Sicurezza

Direttiva NIS2, comprenderla per sapere come applicarla



Indirizzo copiato

Un importante passo in avanti nell’ambito della sicurezza informatica in Europa. Ecco un’analisi approfondita per le aziende, punti chiave e prospettive future

Pubblicato il 7 mag 2024

Pietro Cotrupi

IT System Administrator Assitech/Orbyta Tech

Daniela Cutaia

CEO Orbyta Tax & Legal



NIS 2

La Direttiva NIS2 (Network and Information Systems Directive 2) rappresenta un importante passo in avanti nell’ambito della sicurezza informatica in Europa. Vediamo in dettaglio cosa sia la NIS2 e quali siano i suoi principali elementi, focalizzandosi sui settori critici, i requisiti di sicurezza e la gestione dei rischi per le aziende.

In particolare, è fondamentale andare oltre la conformità, creando una vera e propria cultura di sicurezza informatica coinvolgendo attivamente le parti interessate. Le conclusioni offrono una sintesi dei punti chiave e prospettive future sull’evoluzione della sicurezza informatica con l’implementazione della NIS2.

L’evoluzione della sicurezza informatica con la NIS2

Adottata per la prima volta nel 2016 per migliorare la capacità degli Stati membri dell’UE di affrontare le minacce e garantire un livello elevato di sicurezza delle reti e dei sistemi informativi, la NIS2 è la versione aggiornata e riveduta di questa direttiva. L’obiettivo è quello di rafforzare ulteriormente la cybersecurity delle aziende aziende e affrontare le nuove sfide emergenti nel panorama digitale.

Dal punto di vista della sicurezza informatica, una delle principali caratteristiche della NIS2 è l’allargamento del suo campo di applicazione. Oltre agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (DSP) già inclusi nella NIS originaria, introduce infatti nuove categorie di entità soggette alla direttiva. Un’espansione che riflette la crescente importanza di proteggere una vasta gamma di servizi digitali e di garantire la resilienza di settori critici.

Inoltre, la NIS2 prevede l’introduzione di nuovi requisiti e standard per assicurare una migliore gestione dei rischi informatici. Gli Stati membri sono tenuti a istituire Autorità nazionali competenti (NCA) responsabili di garantire l’applicazione di misure adeguate a prevenire e gestire le minacce alla sicurezza. Un ulteriore elemento chiave per implementare la sicurezza informatica all’interno dell’Unione Europea.

Perché creare una cultura di sicurezza

Creare e promuovere una solida cultura di sicurezza aziendale è essenziale per proteggere l’organizzazione da una vasta gamma di minacce informatiche sempre più sofisticate e per garantire la sicurezza dei dati sensibili. Questo tipo di cultura non riguarda solo l’implementazione di soluzioni tecnologiche avanzate, ma coinvolge anche un cambio culturale e comportamentale all’interno dell’azienda. Ma perché è fondamentale averne una?

NIS2, la protezione dei dati sensibili

La protezione dei dati è al centro della cultura di sicurezza aziendale. I dati sensibili, come le informazioni personali dei clienti, le transazioni finanziarie e le proprietà intellettuali devono essere protetti per evitare gravi conseguenze. Una cultura di sicurezza garantisce che tutti i dipendenti siano consapevoli dei rischi legati alla gestione dei dati e come trattarli in modo sicuro.

Continuità operativa

Una cultura di sicurezza implica la preparazione per affrontare e mitigare gli effetti di incidenti informatici, attacchi malware e altre minacce. Le aziende devono essere in grado di reagire e recuperare tempestivamente da tali eventi, evitando interruzioni prolungate delle attività che potrebbero avere gravi ripercussioni finanziarie e sulla reputazione. D’altro canto, un impegno visibile per la sicurezza informatica dimostra agli stakeholder esterni l’affidabilità dell’azienda e la sua responsabilità nella gestione dei dati.

Riduzione dei rischi

Un ambiente aziendale consapevole della sicurezza è in grado di identificare e ridurre i rischi in modo proattivo. I dipendenti formati sulla cybersecurity sono più in grado di riconoscere le potenziali minacce, come phishing o attacchi di ingegneria sociale, e di agire di conseguenza.

Anche l’adottare buone pratiche, come l’uso di chiavi d’accesso complesse o l’autenticazione a 2 fattori (2FA), l’aggiornamento regolare dei sistemi e l’accesso sicuro alle password aziendali (così come suggerito dal Garante Privacy) risulta fondamentale.

Una cultura di sicurezza aziendale rappresenta quindi un investimento necessario per affrontare le sfide sempre più complesse nel panorama della cybersecurity.

Definizione di NIS2, elementi, novità introdotte e obiettivi principali

La Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni, meglio conosciuta come NIS2 (acronimo di Network and Information Systems), rappresenta un’importante novità in materia di sicurezza delle reti e delle informazioni in risposta agli eventi di cybersecurity.

Approvata il 17 gennaio 2023, dovrà essere recepita dagli Stati membri dell’UE entro il 17 ottobre 2024. Modifica il Regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e la Direttiva (UE) 2018/1972, che istituisce il codice europeo delle comunicazioni elettroniche, e abroga altresì la Direttiva (UE) 2016/1148, (meglio conosciuta come NIS o NIS1), che è stata la prima direttiva in materia di sicurezza delle reti e delle informazioni nell’Unione Europea finalizzata a individuare gli strumenti per migliorare la sicurezza delle reti e dei sistemi informativi in Europa e a mitigare le minacce ai sistemi informatici e di rete, imponendo obblighi a determinati settori e operatori considerati di importanza critica per l’infrastruttura digitale e la fornitura di servizi.

Quali aziende sono obbligate a rispettare la nuova normativa

La Direttiva NIS2, supera la categorizzazione operata dalla norma precedente e amplia la platea dei soggetti obbligati, distinguendo, all’art. 3, due nuove categorie di soggetti:

  • I soggetti c.d. “essenziali”, tra i quali sono annoverati gli operatori del settore energetico, sanitario, spaziale, bancario, dei trasporti, delle infrastrutture digitali e finanziarie, delle acque, della sanità, nonché i soggetti della pubblica amministrazione.
  • e i soggetti c.d. “importanti”, tra i quali rientrano gli operatori di servizi postali, di gestione dei rifiuti, del settore chimico, del settore agroalimentare, dei produttori di dispositivi medici, di computer e apparecchiature elettriche.

Il criterio principale per determinare quali sono i soggetti obbligati che rientrano nell’ambito di applicazione della NIS2 è quello dimensionale. La normativa si applica ai soggetti pubblici o privati che sono considerati medie imprese ai sensi dell’art. 2, par. 1 dell’allegato alla Raccomandazione 2003/361/CE, ovverosia a quei soggetti che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni di euro.

L’obbligo di adeguarsi alla normativa sussiste in ogni caso (dunque a prescindere dal criterio dimensionale) quando i servizi sono resi da:

  • fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
  • Trust service provider (TSP);
  • Fornitori di servizi di sistemi di nomi di dominio o DNS (Domain Name System)
  • soggetti che rappresentano l’unico fornitore in uno Stato membro di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
  • soggetti il cui servizio, laddove interessati da incidente (o attacco) informatico, sarebbe suscettibile di avere un impatto significativo sulla sicurezza, l’incolumità e la salute pubblica, o un impatto transfrontaliero;
  • pubbliche amministrazioni;
  • soggetti identificati come “critici” ai sensi della direttiva (UE) 2022/2557.

Un ruolo importante sarà svolto anche dai singoli Stati Membri, i quali dovranno definire – entro il 17 aprile 2025 – un elenco di soggetti essenziali e importanti.

NIS 2

Cosa fare per adeguarsi alla Direttiva NIS2

Misure di gestione del rischio

In tema di misure di sicurezza, la Direttiva NIS2 richiama il principio di accountability, prevedendo che siano gli stessi soggetti essenziali e importanti a individuare e adottare le misure tecniche, operative e organizzative ritenute più adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Non solo. La gestione della cybersecurity diventa una responsabilità diretta degli organi di gestione dei soggetti essenziali e importanti, i quali sono tenuti ad approvare le misure di gestione dei rischi, sovraintendere la loro applicazione e partecipare – includendo anche i propri dipendenti e collaboratori – a corsi di formazione in materia.

L’art. 21 della Direttiva elenca, infine, gli elementi “minimi” che le misure di gestione del rischio devono includere:

  1. procedure per l’analisi dei rischi e la sicurezza dei sistemi informatici;
  2. procedure per la gestione degli incidenti;
  3. procedure finalizzate a garantire la continuità operativa dei servizi erogati;
  4. politiche di gestione della sicurezza della catena di approvvigionamento (che prevedano la protezione rispetto a vulnerabilità che interessano fornitori o fornitori di servizi);
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete;
  6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi;
  7. pratiche di igiene informatica formazione dei soggetti interessati;
  8. politiche e procedure relative all’uso della crittografia e della cifratura;
  9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  10. utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua.

I requisiti tecnici e metodologici di tali misure verranno individuati all’interno di specifici atti di esecuzione che la Commissione Europea entro il 17 ottobre 2024.

Obblighi di segnalazione

La NIS2 prevede un rafforzamento degli obblighi di segnalazione e notifica di incidenti significativi alle autorità competenti e al CSIRT – che in Italia è istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN).

I soggetti interessati dovranno notificare:

  • senza indebito ritardo, e comunque entro 24 ore da quando siano venuti a conoscenza dell’incidente un preallarme;
  • entro 72 ore dalla conoscenza dell’incidente, una valutazione dell’incidente che ne esamini la gravità e l’impatto.
  • se opportuno, i soggetti interessati notificano, senza indebito ritardo, ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.

Sanzioni

In caso di violazioni delle disposizioni è delineato un perimetro sanzionatorio ben definito.

I soggetti essenziali possono essere destinatari di sanzioni pecuniarie amministrative fino a un massimo di 10 milioni di euro o 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. I soggetti importanti, invece, possono essere destinatari di sanzioni pecuniarie amministrative fino a un massimo di 7 milioni di euro o 1,4% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

Conclusioni e prospettive future

La protezione dei sistemi informatici è oggi una priorità di estrema importanza per le organizzazioni di tutti i settori. La rapida evoluzione delle minacce online richiede un approccio proattivo e collaborativo e la NIS2 si pone come uno strumento normativo rilevante per affrontare queste sfide e creare un ambiente digitale più sicuro e affidabile.

È fondamentale che le organizzazioni si impegnino attivamente nell’implementazione di una solida cultura di sicurezza informatica. Questo perché l’aumento della digitalizzazione e della connettività porterà alla creazione di attacchi informatici sempre più sofisticati e pervasivi. Pertanto, le aziende dovranno essere pronte a adattarsi e rinnovare costantemente le proprie strategie di cybersecurity. Ciò potrebbe includere l’uso di tecnologie emergenti come l’intelligenza artificiale e l’apprendimento automatico per rilevare e rispondere in tempo reale.

Un ottimo punto di partenza, ma il lavoro non finisce qui. È necessario un impegno continuo e collaborativo da parte di tutte le parti interessate per affrontare le sfide e proteggere efficacemente le reti e i sistemi informativi nel mondo digitale in continua trasformazione.

Articoli correlati

Articolo 1 di 4