Penetration Testing: norme, standard e impatti economici nell’era della Cyber Resilience

La Direttiva Network and Information Systems 2 (NIS2), formalmente adottata dal Parlamento Europeo e dal Consiglio Europeo il 28 novembre 2022, rappresenta una riforma radicale del panorama normativo della cybersecurity europea, con implicazioni profonde e strutturali per la pratica del penetration testing. Questo aggiornamento espansivo della precedente Direttiva NIS del 2016 configura un framework regolatorio significativamente più ambizioso, estendendo l’ambito di applicazione da settori selezionati ad una porzione molto più ampia dell’economia digitale europea.

Ampliamento del perimetro regolatorio

La direttiva NIS2 opera un’espansione paradigmatica dell’ambito soggettivo di applicazione, introducendo una classificazione binaria tra “entità essenziali” ed “entità importanti” che sostituisce il precedente concetto di “operatori di servizi essenziali”. Questa tassonomia rinnovata estende gli obblighi di cybersecurity a 18 settori strategici, inclusi:

• Energia (elettricità, petrolio, gas);
• Trasporti (aereo, ferroviario, marittimo, stradale);
• Bancario e infrastrutture del mercato finanziario;
• Sanità e laboratori di riferimento;
• Infrastrutture digitali (fornitori di cloud, data center, content delivery networks);
• Tecnologie dell’informazione e comunicazione (manifattura di dispositivi elettronici, computer, apparecchiature di comunicazione);
• Servizi pubblici (amministrazioni pubbliche centrali, regionali e locali);
• Spazio;
• Gestione delle acque reflue e di scarto;
• Produzione, trasformazione e distribuzione alimentare;
• Fabbricazione di dispositivi medici critici;
• Fabbricazione di prodotti farmaceutici;
• Servizi postali e di corriere;
• Gestione dei rifiuti.

Questa estensione settoriale è accompagnata da una soglia dimensionale che cattura non solo le grandi imprese ma anche le medie imprese operanti nei settori designati, configurando un ampliamento senza precedenti del perimetro regolatorio.

Requisiti specifici di security testing

L’articolo 21 della direttiva NIS2 introduce un quadro significativamente più rigoroso e dettagliato delle misure di gestione del rischio cibernetico rispetto alla precedente direttiva. In particolare, l’articolo 21(2)(d) prescrive esplicitamente che le entità regolate debbano implementare “politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity”, specificando ulteriormente la necessità di “pratiche di test regolari” come componente essenziale di tale valutazione.

Questa formulazione, apparentemente generica, acquisisce maggiore specificità nelle Linee Guida Tecniche pubblicate dall’ENISA (European Union Agency for Cybersecurity) nel luglio 2023, che esplicitano che tali “pratiche di test regolari” devono includere:

• Vulnerability scanning automatizzato con frequenza almeno trimestrale;
• Penetration testing condotto da terze parti indipendenti con cadenza almeno annuale;
• Red team exercises basati su threat intelligence per le entità essenziali classificate come “critical” secondo i criteri dell’articolo 2(4) della direttiva.

Particolarmente rilevante è l’approccio graduale che differenzia i requisiti in base alla criticità dell’entità, con le organizzazioni classificate come “entità essenziali critiche” soggette all’obbligo più stringente di implementare esercitazioni di red teaming avanzate, configurando un approccio risk-based alla verifica della sicurezza.

Standardizzazione metodologica

Un aspetto innovativo della direttiva NIS2 risiede nel mandato conferito alla Commissione Europea di adottare atti di implementazione che specifichino gli elementi tecnici e metodologici dei security assessment. L’articolo 22 autorizza la Commissione ad adottare atti di esecuzione che stabiliscano “le metodologie e i framework procedurali per la conduzione di security testing”, inclusi “requisiti armonizzati per l’implementazione di penetration testing e red team exercises”.

In risposta a questo mandato, l’ENISA ha pubblicato nel dicembre 2023 il “Framework for Coordinated Vulnerability Disclosure and Penetration Testing under NIS2”, che stabilisce:

• Una tassonomia standardizzata delle metodologie di penetration testing applicabili.
• Requisiti minimi di competenza e certificazione per i penetration tester.
• Linee guida per la definizione dello scope e dei limiti del test.
• Framework standard per la documentazione e il reporting dei risultati.
• Protocolli per la gestione degli incident durante i test.
• Metodologie per la valutazione dell’efficacia dei test condotti.

