Conformità NIS2 per il settore ICT Service Management (B2B)

I fornitori di ICT service management svolgono un ruolo centrale nel supportare le operazioni digitali delle imprese in tutta l'Unione Europea. Managed service provider (MSP), managed security service provider (MSSP) e operatori IT in outsourcing spesso hanno accesso privilegiato alle reti, alle infrastrutture e ai dati dei clienti. Di conseguenza rappresentano sia abilitatori critici sia potenziali punti di concentrazione del rischio informatico.

La Direttiva NIS2 stabilisce obblighi di cybersecurity a livello UE per le entità Essenziali e Importanti e amplia significativamente l'ambito del precedente quadro NIS. La conformità NIS2 per l'ICT service management (B2B) è pensata per ridurre il rischio sistemico creato dai fornitori ICT terzi che servono più settori.

La Direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano in settori designati, incluso l'ICT service management. Molti fornitori ICT B2B possono rientrare nell'ambito in base alle soglie dimensionali.

Se la vostra organizzazione fornisce servizi di ICT service management su base B2B, potreste rientrare nella NIS2 come entità Importante.

Il settore ICT Service Management (B2B) è classificato come:

Allegato rilevante: Allegato II (Entità Importanti)

Queste entità forniscono servizi correlati all'ICT a clienti business, spesso includendo monitoraggio dei sistemi, gestione delle infrastrutture, servizi di cybersecurity, gestione cloud e outsourcing IT.

Le organizzazioni che soddisfano le soglie dimensionali applicabili sono trattate come entità Importanti ai sensi della NIS2.

• Entità Importante ai sensi dell'Allegato II

• Managed service provider (MSP)
• Managed security service provider (MSSP)

Copertura del sottosettore (Allegato II – ICT Service Management (B2B)):

La conformità NIS2 per l'ICT service management (B2B) si applica a:

Questo include MSP e MSSP che forniscono servizi continuativi di gestione, monitoraggio o sicurezza alle organizzazioni clienti.

L'applicabilità della NIS2 alle PMI è particolarmente rilevante in questo settore, poiché molti fornitori ICT operano a scala di impresa media. Anche i fornitori che servono principalmente PMI possono rientrare nell'ambito se soddisfano le soglie UE di dimensione.

Poiché i fornitori di ICT service management spesso servono entità Essenziali in più settori, il loro livello di cybersecurity è di particolare interesse regolamentare.

• Imprese di medie dimensioni (≥50 dipendenti e/o €10 milioni di fatturato annuo o totale dell'attivo di bilancio)
• Grandi imprese che superano tali soglie

Ai sensi dell'articolo 21 della Direttiva NIS2, i fornitori di ICT service management devono implementare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi di cybersecurity.

Le misure obbligatorie includono:

Per i fornitori di ICT service management, queste misure di sicurezza NIS2 devono affrontare controlli per l'accesso remoto, gestione degli account privilegiati, strumenti di monitoraggio dei sistemi dei clienti e piattaforme di erogazione dei servizi sicure.

La conformità NIS2 per l'ICT service management (B2B) richiede una solida governance interna sulle credenziali amministrative, la segmentazione tra gli ambienti dei clienti e robuste capacità di logging e monitoraggio. Poiché questi fornitori possono agire come gateway verso i sistemi dei clienti, i loro controlli devono essere particolarmente stringenti.

• Framework di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità aziendale e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Policy su crittografia e cifratura
• Controllo degli accessi e MFA (autenticazione a più fattori)
• Gestione delle vulnerabilità e patch management
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

I fornitori di ICT service management devono rispettare i tempi di segnalazione previsti dalla NIS2 quando si verificano incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere inviate al CSIRT nazionale pertinente o all'autorità competente.

La regola NIS2 delle 24 ore è particolarmente importante per i fornitori ICT i cui sistemi possono influenzare più clienti contemporaneamente. Gli incidenti che coinvolgono accessi remoti non autorizzati, attacchi ransomware o compromissione delle piattaforme di servizio possono qualificarsi come incidenti significativi.

La mancata segnalazione entro i tempi prescritti può comportare azioni di enforcement e sanzioni amministrative.

La conformità NIS2 per l'ICT service management (B2B) impone responsabilità dirette sull'organo di gestione.

Requisiti chiave di governance includono:

L'articolo 21 della Direttiva NIS2 chiarisce che la cybersecurity non è solo una questione tecnica. L'alta dirigenza di MSP e MSSP deve garantire un'adeguata gestione del rischio, documentazione e supervisione della conformità.

Poiché i fornitori ICT supportano più clienti regolamentati, i fallimenti di governance possono generare un rischio a valle amplificato.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Supervisione continua dell'implementazione
• Formazione obbligatoria sulla cybersecurity per la direzione
• Potenziale esposizione a responsabilità personale ai sensi della normativa nazionale

In quanto entità dell'Allegato II, i fornitori di ICT service management classificati come entità Importanti sono soggetti a supervisione reattiva. Le autorità competenti in genere avviano le misure di supervisione a seguito di prove, indizi o segnalazioni di non conformità.

Le sanzioni amministrative per la non conformità sono:

Le leggi nazionali di recepimento possono chiarire ulteriormente i meccanismi di supervisione, ma la Direttiva stabilisce soglie minime armonizzate per le sanzioni negli Stati membri.

Dato il rischio di concentrazione associato ai fornitori ICT, le azioni di enforcement possono seguire incidenti significativi che coinvolgono più settori.

• Entità Importanti: Fino a €7 milioni o l'1,4% del fatturato annuo mondiale totale (a seconda di quale sia maggiore)

Le PMI di ICT service management dovrebbero adottare un approccio strutturato alla conformità NIS2:

La preparazione anticipata riduce il rischio di enforcement e rafforza la fiducia dei clienti.

1. Eseguire un assessment delle lacune rispetto alla NIS2
2. Mappare i sistemi critici esposti ai clienti e i privilegi amministrativi
3. Formalizzare un framework documentato di gestione del rischio informatico
4. Aggiornare e testare le procedure di risposta agli incidenti e di notifica delle violazioni
5. Revisionare i contratti con subappaltatori e terze parti tecnologiche
6. Formare la leadership esecutiva e i responsabili della delivery dei servizi
7. Stabilire un flusso di segnalazione 24h/72h/1 mese

I fornitori di ICT service management affrontano rischi specifici di settore ai sensi della NIS2:

La conformità NIS2 per l'ICT service management (B2B) è quindi sia un obbligo regolamentare sia un elemento differenziante competitivo nel mercato dei servizi B2B.

• Rischio di concentrazione: Un singolo incidente può influenzare simultaneamente più clienti.
• Esposizione di accessi privilegiati: La compromissione delle credenziali amministrative può avere impatti ampi.
• Compromissione della catena di fornitura: Subappaltatori o fornitori di strumenti possono introdurre vulnerabilità.
• Sanzioni regolamentari: La non conformità espone i fornitori a penalità finanziarie rilevanti.
• Responsabilità contrattuale: I clienti possono adottare rimedi contrattuali a seguito di interruzioni del servizio.