La direttiva è basata sul rischio e proprio per questo vari articoli specificano le misure necessarie da implementare. A primo impatto può sembrare che ci dia informazioni solo sulle misure da realizzare, e quindi su quel che dobbiamo necessariamente avere “in casa”, ma non sul come implementarle. In realtà, proprio in vista della necessità di essere conformi prima ancora del 17 ottobre 2024, alcuni articoli della direttiva si soffermano sulla possibilità di implementazione tramite la serie ISO/IEC 27000. Un aiuto prezioso visto che, ad un occhio più esperto, non può sfuggire la relazione tra le misure NIS2 delineate dall’articolo 21 ed i vari controlli dell’ISO/IEC 27002:2013
Monitoraggio, valutazione e controllo
Le aziende saranno soggette a monitoraggio, valutazione e controllo dell’applicabilità della NIS2 attraverso un sistema di Governance strutturato a livello nazionale. Gli Stati hanno l’obbligo di stabilire una Metodologia di gestione del rischio, andando a precisare le misure organizzative, operative e tecniche che vanno oltre a quelle precisate dalla NIS2.
L’ENISA, insieme all’autorità nazionale di competenza, avrà il compito di monitorare e controllare le infrastrutture dei soggetti definiti dalla direttiva, al fine di ridurre gli impatti economico-sociali. Prima di essere soggetti agli audit in loco ed alla vigilanza a distanza, le aziende dovranno essere consapevoli dei loro punti di forza e non, così da definire ed implementare un sistema di gestione del rischio da adottare non solo in ottica NIS2 ma anche di rafforzamento del proprio livello di sicurezza.
Aldilà del settore di appartenenza, gli enti aventi relazione con i fornitori di servizi ICT saranno a loro volta soggetti ad audit ed a monitoraggio interno/esterno, in quanto anche i fornitori di servizi ICT stessi possono essere bersagli di cyber attacchi.
Sanzioni e sospensioni
Le sanzioni varieranno ma di base sono fissate:
– Per i soggetti essenziali, ad un massimo di almeno 10,000,000 EUR o un massimo di almeno il 2% del totale del fatturato mondiale annuo.
– Per i soggetti importanti, ad un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4% del totale del fatturato mondiale annuo
La direttiva mira al raggiungimento di cambiamenti immediati lato sicurezza ed è molto rigida sulla conformità, infatti, si parla addirittura di sospensione di persone e servizi.Per quanto riguarda le persone, in caso di non conformità l’alta direzione (amministratore delegato, rappresentante legale, etc) può essere soggetta alla sospensione delle proprie funzioni. Essa è infatti ha la responsabilità ultima dei rischi gestionali di Cybersecurity per i soggetti essenziali ed importanti ed è responsabile della formazione e della gestione dei sistemi informativi interni,
Per quanto riguarda i servizi invece, se allo scadere dei tempi prestabiliti non si sarà conformi alla direttiva, si andrà incontro alla sospensione, in parte o in totalità, dei servizi di tutti quegli enti che possono direttamente o indirettamente (fornitori di servizi) impattare la continuità operativa e l’erogazione dei servizi stessi.
Documentabilità e dimostrabilità
I concetti chiave di questo contesto sono Documentabilità e Dimostrabilità. I soggetti Essenziali, i soggetti Importanti, così come la Supply Chain, dovranno infatti essere abili nel dimostrare, nei processi di audit e su richiesta degli organi di competenza nazionale, consona documentazione di quelli che sono stati i loro interventi di miglioramento della sicurezza in un’ottica NIS2 ed avere la possibilità di provare quanto documentato, al fine di mantenere vivi i propri servizi e le proprie funzioni.