Questa standardizzazione metodologica rappresenta un tentativo senza precedenti di armonizzare le pratiche di penetration testing a livello europeo, riducendo l’eterogeneità interpretativa e facilitando la comparabilità dei risultati.

Il requisito di “Information Sharing” e il suo impatto sul Penetration Testing

Un elemento distintivo della direttiva NIS2 è l’enfasi sull’information sharing come componente essenziale dell’ecosistema di cybersecurity europeo. L’articolo 29 istituisce un framework di condivisione delle informazioni tra entità regolate, CSIRTs (Computer Security Incident Response Teams) nazionali e autorità competenti.

Questa disposizione ha implicazioni significative per la pratica del penetration testing, in quanto:

• I risultati aggregati e anonimizzati dei penetration test di particolare rilevanza devono essere condivisi con il CSIRT nazionale e le autorità competenti;
• Le vulnerabilità critiche identificate durante i penetration test, che potrebbero avere implicazioni sistemiche o cross-settoriali, sono soggette a un regime di mandatory disclosure;
• Le metodologie efficaci di testing e le “lessons learned” devono essere condivise in comunità settoriali specifiche (Information Sharing and Analysis Centers – ISACs).

Questa dimensione collaborativa rappresenta una transizione paradigmatica da un approccio al penetration testing orientato esclusivamente alla sicurezza della singola organizzazione verso un modello che riconosce la natura interconnessa delle infrastrutture digitali e la necessità di una resilienza sistemica.

Governance e supervisione

La direttiva NIS2 introduce un framework di governance rafforzato, con un ruolo significativamente ampliato per le autorità nazionali competenti. L’articolo 32 conferisce a tali autorità poteri ispettivi estesi, inclusa la facoltà di:

• Richiedere documentazione completa relativa ai penetration test condotti.
• Esaminare i risultati dei security testing e le azioni correttive implementate.
• Emettere istruzioni vincolanti per la conduzione di penetration test specifici.
• Imporre penetration testing condotto da auditor qualificati in caso di non-compliance persistente.

Questo regime di supervisione rafforza significativamente l’accountability delle organizzazioni rispetto all’efficacia dei propri programmi di penetration testing, superando l’approccio prevalentemente auto-certificativo della direttiva originale.

Interazione con il Cyber Resilience Act e implicazioni per il Supply Chain Testing

Un aspetto di particolare rilevanza è l’interazione tra la direttiva NIS2 e la proposta di Cyber Resilience Act (CRA), il cui testo finale è stato approvato nell’aprile 2024. Questa intersezione normativa amplifica ulteriormente le implicazioni per il penetration testing, estendendo i requisiti di security testing alla supply chain digitale.

Il CRA richiede che i prodotti con elementi digitali immessi sul mercato europeo soddisfino requisiti essenziali di cybersecurity, inclusa la dimostrazione di testing adeguato. Le entità regolate da NIS2 che acquistano tali prodotti sono tenute a verificare la conformità dei fornitori, effettivamente estendendo l’ambito del penetration testing all’intera catena di fornitura.

Questo approccio olistico riflette il riconoscimento che la resilienza di un’organizzazione è intrinsecamente legata alla sicurezza dei componenti acquisiti da terze parti, configurando un paradigma di “supply chain penetration testing” che trascende i confini organizzativi tradizionali.

Regime sanzionatorio e implicazioni economiche

La direttiva NIS2 introduce un regime sanzionatorio significativamente più robusto rispetto al suo predecessore. L’articolo 34 stabilisce che le violazioni degli obblighi di gestione del rischio possono essere soggette a sanzioni amministrative fino a:

• 10.000.000 EUR o 2% del fatturato globale annuo per le entità essenziali.
• 7.000.000 EUR o 1.4% del fatturato globale annuo per le entità importanti.

Questa struttura sanzionatoria, ispirata al modello del GDPR, trasforma radicalmente l’economia del penetration testing, alterando il calcolo costi-benefici delle organizzazioni. L’investimento in programmi robusti di penetration testing non rappresenta più semplicemente una buona pratica di sicurezza ma diventa un imperativo economico, con il costo potenziale della non-compliance che supera di gran lunga l’investimento preventivo in security testing adeguato.

