Come previsto dalla NIS2, la Commissione ha pubblicato il Regolamento di esecuzione (UE) 2024/2690 della Commissione che stabilisce "i requisiti tecnici e metodologici delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2690.

Grazie a Franco Ferrari e Alessandro Cosenza che per primi me l'hanno segnalato e a Chiara Ponti per i riferimenti precisi.

Il Regolamento di esecuzione è diviso in due parti:

- la prima parte, articoli 3-13, precisa cosa si intende per "incidenti significativi", anche per i diversi settori di riferimento (servizi DNV, registri dei nomi di dominio, eccetera); molto importante perché specifica le soglie che determinano quando comunicare un incidente all'autorità (in Italia ACN);

- la seconda parte, l'Allegato, specifica più nel dettaglio le misure di sicurezza che la Direttiva elenca all'articolo 21 e il nostro D. Lgs. 138 elenca all'articolo 24.

Non ho studiato nel dettaglio le misure, ma mi sembra che le richieste siano più che ragionevoli, in linea con i tempi e anche con le risorse tipiche delle aziende europee (quindi molte PMI). Ovviamente sarà necessario prevedere investimenti almeno nello studio completo delle 20 pagine dell'allegato.

Ecco le voci dell'allegato e qualche mio commento (così dimostro di averlo guardato):

- Politica di sicurezza dei sistemi informativi e di rete: sono precisate le voci da prevedere, non molto dissimili da quanto già richiesto dalla ISO/IEC 27001;

- Ruoli e responsabilità: generico;

- Politica di gestione dei rischi: simile a quanto già richiesto dalla ISO/IEC 27001 con, come già previsto dalla Direttiva, precisazioni in più in merito alla catena di approvvigionamento;

- Monitoraggio della conformità;

- Riesame indipendente della sicurezza dei sistemi informativi e di rete (audit interni): insieme al precedente, già parte del ciclo PDCA;

- Gestione degli incidenti: rispetto alle solite richieste, sottolineo la richiesta di eseguire test delle procedure;

- Monitoraggio e logging (messo in mezzo a requisiti relativi alla gestione degli incidenti): la traduzione italiana traduce "logging" con "registrazioni" e così può creare confusioni interpretative quando invece è tutto molto più semplice; elenca alcune attività da sottoporre a log e richiede di "riesaminarli regolarmente", senza accennare alla necessaria automazione;

- Continuità operativa e gestione delle crisi: nulla di inaspettato, ma segnalo che sono richieste esplicitamente prove di ripristino dai backup;

- Sicurezza della catena di approvvigionamento: qui, come già prevedibile dal testo della Direttiva, i requisiti precisano le attività di selezione e controllo dei fornitori; mi piace che venga richiesto che nei contratti debbano essere specificati i requisiti di cibersicurezza; questo vuol dire che non vanno previsti questionari, ma richieste precise ai fornitori;

- Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete: nessun requisito particolare, ma segnalo che ci sono requisiti sull'acquisizione, che non potrà essere sottovalutata come spesso succede;

- Ciclo di vita dello sviluppo sicuro: nessun requisito particolare, ma segnalo che le precisazioni non permettono di sottovalutare, come spesso succede, la definizione dei requisiti di sicurezza e delle pratiche di ingegnerizzazione e codifica sicura;

- Gestione della configurazione: nessun requisito particolare, ma colgo l'occasione per lamentare la scelta di seguire pedissequamente il testo della ISO/IEC 27001, che ignora il fatto che la "Gestione della configurazione" in ambito software non vuol dire "impostazione sicura dei sistemi" o "hardening", anche se qui è inteso così;

- Gestione delle modifiche, riparazioni e manutenzione: nessun requisito particolare, ma è richiesto esplicitamente di documentare le modifiche, cosa spesso non fatta;

- Test di sicurezza: sono richiesti, come prevedibile, vulnerability assessment e penetration test (qui segnalo la traduzione automatica di "scope" con "portata" e non "ambito");

- Gestione delle patch di sicurezza: nessun requisito particolare, ma è precisato che vanno monitorati i tempi di installazione dalla loro disponibilità e che vanno eseguiti test preventivi;

- Sicurezza delle reti e Segmentazione della rete: viene chiesto di documentare l'architettura della rete; qui e altrove mi chiedo come certi controlli possano essere applicati da chi fa ricorso a servizi cloud (per esempio, si parla di DMZ, quando oggi l'architettura è tale da non prevederla);

- Protezione da software malevoli e non autorizzati: nessun requisito particolare da segnalare;

- Gestione e divulgazione delle vulnerabilità: nessun requisito particolare da segnalare;

- Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza: molto simile a quanto previsto dalla ISO/IEC 27001; io però ho sempre molte perplessità quando è richiesto di misurare le misure di sicurezza;

- Pratiche di igiene informatica di base e formazione in materia di sicurezza: nessun requisito particolare da segnalare, però segnalo che mi piace come sono precisate le attività di sensibilizzazione e come sono ben distinte da quelle di formazione;

- Crittografia: richiedo molto precisamente di documentare la gestione delle chiavi crittografiche, con un elenco degli argomenti da prevedere;

- Sicurezza delle risorse umane: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001;

- Controllo dell'accesso: nessun requisito particolare da segnalare, anche se l'argomento è trattato estesamente, perché molto simile a quanto già previsto dalla ISO/IEC 27001; viene richiesta l'autenticazione a più fattori (colgo anche qui l'occasione per biasimare la traduzione automatica di "controllo dell'accesso" anziché "controllo degli accessi");

- Classificazione delle risorse: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001; non viene richiesta, fortunatamente, l'etichettatura;

- Gestione delle risorse: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001 in merito alla gestione degli asset;

- Politica in materia di supporti rimovibili: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001;

- Inventario delle risorse: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001;

- Deposito, restituzione o cancellazione delle risorse al momento della cessazione del rapporto di lavoro: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001;

- Sicurezza ambientale e fisica: nessun requisito particolare da segnalare perché molto simile a quanto già previsto dalla ISO/IEC 27001.

Come si vede, per mia formazione personale riconduco tutto alla ISO/IEC 27001. Sono comunque convinto che sia stata la base di partenza per determinare i requisiti. Applaudo alla scelta di basarsi su uno standard internazionale alla cui stesura tutte le parti interessate possono partecipare.

Ho però il sospetto che sia stata consultata molto anche la CEN/TS 18026:2024 "Three-level approach for a set of cybersecurity requirements for cloud services" a cui però non ho accesso.

Per chi fosse interessato: ritengo sempre più che la strada corretta per adeguarsi alla NIS2 sia quella di adottare la ISO/IEC 27001, sia perché le misure sono facilmente correlabili, sia perché su di essa c'è un'esperienza diffusa che può essere di aiuto.