è che entrambi i livelli portano i propri obblighi e l'uno non libera l'altro. I vostri obblighi ai sensi dell'Articolo 21(2)(c) NIS 2 di mantenere la continuità operativa, i backup e il ripristino, e ai sensi dell'Articolo 23 di segnalare gli incidenti significativi, si applicano al vostro soggetto indipendentemente da ciò che fa il vostro fornitore secondo il proprio orologio.

Questa pagina è scritta per un responsabile IT o un amministratore delegato di un'azienda da 50 a 250 persone che gestisce la maggior parte della propria produzione su un hyperscaler o un cloud regionale. Non è una consulenza legale. È la meccanica di quale clausola si applica a chi quando la pagina di stato del fornitore diventa rossa.

La frase singola più utile: un'interruzione del cloud è il test in tempo reale del vostro piano di ripristino ai sensi dell'Articolo 21(2)(c). Se il piano funziona, non è avvenuto alcun incidente significativo presso il vostro soggetto. Se il piano non funziona, l'Articolo 23 inizia a correre sul vostro orologio, non su quello del fornitore.

Ancora normativa
Tre livelli sovrapposti: direttiva, regolamento di esecuzione per i fornitori di infrastrutture digitali ed esempio di trasposizione tedesca.

Direttiva (UE) 2022/2555 (NIS 2)

Articolo 21(2)(c): politiche e procedure relative alla continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi. Articolo 21(2)(d): sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi.

L'Articolo 21(2)(c) pone l'obbligo di continuità, backup e ripristino sul soggetto. La direttiva non consente che tale obbligo sia delegato a un fornitore di servizi cloud tramite un contratto. L'Articolo 21(2)(d) è il pilastro del rischio dei fornitori: siete tenuti a valutare e gestire la sicurezza dei vostri fornitori diretti, il che include clausole contrattuali di notifica per le interruzioni e gli incidenti presso il fornitore. L'Articolo 23 fissa poi la cascata di segnalazione con il preallarme entro 24 ore, la notifica dell'incidente entro 72 ore, un aggiornamento intermedio su richiesta e un rapporto finale entro un mese.

Regolamento di esecuzione (UE) 2024/2690 della Commissione

Articolo 23(3) NIS 2: Un incidente è considerato significativo se ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, o se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando un danno materiale o immateriale considerevole.

Il CIR quantifica cosa conta come significativo per le 11 categorie di infrastrutture digitali e servizi digitali che copre, il che include i fornitori di servizi di cloud computing ai sensi del settore 8 dell'Allegato I della NIS 2. La sezione 11 dell'Allegato del CIR elenca gli scenari che costituiscono un incidente significativo a quel livello di fornitore. Per i soggetti al di fuori dell'ambito del CIR, si applica il test di significatività dell'Articolo 23(3) e un'interruzione a cascata che ferma la produzione lo soddisfa quasi sempre.

BSIG (Germania)

§30 BSIG: misure tecniche e organizzative adeguate al rischio. §32 BSIG: notifica degli incidenti significativi al BSI tramite il Meldeportal su bsi.bund.de. §31 BSIG: obblighi di sicurezza della catena di approvvigionamento per il soggetto.

Il BSIG è l'esempio di trasposizione tedesca. I Paesi Bassi (Cyberbeveiligingswet) e l'Austria (NISG 2024) hanno i propri. La cascata 24 / 72 ore / intermedio / un mese è a livello di direttiva e identica in tutti gli Stati membri. Un fornitore di servizi cloud che è esso stesso un soggetto NIS 2 nell'UE ha il proprio obbligo di segnalazione ai sensi dell'§32 BSIG o dell'equivalente nazionale. Quell'obbligo non estingue il vostro.

