Il Regolamento di esecuzione (UE) 2024/2690 individua requisiti tecnici e metodologici delle misure per la gestione dei rischi cyber previsti dalla NIS 2 fornendo definizioni e precisando la gestione della sicurezza attraverso obblighi cogenti, ma questo non è certo sufficiente per la “messa a terra” dei sistemi di gestione che possano consentire di raggiungere gli obiettivi individuati dalla normativa.
Questo è un comune denominatore negli ambiti complessi come la sicurezza informatica, per cui è necessario coordinare alle norme vincolanti degli interventi di soft law al fine di fornire orientamenti e buone pratiche che si possano tradurre in azioni concrete.
Uno degli interventi più autorevoli in tal senso è quello svolto dalle linee guida ENISA, documenti oramai divenuti punti di riferimento ineliminabili per organizzazioni e professionisti nell’attuazione delle strategie di sicurezza cyber e gli interventi di miglioramento continuo. Inoltre, le stesse autorità di controllo fanno ricorso a criteri e metodi forniti all’interno di tali linee guida al fine verificare le misure di sicurezza adottate e la conformità alle prescrizioni della norma.
ENISA: guida tecnica e mappatura di ruoli e competenze
ENISA ha pubblicato la guida tecnica per la gestione della sicurezza secondo un metodo di implementazione e standard di riferimento, ma anche la mappatura di ruoli e competenze secondo il quadro europeo delle competenze di cybersecurity (ECSF) come risorse a supporto di organizzazioni e professionisti impegnati nel percorso della NIS 2, ma non solo.
Lo studio di questi documenti è infatti una fonte di spunti operativi per la gestione del rischio cyber tanto per i soggetti essenziali e importanti quanto per i soggetti che si pongono al di fuori del perimetro della NIS 2 dal momento che sicurezza e resilienza sono comuni fattori critici di successo.
O, per converso, si può dire che la loro inadeguatezza è fonte di certa di fallimento.
L’unica incertezza a riguardo risiede infatti nel quando.
