NIS2 e CER: due direttive, un unico obiettivo

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza 

Nel panorama normativo europeo della sicurezza informatica e della protezione delle infrastrutture critiche emergono due pilastri fondamentali: la Direttiva NIS2, dedicata alla sicurezza delle reti e dei sistemi informativi, e la Direttiva CER, focalizzata sulla resilienza delle entità critiche. Pur nascendo in contesti politici differenti, le due normative condividono obiettivi e ambiti di applicazione sempre più interconnessi. Comprenderne le sovrapposizioni è essenziale per garantire la conformità, evitare duplicazioni e costruire una strategia di resilienza unificata.

Un quadro complesso ma coerente

L’integrazione tra NIS2 e CER disegna un’architettura regolatoria articolata, nella quale convergono sicurezza informatica, sicurezza fisica, gestione del rischio e continuità operativa, inclusi i piani di disaster recovery. Questa evoluzione normativa risponde alla volontà di superare approcci settoriali e frammentati, orientandosi verso un modello di governance unitaria e proporzionata.

Approccio “risk based” e visione comune

Entrambe le direttive adottano un approccio basato sul rischio, seppur con declinazioni differenti. La moltiplicazione delle norme solleva interrogativi legittimi: si tratta di una stratificazione incoerente o di un sistema strutturato di protezione? La risposta non è univoca, ma è chiaro che NIS2 e CER mirano a rafforzare l’intera catena di resilienza delle infrastrutture critiche europee.

Proteggere i servizi essenziali

Le normative si applicano a entità che erogano servizi essenziali — energia, acqua, trasporti, infrastrutture digitali, sanità, pubblica amministrazione — con l’obiettivo di garantire la continuità operativa. La prevenzione e la mitigazione degli impatti negativi delle interruzioni, siano esse digitali o fisiche, rappresentano il denominatore comune delle due direttive.

Governance e gestione integrata del rischio

NIS2 e CER convergono su aspetti chiave come la governance e il risk management. La NIS2 richiede misure di sicurezza informatica strutturate, come la gestione degli accessi, la crittografia e il patch management. La CER, invece, impone un’analisi approfondita dei rischi fisici, della business continuity, delle dipendenze dalla supply chain e delle minacce naturali o dolose. Ne emerge l’esigenza di un quadro di rischio integrato, capace di considerare simultaneamente minacce digitali e fisiche.

Incident reporting e risposta coordinata

Un altro punto di contatto riguarda la segnalazione degli incidenti. La NIS2 prevede la notifica degli incidenti informatici alle autorità competenti o ai CSIRT entro 24 ore, mentre la CER richiede la segnalazione tempestiva di qualsiasi interruzione significativa, inclusi eventi fisici o calamità naturali. Diventa quindi fondamentale adottare procedure centralizzate di risposta agli incidenti, con team legali e di sicurezza costantemente allineati.

Supply chain e dipendenze critiche

Entrambe le direttive riconoscono la supply chain come una vulnerabilità strategica. La NIS2 si concentra sulla gestione del rischio legato ai fornitori digitali, come i produttori di software, mentre la CER pone l’accento sulle dipendenze funzionali dei fornitori per le infrastrutture fisiche e le operazioni connesse.

Continuità operativa e resilienza unificata

La pianificazione della resilienza rappresenta l’elemento di sintesi tra NIS2 e CER. La NIS2 impone di garantire disponibilità, integrità, autenticità e riservatezza dei sistemi informativi; la CER richiede piani formali di resilienza che coprano continuità e ripristino in caso di interruzioni di qualsiasi natura. Integrare business continuity e disaster recovery, attraverso test e audit periodici, è essenziale, così come la nomina di un’unica funzione di coordinamento (CISO, CRO o equivalente).

NIS2 e CER rappresentano due facce della stessa medaglia: infrastrutture critiche resilienti, sicure e protette. Allineando gli sforzi e comprendendo le sovrapposizioni normative, le organizzazioni possono ridurre la complessità, evitare duplicazioni e rafforzare le proprie difese contro minacce digitali e fisiche.