Tempistiche di implementazione e strategie di transizione

Gli Stati membri hanno tempo fino al 17 ottobre 2024 per trasporre la direttiva nel diritto nazionale, con le organizzazioni soggette che dovranno conformarsi entro 21 mesi dall’entrata in vigore delle normative nazionali di recepimento. Questo calendario di implementazione progressiva configura un periodo transitorio complesso, durante il quale le pratiche di penetration testing dovranno evolvere per allinearsi ai nuovi requisiti.

Le strategie di transizione efficaci includono:

• Gap analysis tra le pratiche attuali di penetration testing e i requisiti emergenti di NIS2;
• Sviluppo di programmi di penetration testing scalati in base alla classificazione come entità “essenziale” o “importante”;
• Implementazione di framework di documentazione conformi ai requisiti di reporting armonizzati;
• Integrazione dei penetration test nei processi più ampi di gestione del rischio informatico;
• Sviluppo di competenze interne e partnership con provider di penetration testing certificati secondo i nuovi standard.
• Internazionalizzazione dei team di testing, per supportare organizzazioni multinazionali soggette a requisiti in molteplici giurisdizioni europee.

Implicazioni per i Penetration Tester e il mercato dei servizi di Security Testing

La direttiva NIS2 avrà profonde implicazioni per il mercato europeo dei servizi di penetration testing, con una significativa ristrutturazione del settore attesa nei prossimi anni. Le tendenze emergenti includono:

• Consolidamento del mercato, con crescente domanda di provider di servizi certificati secondo standard riconosciuti a livello europeo;
• Specializzazione settoriale, con l’emergere di team di penetration testing focalizzati su domini specifici coperti dalla direttiva;
• Integrazione di tecnologie avanzate, inclusi approcci AI-driven, per soddisfare i requisiti di testing continuo e scalabile;
• Sviluppo di competenze cross-funzionali che integrano penetration testing tradizionale con valutazioni di compliance specifiche per NIS2;
• Internazionalizzazione dei team di testing, per supportare organizzazioni multinazionali soggette a requisiti in molteplici giurisdizioni europee.

Convergenza con altri framework regolatori

Un aspetto di particolare rilevanza è la crescente convergenza della direttiva NIS2 con altri framework regolatori europei, configurando un ecosistema normativo integrato in cui il penetration testing emerge come componente trasversale della compliance:

• DORA (Digital Operational Resilience Act): Entrato in vigore nel gennaio 2023 con applicazione completa da gennaio 2025, prescrive “threat-led penetration testing” (TLPT) per le entità finanziarie, con metodologia allineata ai requisiti NIS2 per le entità essenziali critiche;
• MDR/IVDR (Medical Device Regulation/In Vitro Diagnostic Regulation): Richiedono security testing per i dispositivi medici con componenti digitali, con approccio complementare ai requisiti NIS2 per il settore sanitario;
• eIDAS 2.0 (Electronic Identification, Authentication and Trust Services): La proposta di revisione include requisiti di security testing per i fornitori di servizi fiduciari qualificati, convergenti con i requisiti NIS2 per le infrastrutture digitali.

Questa convergenza riduce la frammentazione normativa e consente lo sviluppo di programmi di penetration testing integrati che soddisfano simultaneamente molteplici obblighi regolatori.

Digital Operational Resilience Act (DORA)

Oltre alla Direttiva NIS2, un ecosistema normativo articolato e interconnesso influenza profondamente la pratica del penetration testing nel contesto europeo. Queste disposizioni legislative, pur avendo finalità primarie diverse, convergono nel configurare un framework composito che modella metodologie, ambiti e limiti del security testing. La comprensione di questa architettura regolamentare è essenziale per una pratica del penetration testing compliant e strategicamente efficace.

Il Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), rappresenta una delle normative più impattanti sul penetration testing nel settore finanziario europeo. Entrato in vigore il 16 gennaio 2023, con piena applicabilità dal 17 gennaio 2025, DORA stabilisce un quadro comprensivo per la resilienza operativa digitale delle entità finanziarie.

