Il Regolamento UE 2024/2690 rappresenta un passo significativo nell’attuazione di NIS2, la Direttiva Europea sulla Sicurezza delle Imprese Essenziali nel 2024. Esso introduce requisiti tecnici chiari per i fornitori di cloud, data center, service provider e servizi fiduciari, fissando criteri definiti intorno a concetti centrali come gestione dei rischi, continuità operativa, gestione dell’approvvigionamento (supply chain) e monitoraggio degli asset.

La NIS2, adottata nel 2022, forniva uno schema ampio basato su un modello europeo di cyber risk management, con obblighi estesi, proporzionati e su una visione multirischio. Il Regolamento UE 2024/2690 traduce ora questi concetti in norme operative per aziende tecnologiche e fornitori di servizi. Questo passaggio rende chiari i parametri di conformità, aumenta la trasparentezza e introduce nuove responsabilità gestionali.

Il ruolo specifico dei diversi operatori

I requisiti del regolamento tengono conto della natura peculiare di ogni tipo di entità. Per esempio, i cloud provider devono garantire resilienza e capacità di ripristino nel caso di interruzioni estese, considerando anche il rischio di interdipendenza con altri fornitori.

I data center devono implementare controlli tecnico-fisici per proteggere l’integrità e la disponibilità del dato, con particolare attenzione a criteri per la classificazione dell’asset e l’autenticazione a più fattori.

I Managed Service Provider (MSP) e i Managed Security Service Provider (MSSP) rientrano in entità "terzi" ma con un ruolo centrale nella catena di fornitori. La supply chain diventa quindi un asse centrale del regolamento, che impone verifiche regolari, audit e contratti chiari per gestione dei rischi congiunti.

Obblighi tecnici specifici richiesti dal regolamento

Conseguenze e adempimenti per le imprese

Ogni entità soggetta al Regolamento deve mettere a punto una "Documentazione Interna di Sicurezza" che illustri come vengono soddisfatti i requisiti richiesti. Questo documento deve accompagnare il piano europeo di risposta a incidenti e costituire un riferimento per eventuali controlli da parte degli Autori competenti.

La normativa include inoltre una serie di sanzioni in caso di inadempienze. Le multe variano in base alla gravità e possono toccare percentuali sostanziose rispetto al fatturato annuale. Per aziende che non rispettino i termini previsti per adeguamento, l’entità delle sanzioni cresce progressivamente.

Un esempio pratico è il settore ICT. Se un provider cloud non implementa criteri di gestione del rischio come richiesto, nonché non ha in atto piani di riparazione in caso di incidente cyber, la conformità potrebbe essere considerata insufficiente. Gli organi di vigilanza potrebbero richiedere interventi correttivi urgenti.

Piani di attuazione e supporto alle aziende

Le autorità nazionali e l’ENISA stanno creando strumenti e linee guida per supportare le aziende nell'attuazione del Regolamento UE 2024/2690. Il piano prevede anche formazione e aggiornamenti per il personale tecnico e gestionale per affrontare le complesse normative.

Le aziende sono incoraggiate a contattare esperti legali, cybersecurity e tecnici per pianificare un piano di conformità realistico. Gli esperti concordano che l’implementazione non debba essere vista come un costo ma come un vantaggio competitivo, che aumenta la sicurezza e la fiducia nella gestione dei servizi digitali.

Conclusione

Il Regolamento UE 2024/2690 costituisce un avanzamento cruciale verso una vera governance europea della cybersecurity, rendendo attuabile il modello teorico definito dalla NIS2. La conformità richiesta non è solo una norma obbligata: è l’occasione per aziende e fornitori di servizi di riallineare le loro operazioni alle sfide del digital age, con benefici tangibili in termini di affidabilità e resilienza.