L’adozione del Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 rappresenta un momento cruciale nell’evoluzione del quadro normativo europeo sulla cibersicurezza.
Questo regolamento, pubblicato in Gazzetta Ufficiale dell’Unione Europea, traduce gli obiettivi ambiziosi della Direttiva (UE) 2022/2555 (NIS2) in requisiti tecnici e metodologici concreti e dettagliati, fornendo alle organizzazioni una guida precisa per l’implementazione di misure di sicurezza efficaci e la gestione dei rischi informatici.
Un'analisi approfondita dei requisiti tecnici e metodologici
Il Regolamento di Esecuzione (UE) 2024/2690 si applica a una vasta gamma di soggetti che svolgono un ruolo fondamentale nella fornitura di servizi essenziali e importanti per la società e l’economia.
Tra questi, figurano:
● Fornitori di servizi DNS (Domain Name System): Questi soggetti, gestendo la risoluzione dei nomi di dominio, sono fondamentali per il funzionamento di Internet.
Il regolamento richiede loro di adottare misure per garantire la resilienza e la sicurezza dei server DNS, prevenendo attacchi DDoS e altre minacce che potrebbero compromettere la disponibilità dei servizi online. Ad esempio, dovranno implementare sistemi di ridondanza e backup per garantire la continuità del servizio in caso di guasto di un server, e utilizzare meccanismi di autenticazione forte per proteggere l’accesso alle infrastrutture DNS.
● Registri di nomi di dominio di primo livello (TLD): Responsabili della gestione dei domini di primo livello (come .it, .com, .org), questi soggetti devono garantire la sicurezza e l’integrità del sistema dei nomi di dominio, prevenendo attacchi di phishing, typosquatting e altre forme di abuso. Il regolamento richiede l’adozione di misure di sicurezza specifiche, come la verifica dell’identità dei registranti dei domini,
l’implementazione di sistemi di sicurezza per prevenire la registrazione di domini malevoli e la collaborazione con le autorità competenti per contrastare le attività illecite online.
● Fornitori di servizi di cloud computing: Con l’aumento dell’adozione del cloud computing, la sicurezza dei dati e delle applicazioni ospitate in cloud è diventata una priorità.
Il regolamento impone ai fornitori di servizi cloud di implementare misure di sicurezza rigorose, come la crittografia dei dati, il controllo degli accessi, la segmentazione della rete e la protezione contro il malware, per garantire la riservatezza, l’integrità e la disponibilità dei dati dei clienti. Inoltre, i fornitori di servizi cloud devono adottare procedure di gestione degli incidenti e di disaster recovery per garantire la continuità del servizio in caso di eventi imprevisti.
● Fornitori di servizi di data center: I data center, che ospitano le infrastrutture IT di molte organizzazioni, sono obiettivi sensibili per gli attacchi informatici. Il regolamento
richiede ai fornitori di servizi di data center di implementare misure di sicurezza fisiche e logiche per proteggere le apparecchiature e i dati dei clienti. Queste misure includono il controllo degli accessi fisici al data center, la videosorveglianza, la protezione antincendio, la ridondanza dei sistemi di alimentazione e raffreddamento, e l’implementazione di firewall e sistemi di rilevamento delle intrusioni.
● Fornitori di reti di distribuzione di contenuti (CDN): Le CDN, ottimizzando la distribuzione di contenuti web, giocano un ruolo importante nella fornitura di servizi online.
Il regolamento richiede ai fornitori di CDN di adottare misure per garantire la sicurezza e la disponibilità dei loro server e delle loro reti, prevenendo attacchi DDoS e altre minacce che potrebbero compromettere la fruizione dei contenuti online.
Ad esempio, dovranno implementare sistemi di load balancing per distribuire il traffico tra i diversi server, e utilizzare tecnologie di caching per ridurre il carico sui server di origine.
● Fornitori di servizi gestiti: Le aziende che si affidano a fornitori di servizi gestiti per la gestione delle proprie infrastrutture IT devono poter contare sulla sicurezza dei servizi offerti.
Il regolamento richiede ai fornitori di servizi gestiti di implementare misure di sicurezza adeguate per proteggere i sistemi e i dati dei clienti, includendo la gestione degli accessi, la protezione contro il malware, la gestione delle vulnerabilità e la conformità alle normative sulla privacy.
● Fornitori di servizi di sicurezza gestiti: Questi fornitori, che offrono servizi specializzati di sicurezza informatica, devono garantire un elevato livello di competenza e affidabilità.
Il regolamento richiede loro di adottare misure di sicurezza interne rigorose per proteggere i propri sistemi e i dati dei clienti, e di dimostrare la propria competenza attraverso certificazioni di sicurezza e la partecipazione a programmi di accreditamento.
● Fornitori di mercati online, motori di ricerca e piattaforme di social network:
Queste piattaforme, che gestiscono grandi quantità di dati personali e informazioni sensibili, sono soggette a specifici obblighi di sicurezza e protezione dei dati.
Il regolamento richiede loro di implementare misure per garantire la sicurezza degli account degli utenti, prevenire la diffusione di contenuti illegali o dannosi, e proteggere la privacy degli utenti.
Ad esempio, dovranno implementare sistemi di autenticazione forte per proteggere gli account degli utenti da accessi non autorizzati, e utilizzare tecnologie di intelligenza artificiale per identificare e rimuovere contenuti inappropriati.
● Prestatori di servizi fiduciari: I prestatori di servizi fiduciari, come i fornitori di firma elettronica qualificata, garantiscono l’autenticità, l’integrità e il non ripudio delle transazioni elettroniche.
