Il 26 giugno 2025 l’European Union Agency for Cybersecurity (ENISA) ha pubblicato una guida, titolata “Cybersecurity roles and skills for NIS2 essential and important entities”.
Facciamo un breve passo indietro. È utile qui richiamare l’art. 21 della Direttiva (UE) 2022/2555 (NIS-2), rubricato “Misure di gestione dei rischi di cibersicurezza”: “Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico”.
Il Regolamento di esecuzione (UE) 2024/2690, nell’Allegato e all’art. 2, individua proprio quei requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’art. 21 par. 2 della Direttiva NIS-2.
Ecco che ENISA non ha pubblicato un semplice parere sul Regolamento di esecuzione appena citato, bensì una guida operativa utile ed efficace nella definizione delle misure di gestione dei rischi cyber. Il documento dell’Agenzia, infatti, fornisce una sorta di vademecum pratico che traccia una mappatura dei requisiti tecnici e metodologici con riferimento sia al Regolamento di esecuzione, sia alle norme europee, internazionali e ai differenti standard di settore.
La Guida è composta da 13 titoli che riflettono i requisiti tecnici e metodologici presenti nell’Allegato al Regolamento di esecuzione. Per ognuno dei requisiti ENISA prevede una struttura estremamente intuitiva:
- il requisito ed il richiamo normativo;
- una guida tecnica che descrive in modo chiaro cosa occorre fare per rispettare i requisiti;
- degli esempi di evidenze che consentono di capire come dimostrare la compliance;
- dei suggerimenti concreti che spesso rimandano a best practices e a standard di settore;
Qui di seguito, si riportano a mero titolo esemplificativo, soltanto alcuni degli aspetti rilevanti indicati da ENISA, rinviando direttamente alla Guida per l’approfondimento.
- Politica di sicurezza dei sistemi informativi e di rete (di cui all’art. art. 21, paragrafo 2, lettera a), NIS-2): policy completa, approvata e condivisa che assegni ruoli, responsabilità, preveda nomine formali, organigrammi dei ruoli con le relative descrizioni, comunicazioni documentate sugli obblighi di sicurezza ecc…
- Politica di gestione dei rischi (di cui all’art. 21, par. 2, lett. a), NIS-2): mappatura aggiornata dei rischi principali e residui, dei criteri di rischio, misure, ruoli e tempi, piano d’azione, ecc…
- Gestione degli incidenti (di cui all’art. 21, par. 2, lett. b), NIS-2): procedure di risposta rapida ed efficace e ripristino della continuità operativa, policy ad hoc (es. data breach, ransomware, phishing), valutazione e classificazione degli eventi, riesami successivi ecc…
- Continuità operativa e gestione della crisi (di cui all’ art. 21, par. 2, lett. c), NIS-2): piani di business continuity e di disaster recovery, backup, test periodici, definizione chiara dei ruoli e delle risorse ecc…
- Sicurezza della catena di approvvigionamento (di cui art. 21, par. 2, lett. d), NIS-2): valutare i rischi, classificare i fornitori (verifica competenze), clausole contrattuali ad hoc per la sicurezza e gestione del rischio ecc…
- Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete (di cui all’art. 21, par. 2, lett. e), NIS-2)
- Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza (di cui all’art. 21, par. 2, lett. f), NIS-2): le misure devono essere proporzionate al rischio per l’intero il ciclo vita, pertanto, occorre un costante monitoraggio
- Pratiche di base sull’igiene informatica e sulla formazione sulla sicurezza (di cui all’art. 21, par. 2, lett. g), NIS-2): programmi di formazioni personalizzate (per contenuto e modalità di erogazione) a seconda dei ruoli, aggiornamenti costanti, feed-back successivi, best practice ecc...
- Crittografia (di cui all’art. 21, par. 2, lett. h), NIS-2)
- Sicurezza delle risorse umane (di cui all’art. 21, par. 2, lett. i), NIS-2): definizione chiara dei ruoli, delle responsabilità, dei processi disciplinari, formazione continua, specificità delle competenze (es. certificazioni), clausole contrattuale ad hoc, policy per la cessazione/modifica del rapporto di lavoro, ecc…
- Controllo degli accessi (di cui all’art. 21, par. 2, lett. i) e j), NIS-2): politiche di accesso logico e fisico basate sui ruoli e sul rischio, autenticazione a più fattori, log degli accessi, profili utenti con identificatori univoci, ecc...
- Gestione delle risorse (di cui all’art. 21, par. 2, lett. i), NIS-2): inventari aggiornati, classificazioni a seconda del rischio di impatto, mappatura chiara degli asset, tenuta di registri ecc…
- Sicurezza ambientale e fisica (di cui all’art. 21, par. 2, lett. c), e), i), NIS-2): valutazione dei rischi, policy di sicurezza fisica (es. rete elettrica, acqua, Interent, comunicazioni ecc…), simulazioni, controlli, monitoraggio, gestione degli accessi, report ecc…
In conclusione, la guida pratica di ENISA è uno strumento prezioso sia per chi è tenuto al rispetto dei requisiti, ovvero opera a loro supporto nell’ambito della consulenza, sia per chi è tenuto a verificarne la compliance, rappresentando, di fatto, un vademecum essenziale.
Avv. Giulia Amadeo
