La Direttiva NIS2 si affida in gran parte alle autorità nazionali competenti per implementare e far rispettare le sue disposizioni, assegnando loro una serie di responsabilità che coprono diverse fasi del ciclo di vita della direttiva.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.1. Creazione dell’Ecosistema NIS2:
- Sviluppo delle Strategie Nazionali di Cybersecurity: Ciascuno Stato Membro deve adottare una strategia nazionale di cybersecurity completa, che definisca le priorità strategiche, gli obiettivi e i quadri di governance per la cybersecurity. Queste strategie devono includere meccanismi di cooperazione e coordinamento tra i vari stakeholder rilevanti, tra cui le autorità competenti, i punti di contatto unici (Single Points of Contact, SPOC) e i team di risposta agli incidenti di sicurezza informatica (Computer Security Incident Response Teams, CSIRT), nonché il coordinamento con le autorità responsabili degli atti giuridici settoriali dell’Unione.
- Designazione delle Entità Chiave: Gli Stati Membri svolgono un ruolo fondamentale nell’identificazione e designazione delle entità che rientrano nel campo di applicazione della NIS2. Questo include:
- Entità Essenziali e Importanti: Determinare quali entità sono classificate come “essenziali” o “importanti” in base al loro potenziale impatto sui servizi essenziali e sulle funzioni sociali.
- Compilazione di Elenchi di Entità: Creare e mantenere elenchi di entità essenziali e importanti, nonché di quelle che forniscono servizi di registrazione di nomi di dominio. Questi elenchi sono cruciali per garantire trasparenza, supervisione e per assicurare che le entità siano consapevoli dei loro obblighi ai sensi della NIS2.
- Flessibilità nella Designazione delle Entità: Gli Stati Membri hanno una certa discrezionalità nel designare entità di dimensioni più ridotte con profili di rischio elevato che potrebbero non rispettare le soglie dimensionali generali, ma che comunque meritano di essere incluse nella NIS2.
- Creazione delle Strutture Nazionali: Oltre alla designazione delle entità, gli Stati Membri sono responsabili della creazione di strutture nazionali essenziali per la cybersecurity:
- Autorità Competenti: Designare o istituire una o più autorità competenti responsabili della cybersecurity, incluse quelle incaricate di supervisionare l’attuazione della NIS2 e di svolgere azioni di vigilanza e applicazione.
- Punti di Contatto Unici (SPOC): Designare o istituire i SPOC come punti di contatto centrali per la cooperazione transfrontaliera con altri Stati Membri e per la cooperazione intersettoriale all’interno dello Stato Membro.
- Team di Risposta agli Incidenti di Sicurezza Informatica (CSIRT): Designare o istituire CSIRT per gestire gli incidenti di sicurezza informatica e le crisi, cooperare con altri CSIRT e fornire supporto alle entità nella loro giurisdizione.
2. Supervisione e Applicazione:
- Poteri di Supervisione: Le autorità nazionali competenti sono dotate di una serie di poteri di supervisione per garantire che le entità rispettino i loro obblighi ai sensi della NIS2. Questi poteri includono:
- Audit Regolari e Mirati: Condurre audit per valutare l’adeguatezza e l’implementazione delle misure di gestione del rischio di cybersecurity.
- Controlli In Loco e Da Remoto: Effettuare controlli, sia in loco che da remoto, per verificare la conformità.
- Richiesta di Informazioni: Richiedere informazioni alle entità in merito alle loro pratiche di cybersecurity, alle politiche di gestione del rischio e alle procedure di risposta agli incidenti.
- Accesso ai Documenti e alle Prove: Ottenere accesso ai documenti e alle prove pertinenti per verificare la conformità dell’entità con la NIS2.
- Misure di Applicazione: La NIS2 fornisce alle autorità competenti una serie di misure di applicazione per affrontare la non conformità:
- Istruzioni Vincolanti: Emettere istruzioni vincolanti alle entità per correggere le carenze individuate e garantire la conformità.
- Raccomandazioni di Audit di Sicurezza: Ordinare alle entità di implementare le raccomandazioni derivanti dagli audit di sicurezza.
- Allineamento ai Requisiti NIS2: Obbligare le entità a conformarsi alle misure di sicurezza richieste dalla NIS2.
- Sanzioni Amministrative: Imporre sanzioni amministrative per violazioni degli obblighi di gestione del rischio di cybersecurity e di segnalazione degli incidenti. La direttiva stabilisce soglie minime per tali sanzioni, distinguendo tra entità essenziali e importanti.
- Misure Supplementari: In caso di non conformità persistente, le autorità competenti possono imporre misure aggiuntive, come la sospensione temporanea di certificati o autorizzazioni o richiedere la sospensione di membri della dirigenza aziendale.
- Fattori Considerati per l’Applicazione: Nel determinare le azioni di applicazione appropriate, le autorità competenti devono considerare le circostanze specifiche di ciascun caso. I fattori rilevanti includono la gravità e la durata della violazione, l’intenzione dietro la violazione, il livello di cooperazione dell’entità e qualsiasi precedente storico di conformità.
3. Facilitazione della Condivisione delle Informazioni e Cooperazione:
- Promozione degli Accordi di Condivisione delle Informazioni: Gli Stati Membri devono incoraggiare la condivisione delle informazioni tra le entità, incluse quelle che potrebbero non rientrare direttamente nella NIS2. Questo implica facilitare la creazione di accordi di condivisione delle informazioni e fornire orientamenti sugli aspetti operativi.
- Supporto alla Segnalazione Coordinata delle Vulnerabilità: Le autorità nazionali svolgono un ruolo nel supportare i processi di segnalazione coordinata delle vulnerabilità, facilitando la comunicazione tra le entità che scoprono vulnerabilità e i fornitori o prestatori di servizi interessati.
- Condivisione delle Informazioni con le Autorità Competenti: Le autorità competenti devono condividere informazioni rilevanti, come dettagli di incidenti di cybersecurity significativi, con altre autorità nazionali responsabili della protezione delle infrastrutture critiche (Direttiva (UE) 2022/2557) e del settore finanziario (Regolamento (UE) 2022/2554). Questo scambio di informazioni è essenziale per garantire un approccio coordinato e completo alla cybersecurity tra i diversi settori.
In sintesi, le autorità nazionali competenti svolgono un ruolo centrale nel tradurre i principi della NIS2 in azioni concrete. Sono responsabili della creazione dei necessari quadri nazionali, della supervisione dell’attuazione delle disposizioni della direttiva, dell’adozione di misure di applicazione quando necessario e della promozione di una cultura di collaborazione in materia di cybersecurity all’interno e tra gli Stati Membri.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.