Il regolamento richiede loro di adottare misure di sicurezza rigorose per proteggere i propri sistemi e i dati dei clienti, prevenendo la compromissione dei certificati digitali e garantendo la conformità ai requisiti previsti dal Regolamento eIDAS.
L'Allegato A: Un Vademecum per la Sicurezza Informatica
L’Allegato A del Regolamento di Esecuzione (UE) 2024/2690 rappresenta un vero e proprio vademecum per la sicurezza informatica, fornendo un elenco dettagliato di requisiti tecnici e metodologici che le organizzazioni devono adottare per gestire i rischi informatici.
Questi requisiti coprono tutti gli aspetti della sicurezza informatica, dalla governance e la gestione del rischio all’implementazione di misure di sicurezza specifiche, come la crittografia, il controllo degli accessi e la sicurezza fisica.
Tra i requisiti più significativi, si evidenziano:
● La definizione di una politica di sicurezza dei sistemi informativi e di rete:
Questa politica deve definire l’approccio dell’organizzazione alla sicurezza informatica, gli obiettivi da raggiungere, i ruoli e le responsabilità del personale, e le procedure per la gestione degli incidenti.
● L’istituzione di un quadro di gestione dei rischi:
Le organizzazioni devono implementare un processo strutturato per identificare, valutare e mitigare i rischi informatici, adottando un approccio basato sul rischio che tenga conto delle specifiche minacce e vulnerabilità a cui sono esposte.
● L’adozione di misure per la gestione degli incidenti:
Le organizzazioni devono definire procedure chiare e dettagliate per la gestione degli incidenti informatici, che includano la segnalazione, l’analisi, il contenimento e il ripristino, nonché la comunicazione alle autorità competenti e agli interessati.
● La garanzia della continuità operativa e la gestione delle crisi:
Le organizzazioni devono adottare misure per garantire la continuità operativa dei propri servizi in caso di incidenti o disastri, implementando piani di disaster recovery e business continuity.
● La sicurezza della catena di approvvigionamento:
Le organizzazioni devono valutare e gestire i rischi informatici associati alla propria catena di approvvigionamento, selezionando fornitori affidabili e includendo nei contratti clausole specifiche sulla sicurezza informatica.
● La sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi:
Le organizzazioni devono adottare misure di sicurezza in tutte le fasi del ciclo di vita dei sistemi informativi, dalla progettazione e lo sviluppo all’acquisizione, la manutenzione e la dismissione.
● L’implementazione di test di sicurezza:
Le organizzazioni devono effettuare test di sicurezza periodici per verificare l’efficacia delle misure di sicurezza implementate e identificare eventuali vulnerabilità.
● L’adozione di pratiche di igiene informatica di base e la formazione in materia
di sicurezza:
Le organizzazioni devono sensibilizzare e formare il proprio personale sull’importanza della sicurezza informatica e sulle best practice da adottare per
proteggere i sistemi e… i dati.
● L’utilizzo della crittografia per proteggere i dati:
Il regolamento fornisce indicazioni specifiche sull’utilizzo della crittografia per garantire la riservatezza e l’integrità dei dati, sia in transito che a riposo.
● La sicurezza delle risorse umane:
Vengono definiti requisiti per la gestione del personale, come la verifica dei precedenti personali, la formazione in materia di sicurezza e le procedure in caso di cessazione del rapporto di lavoro.
● Il controllo dell’accesso ai sistemi e ai dati:
Il regolamento richiede l’implementazione di controlli di accesso rigorosi, basati sull’autenticazione forte e sul principio del minimo privilegio, per limitare l’accesso ai sistemi e ai dati solo al personale autorizzato.
● La gestione delle risorse, inclusi i supporti rimovibili:
Vengono fornite indicazioni sulla gestione delle risorse hardware e software, inclusi i supporti rimovibili, per garantire la loro sicurezza e prevenire la perdita o la compromissione dei dati.
● La sicurezza ambientale e fisica:
Il regolamento richiede l’adozione di misure per proteggere le infrastrutture fisiche da minacce ambientali e fisiche, come incendi,
inondazioni, furti e atti di vandalismo.
Il Principio di Proporzionalità e le Misure Compensative
Il Regolamento di Esecuzione (UE) 2024/2690 riconosce l‘importanza del principio di proporzionalità, consentendo ai soggetti di adottare misure compensative qualora non possano attuare alcuni requisiti a causa delle loro dimensioni o delle specificità del loro contesto operativo.
Questo approccio flessibile permette di adattare le misure di sicurezza alle esigenze specifiche di ciascuna organizzazione, garantendo al contempo un livello di sicurezza adeguato.
Supporto e Orientamenti per l'Attuazione
La Commissione Europea, con l’assistenza dell’ENISA (Agenzia dell’Unione europea per la cibersicurezza), fornirà orientamenti e supporto ai soggetti interessati per l’attuazione dei requisiti previsti dal regolamento.
Questo supporto includerà la pubblicazione di linee guida, best practice e strumenti pratici per la gestione della sicurezza informatica.
Conclusioni
Il Regolamento di Esecuzione (UE) 2024/2690 rappresenta un passo fondamentale per l’attuazione della Direttiva NIS 2, fornendo alle organizzazioni un quadro di riferimento chiaro e dettagliato per la gestione della sicurezza informatica.
L’adozione di un approccio strutturato e proattivo alla sicurezza informatica, in linea con i requisiti del regolamento, consentirà alle organizzazioni di rafforzare la propria resilienza, proteggere le proprie infrastrutture critiche e garantire la continuità dei servizi essenziali per la società e l’economia.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli