Direttiva NIS2 e segnalazione volontaria della cybersecurity

La Direttiva NIS2 promuove la segnalazione volontaria delle informazioni sulla cybersecurity attraverso un approccio multifaccettato, che include la chiarificazione delle procedure di segnalazione, la garanzia della riservatezza e l’enfasi sui benefici della condivisione delle informazioni. Per un approfondimento sul testo normativo, è disponibile il documento ufficiale della Direttiva NIS2.

Direttiva NIS2: Disposizioni chiave che incoraggiano la segnalazione volontaria

• L’Articolo 30 della Direttiva NIS2 chiarisce che le entità possono volontariamente notificare ai CSIRT o alle autorità nazionali.
• Le notifiche possono riguardare incidenti significativi, minacce informatiche e quasi incidenti rilevati da entità essenziali e importanti.
• Anche le entità non soggette a obbligo di segnalazione possono comunicare gli stessi eventi, indipendentemente dall’ambito della Direttiva.
• La Direttiva prevede un processo per gestire le notifiche volontarie, simile a quello per le segnalazioni obbligatorie dell’Articolo 23.
• Gli Stati membri possono dare priorità alle segnalazioni obbligatorie rispetto a quelle volontarie.
• L’Articolo 91 chiarisce che la segnalazione volontaria non deve comportare obblighi aggiuntivi per l’entità.
• Questa disposizione riduce le preoccupazioni sulle possibili conseguenze negative della divulgazione di informazioni.
• L’Articolo 29 favorisce la condivisione volontaria delle informazioni tra entità.
• La Direttiva promuove la creazione di Accordi di Condivisione delle Informazioni sulla Cybersecurity.
• Gli accordi permettono di scambiare dati su minacce, quasi incidenti, vulnerabilità, tecniche di attacco e pratiche di sicurezza.
• La Direttiva incoraggia la formazione di comunità di condivisione nei settori essenziali e importanti.
• Gli Stati membri devono facilitare questi accordi con linee guida su operatività, contenuti e condizioni.
• Le entità essenziali e importanti devono notificare alle autorità la loro partecipazione agli accordi.
• Questo obbligo garantisce trasparenza e promuove la fiducia nel sistema di condivisione delle informazioni.
• ENISA supporta la condivisione con linee guida, scambio di best practice e assistenza nella creazione degli accordi.

Altri elementi a supporto della segnalazione volontaria

• La Direttiva promuove una cultura della cybersecurity, enfatizzando l’importanza della formazione e della sensibilizzazione. Richiede alle entità di fornire formazione sulla cybersecurity al proprio personale e le incoraggia ad estendere tale formazione a tutti i dipendenti.
• Stabilisce un quadro per la divulgazione coordinata delle vulnerabilità in tutta l’UE, invitando individui e organizzazioni a segnalare vulnerabilità nei prodotti e servizi ICT.
• La creazione di un database europeo delle vulnerabilità gestito da ENISA fornisce un repository centrale per le vulnerabilità note pubblicamente, migliorando la trasparenza e facilitando misure di sicurezza proattive.

Cosa significa in pratica per le organizzazioni

La Direttiva NIS2 crea un ambiente sicuro e favorevole alla condivisione delle informazioni: chiarisce i percorsi di segnalazione, garantisce la riservatezza e sottolinea i benefici collettivi derivanti dall’affrontare proattivamente le sfide della cybersecurity. Per le organizzazioni che devono valutare il proprio perimetro di applicazione o strutturare un piano di adeguamento, il percorso di conformità alla Direttiva NIS2 offre un supporto strutturato dalla valutazione iniziale fino all’implementazione delle misure richieste. Per gli aspetti legati alla designazione dei referenti verso il CSIRT nazionale, è utile anche la guida sull’obbligo di designazione del referente CSIRT per i soggetti NIS.