La tua PMI fornisce servizi digitali a clienti soggetti alla Direttiva NIS2? Devi sapere che la sicurezza delle risorse umana è considerata un elemento di credibilità fondamentale dalla Direttiva NIS2. Le Linee Guida ENISA stabiliscono procedure formali per la gestione del personale lungo tutto il ciclo di vita, rendendo la tua gestione HR un indicatore di affidabilità.
Quest’ undicesimo appuntamento della nostra rubrica sulla guida tecnica ENISA si concentra sulla fase iniziale: l’assunzione e il background check. Dimostrare un approccio rigoroso al controllo del personale ti posiziona come un partner maturo e affidabile, capace di gestire il rischio umano in modo consapevole e documentato.
Per approfondire > Come affrontare la NIS2: l’intervista a Lavinia De Caro, PM di NIS2Lab
1. Sicurezza Risorse Umane e NIS2: assunzione e responsabilità
Prima che un dipendente (o fornitore) acceda ai tuoi sistemi, la tua PMI deve assicurarsi che comprenda e si impegni a rispettare le politiche di sicurezza.
- Definizione e Documentazione Formale: le responsabilità di Sicurezza delle Risorse Umane devono essere formalmente documentate e integrate nelle descrizioni delle mansioni e negli accordi contrattuali (anche per i fornitori, negli SLA). Devono essere chiare, concise e allineate al ruolo funzionale.
- Formazione e Riconoscimento: dfevi stabilire programmi di onboarding che includano la formazione sulla cybersecurity specifica per il ruolo. È fondamentale ottenere il riconoscimento formale e firmato (o digitale) degli obblighi di sicurezza da parte del personale.
- Cultura della Responsabilità: promuovi una cultura della responsabilità richiedendo l’applicazione delle politiche di sicurezza da parte di tutti, inclusi i membri degli organi di gestione.
2. Background Check NIS2: la verifica pre-impiego
Per i ruoli più critici e con accesso a risorse sensibili, ENISA richiede la verifica del background (vetting). Questa non è una pratica generica, ma un processo mirato richiesto.
- Criteri per la Verifica: devi stabilire criteri che definiscano quali ruoli richiedono la verifica dei precedenti. Questi ruoli sono tipicamente quelli con:
- accesso a informazioni sensibili;
- responsabilità finanziarie;
- responsabilità di approvvigionamento e gestione fornitori;
- accesso amministrativo o privilegiato.
- Tempistiche e conformità: la verifica deve essere effettuata prima che il personale inizi a esercitare tali ruoli. Devi assicurarti che i controlli (es. casellario giudiziale, referenze professionali) siano in linea con il GDPR e le leggi nazionali.
- Validazione delle competenze: è necessario convalidare le certificazioni pertinenti dichiarate dal candidato e utilizzare test pratici per valutare le sue conoscenze e competenze in materia di sicurezza.
3. L’Impatto sulla Supply Chain e il vantaggio commerciale
La tua capacità di eseguire un rigoroso Background Check è il tuo punto di forza nella supply chain. Le procedure HR sono considerate un indicatore diretto del rischio.
- Minimizzazione del rischio umano: documentando i controlli, dimostri di aver minimizzato il rischio di integrità e di aver selezionato personale qualificato, riducendo la probabilità di incidenti interni.
- Fornitori esterni: i requisiti si estendono ai tuoi fornitori diretti e ai prestatori di servizi. Devi assicurarti, tramite clausole contrattuali, che anche il loro personale sia stato sottoposto a un controllo analogo per i ruoli che interagiscono con i tuoi sistemi critici.
4. Evidenze documentali richieste per l’audit
Per superare l’audit del cliente in merito alla sicurezza delle risorse umane, la tua PMI deve avere a disposizione:
- descrizioni delle mansioni (Job Descriptions): documenti che integrino formalmente le responsabilità di sicurezza;
- moduli di riconoscimento firmati: prova che i dipendenti/fornitori hanno letto, compreso e accettato le politiche di sicurezza;
- registri delle verifiche: registrazioni delle verifiche del background completate e dei moduli di consenso firmati dai candidati;
- procedure di Vetting documentate: un’analisi formale che definisca quali ruoli richiedono l’autorizzazione di background, in linea con la classificazione dei tuoi asset critici.
NIS2Lab ti supporta nella creazione della documentazione necessaria per soddisfare i requisiti più stringenti della Direttiva NIS2Lab. Vuoi rimanere nella filiera delle aziende NIS2?
