Conformità NIS2 per il settore della ricerca

Le istituzioni di ricerca contribuiscono al progresso scientifico, all'innovazione tecnologica e alla competitività economica nell'Unione europea. Università, laboratori di ricerca e organizzazioni di ricerca specializzate gestiscono proprietà intellettuale sensibile, tecnologie avanzate e collaborazioni transfrontaliere. La crescente digitalizzazione dei dati di ricerca, dei sistemi di laboratorio e degli ambienti di calcolo ad alte prestazioni ha ampliato l'esposizione ai rischi informatici.

La Direttiva NIS2 stabilisce obblighi di cybersicurezza a livello UE per le entità Essenziali e Importanti e amplia significativamente l'ambito del quadro NIS originario. La conformità alla NIS2 per il settore della ricerca mira a rafforzare la resilienza delle entità che svolgono ricerche scientifiche e tecnologiche critiche.

La Direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano nei settori designati, incluse alcune entità di ricerca. L'ambito è definito dal tipo di attività di ricerca e dai criteri di designazione nazionali.

Se la vostra organizzazione svolge attività di ricerca rientranti nell'ambito definito, potreste rientrare nella NIS2 come entità Importante.

Il settore della ricerca è classificato come:

Allegato pertinente: Allegato II (Entità Importanti)

Ciò include entità il cui obiettivo principale è svolgere ricerca applicata o sperimentale, comprese istituzioni di ricerca impegnate nello sviluppo tecnologico o scientifico.

Le entità che soddisfano le soglie dimensionali applicabili sono trattate come entità Importanti ai sensi della NIS2.

• Entità Importante ai sensi dell'Allegato II

• Organizzazioni di ricerca

Copertura del sottosettore (Allegato II – Ricerca):

La conformità alla NIS2 per il settore della ricerca si applica a:

Ciò include istituti di ricerca, organizzazioni private di R&S e laboratori specializzati che soddisfano i criteri dimensionali UE.

L'applicabilità della NIS2 alle PMI è particolarmente rilevante in questo settore, poiché molte istituzioni di ricerca operano su scala di media impresa. Le entità di ricerca più piccole che non raggiungono le soglie dimensionali possono restare escluse a meno che non siano specificamente designate dalla legge nazionale.

Le università possono essere coperte quando soddisfano i criteri dimensionali e rientrano nella definizione di organizzazioni di ricerca ai sensi delle leggi nazionali di recepimento.

• Imprese di medie dimensioni (≥50 dipendenti e/o €10 milioni di fatturato annuo o totale di bilancio)
• Grandi imprese che superano tali soglie

Ai sensi del Articolo 21 della Direttiva NIS2, le entità di ricerca devono attuare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi informatici.

Le misure obbligatorie includono:

Per il settore della ricerca, queste misure di sicurezza NIS2 devono proteggere i depositi di dati di ricerca, i sistemi di proprietà intellettuale, le apparecchiature di automazione dei laboratori e l'infrastruttura di calcolo ad alte prestazioni.

La conformità alla NIS2 per il settore della ricerca richiede controlli di accesso rigorosi per i dati sensibili di ricerca, piattaforme di collaborazione sicure e supervisione dei partner di ricerca terzi. La protezione della proprietà intellettuale e la continuità delle operazioni di ricerca sono elementi centrali negli sforzi di conformità.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche su crittografia e cifratura
• Controllo degli accessi e autenticazione a più fattori (MFA)
• Gestione delle vulnerabilità e delle patch
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

Le entità di ricerca devono rispettare i termini di segnalazione degli incidenti previsti dalla NIS2 quando si verificano incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere trasmesse al CSIRT nazionale pertinente o all'autorità competente.

La regola delle 24 ore della NIS2 è particolarmente rilevante quando gli incidenti informatici compromettono dati di ricerca sensibili, interrompono i sistemi di laboratorio o incidono sulle piattaforme collaborative. Gli incidenti significativi possono includere violazioni dei dati che influenzano l'integrità della ricerca o la proprietà intellettuale.

Il mancato rispetto dei tempi di segnalazione prescritti può comportare azioni di enforcement e sanzioni finanziarie.

La conformità alla NIS2 per il settore della ricerca impone la responsabilità all'organo di gestione.

I principali requisiti di governance includono:

Il Articolo 21 della Direttiva NIS2 eleva la supervisione della cybersicurezza alla leadership esecutiva. Il top management deve garantire che i controlli di cybersicurezza siano allineati con il rischio istituzionale e gli obiettivi di protezione della ricerca.

I fallimenti di governance possono esporre le istituzioni a scrutinio regolatorio, rischi di finanziamento e danni reputazionali.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Supervisione continua dell'attuazione
• Formazione obbligatoria sulla cybersicurezza per la direzione
• Potenziale esposizione a responsabilità personali ai sensi della legge nazionale

In quanto entità dell'Allegato II, le organizzazioni di ricerca classificate come entità Importanti sono soggette a vigilanza reattiva. Le autorità competenti generalmente avviano misure di supervisione a seguito di prove o segnalazioni di non conformità.

Le sanzioni amministrative per la non conformità sono:

Le leggi nazionali di recepimento possono dettagliare le procedure di vigilanza, ma la Direttiva stabilisce soglie minime di sanzione armonizzate tra gli Stati membri.

L'attività di enforcement dovrebbe concentrarsi sulla protezione dei dati sensibili e sulla continuità delle operazioni di ricerca.

• Entità Importanti: Fino a €7 milioni o 1,4% del fatturato annuo totale mondiale (a seconda di quale sia maggiore)

Le PMI di ricerca dovrebbero adottare un approccio strutturato alla conformità:

La preparazione anticipata riduce il rischio di enforcement e tutela la proprietà intellettuale.

1. Condurre una gap analysis NIS2
2. Mappare i sistemi di ricerca critici e i depositi di dati
3. Formalizzare un quadro documentato di gestione del rischio informatico
4. Aggiornare e testare i piani di risposta agli incidenti e di recupero dei dati
5. Rivedere gli accordi con partner di ricerca e subappaltatori
6. Formare la leadership esecutiva e i direttori della ricerca
7. Stabilire un flusso di segnalazione 24h/72h/1 mese

Le entità di ricerca affrontano rischi specifici del settore ai sensi della NIS2:

La conformità alla NIS2 per il settore della ricerca è quindi essenziale per proteggere l'innovazione e la resilienza istituzionale.

• Furto di proprietà intellettuale: Gli incidenti informatici possono compromettere dati di ricerca proprietari.
• Interruzione operativa: I sistemi di automazione dei laboratori possono essere compromessi.
• Compromissione della catena di fornitura: Partner di ricerca e fornitori introducono rischi di terze parti.
• Sanzioni normative: La non conformità può comportare sanzioni finanziarie significative.
• Danno reputazionale: Le violazioni dei dati possono influire sulla credibilità istituzionale e sulle opportunità di finanziamento.