NIS2 Art. 24: Certificazioni UE di cybersecurity (governance e procurement)

In breve

L’Art. 24 introduce l’uso di schemi europei di certificazione della cybersecurity come leva per dimostrare (e, in alcuni casi, rendere obbligatorio) un livello minimo di sicurezza su prodotti, servizi e processi ICT.

Il punto chiave per la governance: trasformare la sicurezza in un requisito di acquisto/fornitura misurabile, gestito con regole, eccezioni e responsabilità chiare.

Cosa cambia per il management (decisioni da prendere)

• Policy di procurement “security-gated”: definire categorie ICT per cui è richiesto (o preferito) l’uso di soluzioni certificate.
• Gestione eccezioni: chi approva deroghe, quali motivazioni ammissibili, quali controlli compensativi.
• Contratti e supply chain: inserire requisiti verificabili (certificazione, auditability, aggiornamenti, disclosure vulnerabilità, subfornitori).
• Risk acceptance: formalizzare il rischio residuo quando la certificazione non è disponibile o non applicabile.

Checklist operativa (30-60-90 giorni)

Entro 30 giorni

1. Inventario: elenco prodotti/servizi/processi ICT critici (interni e in outsourcing).
2. Classificazione criticità: quali componenti impattano continuità, dati, identità, rete, produzione.
3. Regola minima: bozza policy “quando richiedere certificazione” + flusso deroghe.

Entro 60 giorni

1. Capitolati/contratti: aggiornare template con requisiti (certificazione dove prevista, evidenze, obblighi di sicurezza del fornitore).
2. Vendor register: campo “certificazione richiesta/presente” + scadenze + evidenze documentali.
3. Comitato decisionale: definire chi decide per eccezioni e tempi massimi di decisione in gara/urgenza.

Entro 90 giorni

1. Rollout su nuove acquisizioni: applicare le regole alle nuove gare e ai rinnovi.
2. Piano di remediation: per componenti critici non allineati, roadmap di sostituzione o mitigazione.
3. Reporting al management: KPI (copertura contratti, deroghe aperte, rischio residuo, scadenze evidenze).

Evidenze pronte (audit trail)

• Policy procurement cybersecurity + procedura deroghe + matrice responsabilità.
• Elenco asset/servizi critici con stato: “certificazione richiesta / presente / non applicabile / in deroga”.
• Fascicolo fornitore: evidenze di certificazione e documenti contrattuali aggiornati.
• Verbali decisioni: approvazioni deroghe e accettazioni rischio residuo.

FAQ

Se non esiste uno schema UE adatto, cosa si fa?

Si documenta la non disponibilità/pertinenza per la categoria di tecnologia e si gestisce il rischio con criteri equivalenti (requisiti contrattuali, test, controlli compensativi), tracciando l’eccezione e la decisione di risk acceptance.