NIS2, quale ruolo per Enisa e autorità nazionali

Il ruolo centrale dell’ENISA per attuare Nis2

L’ENISA (European Union Agency for Cybersecurity), ovvero l’Agenzia dell’Unione europea per la cibersicurezza, è l’ente europeo preposto al conseguimento di un livello comune elevato di cibersicurezza in tutta l’area UE, che supporta gli Stati membri sotto il profilo tecnico e operativo nell’implementazione delle politiche di sicurezza informatica.

Con l’avvento della direttiva NIS 2 l’Agenzia ha acquisito ancora maggiore centralità, in quanto costituisce il punto di riferimento per il raggiungimento di una sicurezza digitale a livello europeo e contribuisce all’attuazione della normativa medesima in diversi modi, tra i quali:

• La pubblicazione di linee guida e raccomandazioni che supportano gli operatori nella comprensione e attuazione degli adempimenti richiesti dalla direttiva NIS 2, nonché rispetto al tema delle minacce informatiche e delle relative misure di sicurezza;
• La promozione di iniziative volte alla formazione e sensibilizzazione in tema di cibersicurezza, al fine di accrescere il livello di consapevolezza rispetto alle minacce e alle competenze sulla materia;
• Il supporto alla valutazione dei rischi di supply chain: in base all’articolo 22 della direttiva NIS 2, l’Agenzia assiste nel controllo della catena di approvvigionamento ICT per i settori critici.
• Il continuo monitoraggio e l’elaborazione di report sulle principali minacce informatiche, offrendo alle organizzazioni raccomandazioni per la loro mitigazione;
• Il coordinamento e l’assistenza offerta alle autorità coinvolte nel caso di incidenti occorsi a più Stati membri o con impatto significativo sulla sicurezza a livello europeo.

A mero titolo di esempio, con riferimento alla produzione di linee guida citata al primo punto dell’elenco, si ricorda la recente guida tecnica per la corretta applicazione del Regolamento di esecuzione NIS 2 2024/2690, che costituisce una vera e propria guida operativa per la gestione della sicurezza e che traccia una specifica mappatura di ruoli e competenze dei professionisti della cybersecurity[2].

Compiti e responsabilità delle autorità nazionali

In base alla direttiva NIS 2, ciascuno Stato membro deve individuare autorità nazionali competenti NIS (cfr. art. 1, comma 2, lett. a)), responsabili della vigilanza e dell’attuazione sostanziale della direttiva a livello nazionale. In sintesi, tali autorità rappresentano un raccordo tra le istituzioni europee e i soggetti obbligati al rispetto della normativa, con l’obiettivo di garantire e facilitare l’applicazione effettiva delle regole da parte di questi ultimi. Il ruolo appare fondamentale, in considerazione della guida e del supporto che tali autorità sono chiamate a fornire alle organizzazioni, anche in ordine ai chiarimenti interpretativi della norma e agli strumenti operativi dedicati (si veda, ad esempio, la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), ovvero l’Autorità che in Italia è chiamata a tutelare gli interessi nazionali nel campo della cibersicurezza).

Le autorità nazionali, pertanto, sono chiamate a svolgere svariati compiti, tra i quali:

• Recepire e definire gli obblighi posti dalla direttiva NIS 2, traducendoli nel contesto giuridico nazionale;
• Gestire l’iscrizione al registro per le organizzazioni che ricadono nel perimetro applicativo della direttiva NIS 2, attraverso una piattaforma digitale appositamente prevista per consentire lo svolgimento dell’attività di registrazione e dei relativi aggiornamenti;
• Gestire e coordinare la risposta a incidenti informatici, attraverso la collaborazione con il CSIRT Italia (Computer Security Incident Response Team)[3];
• Vigilare sul rispetto della normativa attraverso lo svolgimento di attività ispettiva, anche applicando misure correttive o di natura sanzionatoria, laddove necessario;
• Sensibilizzare attraverso la promozione di campagne di formazione e supporto alle organizzazioni soggette agli obblighi della direttiva NIS 2.

Rapporto sinergico tra ENISA e autorità nazionali

Il principale obiettivo della direttiva NIS e, successivamente, della sua seconda versione ora in vigore, è quella di ridurre la frammentazione normativa in materia di cybersecurity tra i vari Stati membri, abbracciando un’idea di armonizzazione che si traduca nel raggiungimento di “un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno” (art. 1, comma 1, della direttiva NIS 2).

Ciò costituisce terreno fertile e, al tempo stesso, precondizione per l’istituzione di un rapporto di sinergia e di forte collaborazione tra l’ENISA e le singole autorità nazionali, che si traduce principalmente nella promozione di forum di dialogo e tavoli tecnici; nel reciproco scambio di informazioni su minacce, vulnerabilità e incidenti; nell’adesione a esercitazioni in ambito di cibersicurezza; nella condivisione di linee guida e raccomandazioni.

Lo scenario

Il recepimento e la concreta applicazione della direttiva NIS 2 rappresenta una svolta significativa in tema di cibersicurezza a livello europeo, che si inserisce in un contesto – qual è quello attuale – connotato da importanti sfide a livello di protezione dalle sempre crescenti minacce informatiche.

Se, da un lato, l’ENISA svolge un ruolo centrale in chiave di supporto tecnico e di indirizzo, dall’altro le autorità nazionali devono applicare le disposizioni della direttiva NIS 2 calandole nella cornice normativa e nel tessuto operativo di ciascuno Stato membro.

Solo la valorizzazione e l’applicazione di un’azione condivisa, coordinata e multilivello, è in grado di garantire il successo nell’ambito delle sfide della cybercriminalità nel mondo digitale, presente e futuro, proteggendo le infrastrutture dei soggetti interessati dall’applicazione della normativa.

Note

[1] Si veda qui.

[2] Per un approfondimento sul tema, questo articolo.

[3] Il CSIRT Italia è l’organo dell’Agenzia per la cybersicurezza nazionale che si occupa di monitoraggio preventivo e risposta agli incidenti informatici.