Direttiva NIS2: Poteri di supervisione delle autorità

Ecco una panoramica dei poteri di supervisione concessi alle autorità nazionali competenti in base alla Direttiva NIS2.

Direttiva NIS2: Supervisione delle autorità nazionali

La Direttiva NIS2 conferisce alle autorità nazionali competenti una serie di poteri di supervisione per garantire che le entità essenziali e importanti rispettino i requisiti in materia di gestione del rischio cibernetico e segnalazione degli incidenti. Questi poteri sono progettati per facilitare un’efficace attività di vigilanza e promuovere un livello omogeneo di sicurezza informatica in tutta l’UE. Per le organizzazioni che rientrano nel perimetro della direttiva, comprendere questi meccanismi è il primo passo per strutturare un adeguato percorso di adeguamento alla NIS2.

Principali poteri di supervisione secondo la Direttiva NIS2

• Misure di supervisione preventiva per le entità essenziali: La Direttiva prevede un regime di supervisione più rigoroso per le entità essenziali, imponendo alle autorità competenti di monitorare attivamente la loro conformità ai requisiti di sicurezza informatica.
  • Audit regolari e mirati: Le autorità competenti possono effettuare audit regolari per valutare il livello generale di sicurezza informatica delle entità essenziali. Possono realizzare audit mirati su aree specifiche che destano preoccupazione.
  • Ispezioni in loco e a distanza: Per verificare la conformità e raccogliere prove, le autorità competenti possono condurre ispezioni in loco presso le sedi dell’entità e svolgere ispezioni a distanza richiedendo documentazione o accesso ai sistemi.
• Misure di supervisione successiva per le entità importanti: Per le entità importanti, la Direttiva adotta un approccio più reattivo. Si concentra su misure di supervisione successiva attivate da prove o indizi di non conformità.
  • Indagini: Se un’entità importante potrebbe non rispettare la NIS2, le autorità possono avviare indagini per verificare la non conformità.
  • Audit di Sicurezza Mirati: Le autorità possono richiedere audit condotti da esperti indipendenti per valutare le misure di sicurezza e individuare vulnerabilità.
  • Scansioni di Sicurezza: Le autorità possono effettuare scansioni sui sistemi dell’entità, utilizzando criteri di valutazione oggettivi e trasparenti, in collaborazione con l’entità per ridurre l’impatto operativo.

Poteri di richiesta di informazioni e accesso

• Richieste di informazioni: Le autorità competenti possono richiedere alle entità essenziali e importanti di fornire informazioni necessarie per valutare le loro pratiche, tra cui:
  • Politiche di sicurezza informatica documentate.
  • Prove di conformità agli obblighi di segnalazione degli incidenti.
  • Risultati degli audit di sicurezza effettuati da auditor qualificati.
• Accesso a dati, documenti e sistemi: Per condurre le loro attività di supervisione, le autorità competenti hanno il potere di richiedere l’accesso a dati, documenti e altre informazioni pertinenti per la loro valutazione. Questo include:
  • Log di sicurezza e rapporti sugli incidenti.
  • Valutazioni delle vulnerabilità e risultati di test di penetrazione.
  • Prove dei programmi di formazione sulla sicurezza informatica.

Differenziazione dei regimi di supervisione secondo la Direttiva NIS2

• Entità essenziali: La Direttiva stabilisce un regime di supervisione più ampio e proattivo per le entità essenziali.
• Entità importanti: Il regime di supervisione per le entità importanti è più focalizzato e reattivo, basandosi principalmente su misure successive attivate da prove o indicazioni di non conformità.

Collaborazione e condivisione delle informazioni

• Cooperazione con le autorità di protezione dei dati: Se un incidente di sicurezza riguarda dati personali, le autorità competenti devono collaborare con quelle di protezione dei dati per una risposta coordinata.
• Condivisione delle informazioni: La Direttiva favorisce lo scambio di dati tra autorità nazionali e transfrontaliere su incidenti, minacce e migliori pratiche di cybersecurity.

In generale, la Direttiva NIS2 conferisce alle autorità nazionali competenti un insieme completo di poteri di supervisione per vigilare sull’implementazione dei requisiti di sicurezza informatica da parte delle entità essenziali e importanti. Per approfondire il quadro normativo di riferimento, è disponibile il documento ufficiale della Direttiva NIS2. Con questi poteri, le autorità competenti possono contribuire a un livello più elevato di sicurezza informatica in tutta l’UE.

Domande frequenti sui poteri di supervisione NIS2

• Qual è la differenza pratica tra la supervisione delle entità essenziali e quella delle entità importanti?
• Per le entità essenziali il regime è proattivo: le autorità effettuano audit e ispezioni regolari anche in assenza di segnali di non conformità. Per le entità importanti l’approccio è reattivo: i controlli scattano principalmente quando emergono prove o indizi di violazione dei requisiti NIS2.
• Cosa può richiedere un’autorità competente durante un’ispezione NIS2?
• Le autorità possono richiedere politiche di sicurezza documentate, log di sistema, rapporti sugli incidenti, risultati di audit e test di penetrazione, oltre a prove dei programmi di formazione del personale. Possono anche condurre ispezioni fisiche in loco o accedere ai sistemi da remoto.
• Come può prepararsi un’organizzazione agli audit previsti dalla NIS2?
• È utile mantenere documentazione aggiornata sulle misure di sicurezza adottate, conservare i log degli incidenti e i risultati delle valutazioni di vulnerabilità, e verificare che le politiche interne siano allineate ai requisiti della direttiva. Un’analisi del proprio livello di conformità, condotta prima che arrivi un’ispezione, riduce significativamente il rischio di sanzioni.