La Direttiva NIS2 stabilisce criteri specifici per determinare cosa costituisce un “incidente significativo” che attiva gli obblighi di segnalazione per le entità rientranti nel suo ambito di applicazione.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Di seguito un’analisi basata sulla fonte fornita:
L’Articolo 23, Paragrafo 3 della Direttiva delinea i criteri per classificare un incidente come “significativo”, richiedendo una valutazione a due livelli:
- Impatto sulle Operazioni dell’Entità: L’incidente deve aver “causato o essere in grado di causare una significativa interruzione dei servizi o una perdita finanziaria rilevante per l’entità interessata.” Questo criterio si concentra sull’impatto diretto sull’entità che segnala l’incidente.
- Impatto su Terze Parti: L’incidente deve aver “interessato o essere in grado di interessare altre persone fisiche o giuridiche causando danni materiali o immateriali considerevoli.” Questo criterio amplia l’ambito di applicazione per includere le possibili conseguenze su clienti, utenti, partner o altre parti interessate.
Ulteriore Chiarimento su “Significativa Interruzione”:
- Articolo 16 della Comunicazione della Commissione: Fornisce ulteriore contesto per interpretare “significativa interruzione dei servizi”, suggerendo che tale classificazione debba essere determinata sulla base di una valutazione iniziale dell’entità colpita. Questa valutazione dovrebbe considerare:
- La criticità delle reti e dei sistemi informativi coinvolti per l’erogazione dei servizi dell’entità.
- La gravità e la natura tecnica della minaccia informatica.
- Le vulnerabilità sfruttate.
- Le esperienze pregresse dell’entità con incidenti simili.
- Fattori da Considerare: La Comunicazione della Commissione evidenzia anche specifici indicatori rilevanti nella valutazione della gravità dell’interruzione:
- Estensione dell’Impatto sui Servizi: Quanto significativamente l’incidente ha compromesso la capacità dell’entità di erogare i propri servizi?
- Durata dell’Incidente: L’interruzione è ancora in corso e, in tal caso, per quanto tempo si è protratta?
- Numero di Utenti Coinvolti: Quante persone o organizzazioni che dipendono dai servizi dell’entità sono state colpite?
Atti Delegati per Settori Specifici:
- Articolo 23, Paragrafo 11 (secondo comma): Conferisce alla Commissione l’autorità di adottare atti delegati per specificare ulteriormente le circostanze in cui un incidente deve essere considerato “significativo”. Questi atti possono fornire linee guida specifiche per settore. Ad esempio, la Commissione è incaricata di adottare atti delegati per entità come:
- Fornitori di servizi DNS
- Registri di nomi di dominio di primo livello
- Fornitori di servizi di cloud computing
- Fornitori di servizi di data center
- Reti di distribuzione dei contenuti (CDN)
- E altri
Considerazioni Chiave nella Valutazione di un Incidente:
- Potenziale per Danni: È importante ricordare che la definizione della Direttiva si concentra sia sul danno effettivo che potenziale. Un incidente non deve necessariamente aver già causato interruzioni significative o danni per attivare gli obblighi di segnalazione, se esiste una ragionevole probabilità che possa portare a tali conseguenze.
- Valutazione Tempestiva: L’obbligo di una segnalazione preliminare entro 24 ore dal momento in cui si viene a conoscenza di un potenziale incidente significativo evidenzia l’importanza di una valutazione tempestiva e continua. Le entità dovrebbero disporre di processi interni per valutare rapidamente gli incidenti e determinare se soddisfano i criteri di “significativo”.
In sintesi, un “incidente significativo” ai sensi della Direttiva NIS2 è un evento che ha causato o potrebbe causare una sostanziale interruzione o danno, interessando l’entità che segnala l’incidente o terze parti. La valutazione del livello di significatività deve essere basata su una combinazione di fattori, e le linee guida specifiche per settore potrebbero essere fornite attraverso atti delegati.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.