Requisiti di Advanced Testing

L’articolo 26 di DORA introduce l’obbligo di condurre “advanced testing of ICT tools, systems and processes based on threat-led penetration testing” (TLPT) con frequenza almeno triennale (annuale per entità significative) per un ampio spettro di istituzioni finanziarie, inclusi:

• Istituti di credito;
• Sistemi di pagamento;
• Controparti centrali;
• Depositari centrali di titoli;
• Sedi di negoziazione;
• Gestori di fondi di investimento alternativi;
• Imprese di assicurazione e riassicurazione;
• Fornitori di servizi criteri (CSPs).

La specificità di DORA risiede nell’approccio “threat-led”, che richiede l’emulazione di tattiche, tecniche e procedure (TTP) attribuite a threat actor reali, trascendendo il penetration testing tradizionale per implementare scenari basati su threat intelligence attuale. Le “Guidelines on Threat-Led Penetration Testing” pubblicate dall’EBA, ESMA ed EIOPA nel febbraio 2024 specificano dettagliatamente:

• Requisiti di indipendenza e qualificazione per i tester;
• Metodologia TIBER-EU (Threat Intelligence-based Ethical Red Teaming) come framework di riferimento;
• Obbligo di coinvolgimento delle autorità di vigilanza nella definizione dello scope;
• Requisiti dettagliati di reporting alle autorità competenti;
• Protocolli di coordinamento cross-border per entità multinazionali.

Interazione con NIS2

La sovrapposizione tra DORA e NIS2 genera una complessità normativa significativa per le entità finanziarie, che devono navigare requisiti potenzialmente duplicativi. L’articolo 1(2)(c) di DORA stabilisce una priorità normativa (lex specialis), esentando le entità finanziarie dalle disposizioni di NIS2 qualora DORA preveda requisiti equivalenti o più stringenti. Tuttavia, l’articolo 46 di DORA stabilisce meccanismi di cooperazione tra autorità di vigilanza finanziaria e autorità competenti NIS2, prefigurando un’armonizzazione operativa dei requisiti di penetration testing.

EU Cybersecurity Act (CSA)

Il Regolamento (UE) 2019/881, noto come Cybersecurity Act, benché non imponga direttamente obblighi di penetration testing, esercita un’influenza strutturale attraverso l’introduzione del framework europeo di certificazione della cybersecurity.

Schemi di certificazione con impatto sul Penetration Testing

Il CSA conferisce all’ENISA il mandato di sviluppare schemi di certificazione europei, diversi dei quali includono requisiti specifici di penetration testing:

• EUCC (Common Criteria based European cybersecurity certification scheme): Pubblicato nel maggio 2023, prescrive penetration testing come requisito obbligatorio per la certificazione ai livelli “sostanziale” ed “elevato”, con metodologie di testing standardizzate ispirate al Common Evaluation Methodology (CEM);
• EUCS (European Cybersecurity Certification Scheme for Cloud Services): La cui adozione finale è prevista per il Q3 2024, include requisiti dettagliati di penetration testing per i servizi cloud, con particolare enfasi sulla validazione dell’isolamento multi-tenant e della resistenza agli attacchi privileged escalation;
• Schema 5G: In fase di sviluppo, includerà requisiti specifici per il testing di infrastrutture 5G, con focus su interfacce radio, network slicing e edge computing.

Questi schemi di certificazione, pur volontari in origine, acquisiscono carattere vincolante attraverso il meccanismo di “mandatory certification” previsto dall’articolo 56 del CSA, che autorizza la Commissione Europea a rendere obbligatoria la certificazione per specifiche categorie di prodotti o servizi.

General Data Protection Regulation (GDPR)

Il Regolamento (UE) 2016/679 (GDPR) esercita un’influenza pervasiva sulla pratica del penetration testing, configurando vincoli metodologici significativi e introducendo considerazioni di compliance che trascendono il mero aspetto tecnico.

Articolo 32: sicurezza del trattamento

L’articolo 32 del GDPR prescrive l’implementazione di “misure tecniche e organizzative adeguate” per garantire un livello di sicurezza proporzionato al rischio, inclusa “una procedura per testare, verificare e valutare regolarmente l’efficacia” di tali misure. Le linee guida dell’European Data Protection Board (EDPB) 01/2021 interpretano questa disposizione come un obbligo implicito di condurre test di sicurezza periodici, incluso penetration testing, per i titolari e responsabili del trattamento che gestiscono dati personali a rischio elevato.