Tre cose che la direttiva si aspetta da voi durante l'interruzione
Valutare rispetto al vostro piano di continuità, gestire la dipendenza sotto le vostre clausole sui fornitori, segnalare se l'interruzione si propaga a cascata in un incidente significativo presso il vostro soggetto.
Passo 1

Valutate rispetto al vostro piano dell'Articolo 21(2)(c)

Aprite il piano di continuità operativa e di ripristino in caso di disastro ed eseguitelo. La domanda non è se il fornitore è inattivo. La domanda è se i vostri servizi possono continuare a funzionare secondo il piano che avete scritto. Failover verso una regione secondaria, passaggio a un flusso di lavoro offline documentato, o ripristino da un backup conservato al di fuori del fornitore interessato. L'Articolo 21(2)(c) NIS 2 pone l'obbligo di continuità sul vostro soggetto. Se l'interruzione rivela che non c'era alcun piano, quello è il primo rilievo, non l'interruzione.

Passo 2

Attivate il vostro processo sui fornitori dell'Articolo 21(2)(d)

L'Articolo 21(2)(d) NIS 2 vi impone di gestire la sicurezza dei vostri fornitori diretti. In pratica ciò significa tre cose durante un'interruzione: aprire il contratto e leggere le clausole di notifica e SLA, registrare il riferimento dell'incidente del fornitore e qualsiasi cronologia che pubblica, e catturare l'evidenza nella vostra pista di controllo. Se il contratto non richiede la notifica da parte del fornitore degli incidenti che vi riguardano, quello è il secondo rilievo, separato dall'interruzione in sé.

Passo 3

Segnalate se il vostro soggetto ha un incidente significativo

Il test dell'Articolo 23(3) è applicato al vostro soggetto, non al fornitore. Se l'interruzione causa una grave perturbazione operativa dei vostri servizi, una perdita finanziaria per voi o un danno considerevole ad altri che dipendono da voi, allora l'Articolo 23 NIS 2 inizia a correre sul vostro orologio. Preallarme al CSIRT nazionale o all'autorità competente entro 24 ore dal momento in cui ne avete avuto conoscenza, notifica dell'incidente entro 72 ore, rapporto intermedio su richiesta, rapporto finale entro un mese. In Germania ciò passa attraverso il BSI Meldeportal ai sensi dell'§32 BSIG. Il rapporto proprio del fornitore ai sensi del suo status NIS 2 è separato e non lo presenta al posto vostro.

Due principi che decidono se l'interruzione è un rilievo o solo un martedì qualsiasi
Entrambi si trovano nel testo della direttiva e nella posizione del BSI sulla continuità.

La continuità è un obbligo del soggetto, non del fornitore

L'Articolo 21(2)(c) NIS 2 pone l'obbligo di continuità, backup e ripristino sul soggetto. Un contratto con un hyperscaler che promette un obiettivo di disponibilità del 99,99 percento non è un piano di continuità nel senso della direttiva. Il piano deve descrivere cosa fa il vostro soggetto quando il fornitore non è disponibile. L'auditor il prossimo anno verifica se tale piano esiste e se è stato esercitato, non se lo SLA è stato rispettato.

I backup devono essere ripristinabili, non solo presenti

La posizione del BSI è che l'esistenza di un backup non è il test. La ripristinabilità nelle condizioni di un incidente reale lo è. Un backup conservato nella stessa regione cloud del sistema di produzione, contro lo stesso fornitore di identità, non è un backup nel senso dell'Articolo 21(2)(c) quando è la regione o il livello di identità a guastarsi. L'obbligo di backup ripristinabile richiede la separazione attraverso il dominio di guasto che state cercando di superare.

Due livelli normativi, non uno
Il vostro fornitore di servizi cloud può esso stesso essere un soggetto NIS 2. I suoi obblighi e i vostri corrono in parallelo.
Il vostro livello

BSI Meldeportal (Germania), CSIRT nazionale (altri Stati membri)

Se l'interruzione causa un incidente significativo presso il vostro soggetto ai sensi dell'Articolo 23(3), il rapporto passa attraverso il vostro canale nazionale. In Germania quello è il BSI Meldeportal ai sensi dell'§32 BSIG. Nei Paesi Bassi il National Cyber Security Centre, in Austria il GovCERT. Il rapporto spetta a voi presentarlo anche se la causa principale risiede presso il fornitore. La pagina di stato di un fornitore non è una presentazione.

