Secondo la Direttiva NIS2, gli Stati membri hanno il potere di richiedere che le entità essenziali e importanti utilizzino prodotti, servizi e processi ICT certificati per dimostrare la conformità alle specifiche misure di gestione del rischio di cybersicurezza previste dall’Articolo 21. Questo requisito si applica ai prodotti, servizi e processi ICT sviluppati internamente da queste entità o acquisiti da fornitori esterni.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.La certificazione deve avvenire nell’ambito dei sistemi europei di certificazione della cybersicurezza stabiliti in conformità con l’Articolo 49 del Regolamento (UE) 2019/881.
La direttiva incoraggia inoltre l’utilizzo di servizi fiduciari qualificati da parte delle entità essenziali e importanti.
Direttiva NIS2 e ICT: Quando è richiesta la certificazione
Secondo la Direttiva NIS2, la Commissione può adottare atti delegati per specificare le categorie di entità essenziali e importanti obbligate a utilizzare prodotti, servizi e processi ICT certificati o a ottenere una certificazione nell’ambito di uno schema europeo di certificazione della cybersicurezza. Questi atti delegati verranno adottati qualora vengano individuati livelli insufficienti di sicurezza informatica e includeranno un periodo di attuazione. Inoltre, saranno definite le modalità per garantire un approccio armonizzato tra gli Stati membri, evitando discrepanze nell’applicazione delle misure.
Valutazione e consultazione prima degli atti delegati
Prima di adottare atti delegati, la Commissione effettuerà una valutazione d’impatto e consulterà le parti interessate come previsto dall’Articolo 56 del Regolamento (UE) 2019/881. La consultazione servirà a raccogliere opinioni da operatori del settore, esperti di sicurezza informatica e istituzioni nazionali, assicurando che le nuove disposizioni siano efficaci e realistiche.
Gestione della mancanza di sistemi di certificazione adeguati
Nel caso in cui non siano disponibili sistemi di certificazione europea della cyber security adeguati, la Commissione può richiedere all’ENISA di sviluppare una proposta per un nuovo sistema ai sensi dell’Articolo 48(2) del Regolamento (UE) 2019/881. Questa richiesta sarà effettuata in consultazione con il Gruppo di Cooperazione e il Gruppo Europeo per la Certificazione della Cybersicurezza. Durante questo processo, saranno valutate le esigenze specifiche delle entità coinvolte e l’efficacia delle soluzioni esistenti, garantendo un sistema che risponda alle sfide emergenti in materia di sicurezza informatica.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.