Impatto pratico sul Penetration Testing

Le implicazioni del GDPR sulla conduzione di penetration test sono multidimensionali:

• Limitazione della finalità: I dati personali utilizzati durante i test devono essere limitati allo stretto necessario per valutare la sicurezza
• Minimizzazione dei dati: Preferenza per dati di test sintetici o pseudonimizzati ove possibile
• Segregazione degli ambienti: Requisito di isolamento degli ambienti di test dagli ambienti di produzione
• Responsabilità del trattamento: Necessità di definire chiaramente i ruoli (titolare/responsabile) nei contratti di penetration testing
• Notifica di violazione: Obblighi potenziali di notifica qualora il penetration testing riveli violazioni preesistenti o causi accidentalmente perdita di dati
• DPIA requisite: Necessità di condurre valutazioni d’impatto sulla protezione dei dati prima di penetration test su sistemi contenenti categorie particolari di dati

La sentenza della Corte di Giustizia dell’Unione Europea nella causa C-311/18 (Schrems II) aggiunge una dimensione ulteriore per i penetration test cross-border, richiedendo garanzie supplementari per i trasferimenti di dati verso penetration tester basati in paesi terzi senza decisione di adeguatezza.

eIDAS 2.0 (Electronic Identification, Authentication and Trust Services)

La proposta di Regolamento eIDAS 2.0 (COM/2021/281), la cui adozione finale è prevista per il 2024, introduce requisiti significativi di security testing nel dominio dell’identità digitale e dei servizi fiduciari.

Requisiti di Penetration Testing per wallet europei di identità digitale

L’articolo 6(c) della proposta prescrive che i wallet europei di identità digitale siano “periodicamente sottoposti a penetration testing da organismi indipendenti”, con metodologia dettagliata nell’Annexe I, che specifica:

• Frequenza almeno annuale dei test;
• Indipendenza dei penetration tester dagli sviluppatori;
• Scope comprensivo che includa componenti mobile, backend e interfacce API;
• Testing specifico per scenari di identity theft e account takeover;
• Reporting obbligatorio alle autorità di supervisione.

Questi requisiti, una volta adottati, avranno un impatto determinante sulla pratica del penetration testing nel settore dell’identità digitale, introducendo standard metodologici specifici per un dominio tecnologico in rapida espansione.

Cyber Resilience Act (CRA)

Il Regolamento sulla Cyber Resilience (Cyber Resilience Act), la cui proposta finale è stata approvata dal Parlamento Europeo nell’aprile 2024, rappresenta una delle normative più impattanti sul penetration testing dei prodotti connessi.

Security Testing come requisito di conformità

L’articolo 10 del CRA stabilisce “requisiti essenziali di cybersecurity” per i prodotti con elementi digitali, specificando nell’Annexe I, sezione 2(8) che i fabbricanti devono “testare i prodotti rispetto a vulnerabilità note ed emergenti utilizzando metodologie up-to-date, incluse tecniche di penetration testing e fuzzing”.

Questa disposizione trasforma radicalmente l’ecosistema del penetration testing, estendendolo dall’ambito tradizionale di testing dell’infrastruttura IT a requisito integrale del ciclo di sviluppo prodotto, con implicazioni significative per:

• Hardware e dispositivi IoT consumer;
• Componenti industriali connessi;
• Prodotti medicali con elementi digitali;
• Sistemi embedded e firmware;
• Software di automazione e controllo.

Security Testing nella Supply Chain

Particolarmente innovativo è l’approccio del CRA al testing della supply chain, con l’articolo 17 che richiede ai fabbricanti di implementare “processi adeguati di security testing” per verificare la sicurezza dei componenti e delle librerie di terze parti, effettivamente estendendo l’obbligo di penetration testing all’intera catena del valore.

AI Act

Il Regolamento sull’Intelligenza Artificiale (AI Act), adottato dal Parlamento Europeo il 13 marzo 2024, introduce requisiti specifici di security testing per i sistemi di intelligenza artificiale, con particolare enfasi sui sistemi classificati come “ad alto rischio”.