Livello del fornitore

Fornitore di servizi cloud come soggetto NIS 2, Allegato I settore 8

Un fornitore di servizi di cloud computing stabilito nell'UE è un soggetto essenziale o importante ai sensi del settore 8 dell'Allegato I della NIS 2 (infrastrutture digitali). Deve la propria segnalazione ai sensi dell'Articolo 23 sul proprio orologio alla propria autorità competente o CSIRT. Il CIR 2024/2690 specifica le soglie di significatività per i fornitori di infrastrutture digitali. Il rapporto del fornitore non è il vostro rapporto. Un fornitore al di fuori dell'UE è al di fuori dell'ambito della direttiva, nel qual caso la gestione del rischio dei fornitori ai sensi dell'Articolo 21(2)(d) è la vostra unica leva su di esso.

Livello UE

ENISA e la rete dei CSIRT

Le interruzioni transfrontaliere dei grandi fornitori di servizi cloud sono coordinate attraverso la rete dei CSIRT coordinata dall'ENISA ai sensi dell'Articolo 15 NIS 2. L'ENISA pubblica la consapevolezza situazionale tra gli Stati membri. Per un singolo soggetto questo è materiale di riferimento più che un canale di segnalazione. Il canale di segnalazione è nazionale. L'ENISA è dove leggete cosa sta accadendo a livello UE quando il fornitore è inattivo in diversi Paesi.

Trappole comuni
Tre modalità di guasto osservate in analisi pubblicate di incidenti di interruzioni di fornitori di servizi cloud.
  • Il cloud è un problema del fornitore. La NIS 2 spetta a lui.

    L'Articolo 21(2)(c) NIS 2 pone l'obbligo di continuità, backup e ripristino sul vostro soggetto. L'Articolo 21(2)(d) pone l'obbligo di rischio dei fornitori sul vostro soggetto. Il fornitore ha i propri obblighi ai sensi della direttiva se è un fornitore di servizi cloud stabilito nell'UE ai sensi del settore 8 dell'Allegato I, ma quegli obblighi corrono in parallelo ai vostri e non li liberano. L'audit il prossimo anno verifica il vostro piano, non lo SLA del fornitore.

  • Attendere il rapporto SLA post-incidente del fornitore prima di presentare o riesaminare.

    L'Articolo 23(4) NIS 2 richiede il preallarme entro 24 ore dal momento in cui si ha conoscenza di un incidente significativo presso il vostro soggetto. Il rapporto del fornitore può richiedere settimane. Se l'interruzione ha causato una grave perturbazione operativa presso il vostro soggetto, l'orologio delle 24 ore corre contro di voi che il fornitore abbia emesso qualcosa o meno. Attendere il rapporto SLA è il singolo motivo più comune per cui i soggetti mancano la scadenza nei casi di interruzione del cloud.

  • Il fornitore è tornato attivo, tutto funziona di nuovo, l'incidente è chiuso.

    L'Articolo 21(2)(c) NIS 2 si aspetta che il piano di continuità e ripristino sia esercitato e migliorato. Un'interruzione del cloud è un'esercitazione dal vivo di quel piano, e l'analisi post-incidente è ciò che alimenta l'iterazione successiva. L'auditor chiederà cosa è cambiato nel piano di ripristino dopo l'ultima interruzione. Se nulla è cambiato e la stessa lacuna è ancora lì, quello è un rilievo. Un ritorno alle normali operazioni non è un incidente chiuso nel senso della direttiva.

