NIS 2: certificazione sulla cybersicurezza e processo di compliance

L'uso dei sistemi europei di certificazione sulla cybersicurezza

Come si vede dal testo dell'art. 21 c. 1  lett. d) e c. 3 NIS2 non emergono adempimenti “minimi” che il legislatore suggerisce al soggetto interessato per essere compliant rispetto alla norma, questo perché come spesso accade, si preferisce evitare l'indicazione di misure che rischierebbero di soffrire una rapida obsolescenza e dunque non essere idonee a raggiungere l'obiettivo della sicurezza di tali soggetti.

Invero, tale regola incontra un'eccezione nell'art. 24 c. 1 della Direttiva, laddove stabilisce che “Al fine di dimostrare il rispetto di determinate prescrizioni di cui all'articolo 21, gli Stati membri possono imporre ai soggetti essenziali e importanti di utilizzare determinati prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito dei sistemi europei di certificazione della cibersicurezza adottati a norma dell'articolo 49 del regolamento (UE) 2019/881”;

la ratio di tale norma sottende una valutazione del rischio effettuata dal legislatore ex ante per determinati settori (si immagini ad esempio il l'ecosistema 5G), rispetto ai quali il rischio di rivolgersi a fornitori inadeguati deve essere ridotto al minimo, e pertanto, è lo stesso legislatore ad imporre ai...