Requisiti di robustezza per sistemi AI ad alto rischio

L’articolo 15 dell’AI Act prescrive che i sistemi AI ad alto rischio siano “sufficientemente robusti contro tentativi di terzi di alterare il loro uso”, specificando nell’Annexe IV che la valutazione di conformità deve includere “penetration testing e adversarial testing specifici per identificare vulnerabilità contro attacchi di model inversion, data poisoning e prompt injection”.

Questa disposizione introduce una nuova dimensione specialistica del penetration testing, focalizzata specificamente sulle vulnerabilità peculiari dei sistemi AI, inclusi:

• Test di robustezza contro adversarial examples;
• Valutazione della resistenza alla membership inference;
• Testing della resistenza contro data poisoning;
• Validazione delle difese contro prompt injection e jailbreaking;
• Verifica dell’efficacia dei controlli contro model extraction;

Medical Device Regulation (MDR) e In Vitro Diagnostic Regulation (IVDR)

I Regolamenti (UE) 2017/745 (MDR) e 2017/746 (IVDR) hanno trasformato significativamente i requisiti di security testing per i dispositivi medici con componenti software.

Requisiti di cybersecurity per dispositivi medici

L’Annexe I, capitolo II, sezione 17.2 del MDR stabilisce che “per i dispositivi che incorporano software o costituiti da software medicale, il software deve essere sviluppato e fabbricato conformemente allo stato dell’arte, tenendo conto dei principi del ciclo di vita dello sviluppo, della gestione del rischio, compresa la sicurezza delle informazioni, della verifica e della convalida”.

La guidance MDCG 2019-16 “Guidance on Cybersecurity for Medical Devices” interpreta questa disposizione come un requisito implicito di security testing, specificando che “i fabbricanti dovrebbero condurre penetration testing per i dispositivi con funzionalità di rete o wireless” e dettagliando

• Metodologie di testing appropriate per diverse classi di rischio;
• Requisiti di qualifica per i penetration tester nel dominio medicale;
• Necessità di testing specifico per scenari clinici di rischio;
• Integrazione del penetration testing nel processo di gestione del rischio secondo ISO 14971;
• Requisiti di documentazione per l’inclusion nei fascicoli tecnici.

Direttiva sulla sicurezza delle reti e dell’informazione per le infrastrutture critiche (CER Directive)

La Direttiva (UE) 2022/2557 sulla resilienza dei soggetti critici (CER Directive), complementare a NIS2, introduce requisiti specifici di security assessment per le infrastrutture fisiche critiche con componenti cyber-fisiche.

Valutazione della Resilienza di sistemi cyber-fisici

L’articolo 12 della direttiva CER prescrive che i soggetti critici conducano “valutazioni dei rischi comprensive” che includano “la sicurezza fisica e cyber dei sistemi interconnessi”, interpretato dalle linee guida implementative dell’aprile 2024 come requisito di penetration testing specifico per i sistemi cyber-fisici, con particolare attenzione a:

• Testing delle interfacce tra componenti OT (Operational Technology) e IT
• Valutazione della sicurezza dei sistemi SCADA e di controllo industriale
• Penetration testing dei sistemi di physical access control
• Assessment della sicurezza delle architetture IoT industriali
• Testing specifico per scenari di attacco ibrido con componenti fisiche e cyber

Payment Services Directive 2 (PSD2) e PSD3

La Direttiva (UE) 2015/2366 (PSD2) ha introdotto requisiti specifici di security testing per i servizi di pagamento, ulteriormente rafforzati nella proposta di PSD3 attualmente in discussione.

Requisiti di Strong Customer Authentication (SCA)

Le Regulatory Technical Standards (RTS) per la Strong Customer Authentication (Regolamento Delegato 2018/389) prescrivono nell’articolo 3 che i prestatori di servizi di pagamento adottino “misure di mitigazione contro il rischio che gli elementi di autenticazione siano scoperti, divulgati, alterati o altrimenti compromessi”, specificato dalle linee guida EBA/GL/2017/17 come requisito di penetration testing regolare dei meccanismi di autenticazione.

La proposta di PSD3 rafforza ulteriormente questi requisiti, specificando nell’articolo 34(4)(d) che i prestatori di servizi di pagamento devono “condurre penetration testing indipendenti delle interfacce dedicate (API) almeno semestralmente”, con risultati da rendere disponibili alle autorità nazionali competenti.