Vista del professionista: azienda di logistica da 110 dipendenti, interruzione regionale

Un'azienda di logistica da 110 persone nel Nord Reno-Westfalia, classificata come wichtige Einrichtung ai sensi della NIS 2 perché il settore e il numero di dipendenti la fanno rientrare nell'ambito. Martedì 09:14: la regione centrale UE dell'hyperscaler si degrada e il sistema di gestione dei trasporti dell'azienda, il fornitore di identità e l'archiviazione file condivisa diventano tutti irraggiungibili. 09:20: il responsabile IT apre il piano di continuità, commuta lo smistamento al flusso di lavoro offline documentato sui laptop locali e informa l'amministratore delegato. 09:35: organo di gestione informato, decisione registrata nella pista di controllo di trattare questo come evento di continuità ai sensi dell'Articolo 21(2)(c) e di monitorare rispetto al test di significatività dell'Articolo 23(3). La pagina di stato del fornitore viene catturata con uno screenshot e allegata al record dell'incidente.

11:50: l'interruzione è durata oltre due ore e ora colpisce gli impegni di consegna ai clienti. Il test dell'Articolo 23(3) viene rivalutato: la grave perturbazione operativa dei servizi è soddisfatta. Il preallarme entro 24 ore viene presentato attraverso il BSI Meldeportal ai sensi dell'§32 BSIG citando il riferimento dell'incidente del fornitore e l'impatto proprio dell'azienda. 14:30: il fornitore ripristina la regione. L'azienda esegue l'analisi post-incidente la mattina seguente. Rilievo: il fornitore di identità secondario era sulla carta ma non era mai stato esercitato, per cui il failover ha richiesto 40 minuti in più di quanto il piano assumesse. Due modifiche scritte entrano nel piano: esercitazione mensile del fornitore di identità secondario, e una modifica contrattuale con il fornitore di servizi cloud per richiedere la notifica degli incidenti regionali entro 30 minuti. Il rapporto intermedio e il rapporto finale entro un mese ai sensi dell'Articolo 23 vengono presentati a partire dalla pista di controllo, non dalla memoria.

Come la piattaforma vi aiuta

La piattaforma conserva le quattro cose scritte di cui avete bisogno prima della prossima interruzione del fornitore: il piano di continuità legato all'Articolo 21(2)(c), la configurazione del backup ripristinabile con evidenza della sua separazione dal dominio di guasto primario, il registro dei fornitori con le clausole di notifica e SLA legate all'Articolo 21(2)(d), e i modelli di segnalazione e l'elenco dei contatti per la cascata dell'Articolo 23. Ogni modifica e ogni esercitazione è catturata nella pista di controllo con marcature temporali, in modo che l'auditor il prossimo anno veda un piano effettivamente eseguito, non un documento scritto una volta.

La piattaforma è gratuita e open source. Non c'è alcun livello a pagamento né alcun lock-in. Lo scopo di questa pagina non è vendere nulla. È fare in modo che, quando la pagina di stato del fornitore diventa rossa, il vostro organo di gestione sappia se l'orologio della direttiva sta scorrendo su di voi e qual è il prossimo passo scritto.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2): Articolo 21(2)(c) (continuità operativa, backup, ripristino, gestione delle crisi), Articolo 21(2)(d) (sicurezza della catena di approvvigionamento), Articolo 23 (cascata di segnalazione) e Articolo 23(3) (test di significatività). Allegato I settore 8 (infrastrutture digitali, compresi i fornitori di servizi di cloud computing). EUR-Lex.
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione: requisiti tecnici e metodologici e soglie di significatività per i fornitori di infrastrutture digitali e servizi digitali, compresi i fornitori di servizi cloud. Allegato sezione 11. EUR-Lex.
  • BSIG (Germania): §30 (misure di gestione del rischio), §31 (sicurezza della catena di approvvigionamento), §32 (BSI Meldeportal). Gesetze im Internet.
  • BSI: pacchetti informativi NIS 2 sulla continuità, i backup ripristinabili e la posizione secondo cui l'esistenza di un backup non è il test. bsi.bund.de.
  • ENISA: coordinamento della rete dei CSIRT ai sensi dell'Articolo 15 NIS 2 per gli incidenti transfrontalieri. enisa.europa.eu.
Abbi il piano in atto prima della prossima interruzione regionale
Piano di continuità, configurazione del backup ripristinabile, clausole sui fornitori, modelli di segnalazione dell'Articolo 23. Gratuito, open source, nessun lock-in.