Un ecosistema normativo integrato

Questo panorama regolatorio, caratterizzato da significative intersezioni e sovrapposizioni, configura un framework integrato che trasforma radicalmente la pratica del penetration testing nel contesto europeo. La navigazione efficace di questo ecosistema normativo richiede un approccio olistico che riconosca le interdipendenze tra i diversi regimi di compliance e sviluppi programmi di penetration testing strategicamente allineati con il mosaico regolamentare complessivo.

La convergenza progressiva verso metodologie standardizzate, requisiti di indipendenza dei tester e framework di reporting armonizzati prefigura un’evoluzione del penetration testing da attività prevalentemente tecnica a componente strutturale di un sistema integrato di governance del rischio cibernetico, con profonde implicazioni per la professionalizzazione del settore e per l’evoluzione delle best practice metodologiche.

Bibliografia

• Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS2). Gazzetta ufficiale dell’Unione europea, L 333, 27.12.2022, pp. 80-152.
• ENISA. (2023). “Framework for Coordinated Vulnerability Disclosure and Penetration Testing under NIS2.” European Union Agency for Cybersecurity.
• ENISA. (2023). “Guidelines on Security Measures under the NIS2 Directive.” European Union Agency for Cybersecurity.
• Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (Cyber Resilience Act), COM(2022) 454 final, 15.9.2022.
• European Parliament Research Service. (2023). “NIS2 Directive and the EU’s Cybersecurity Strategy: Stronger Resilience and Capabilities.”
• Markopoulou, D., Papakonstantinou, V., & de Hert, P. (2023). “The NIS2 Directive: A High-Level Enhancement of the Cybersecurity Legal Framework.” IEEE Security & Privacy, 21(1), 7-16.
• Ferrari, V. (2023). “Risk-based approaches in EU Digital Regulation: A Critical Analysis of the NIS2 Directive.” Computer Law & Security Review, 48, 105752.
• Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario (DORA). Gazzetta ufficiale dell’Unione europea, L 333, 27.12.2022, pp. 1-79.
• European Banking Authority, European Securities and Markets Authority & European Insurance and Occupational Pensions Authority. (2024). “Guidelines on Threat-Led Penetration Testing under DORA.”
• European Central Bank. (2023). “TIBER-EU Framework: How to Implement the European Framework for Threat Intelligence-based Ethical Red Teaming.”
• Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA e alla certificazione della cibersicurezza (Cybersecurity Act). Gazzetta ufficiale dell’Unione europea, L 151, 7.6.2019, pp. 15-69.
• European Union Agency for Cybersecurity. (2023). “EUCS – Cloud Services Scheme.”
• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR). Gazzetta ufficiale dell’Unione europea, L 119, 4.5.2016, pp. 1-88.
• European Data Protection Board. (2021). “Guidelines 01/2021 on Examples regarding Data Breach Notification.”
• Proposta di Regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea (eIDAS 2.0). COM(2021) 281 final, 3.6.2021.
• Regolamento (UE) 2024/858 del Parlamento europeo e del Consiglio, del 13 marzo 2024, che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act). Gazzetta ufficiale dell’Unione europea, L 90, 15.4.2024, pp. 1-185.
• Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici (MDR). Gazzetta ufficiale dell’Unione europea, L 117, 5.5.2017, pp. 1-175.
• Medical Device Coordination Group. (2019). “MDCG 2019-16: Guidance on Cybersecurity for Medical Devices.”
• Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla resilienza dei soggetti critici (CER Directive). Gazzetta ufficiale dell’Unione europea, L 333, 27.12.2022, pp. 164-202.
• Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno (PSD2). Gazzetta ufficiale dell’Unione europea, L 337, 23.12.2015, pp. 35-127.
• Alheit, K. (2023). “The Convergence of EU Financial and Cyber Regulation: A DORA Perspective.” European Business Law Review, 34(3), 423-452.
• Corte di Giustizia dell’Unione Europea. (2020). Sentenza nella causa C-311/18 (Schrems II) del 16 luglio 2020, relativa ai trasferimenti di dati personali verso paesi terzi. ECLI:EU:C:2020:559.