La Direttiva NIS2 è l’acronimo di “Network & Information Security” (Sicurezza della rete e delle informazioni). L’obiettivo della Direttiva NIS2 è rafforzare il livello collettivo di cyber security degli Stati membri dell’UE, aumentando i requisiti di applicazione della cyber security per settori ritenuti essenziali o importanti. Entrata in vigore il 17 gennaio 2023, dovrà essere recepita dai singoli Stati entro nove mesi: il 17 ottobre 2024.
Cyber security, c’è il nuovo Regolamento UE: così aumenta il livello comune di sicurezza
Quali norme devono recepire gli Stati entro nove mesi
Si tratta di requisiti più rigorosi che comportano, per l’organizzazione oggetto della Direttiva NIS2, stabilire piani chiari su come gestire i rischi, controllare e sorvegliare le attività.
7 regole che dovresti seguire per risparmiare l’80% sul cloud: ecco quali sono!
È doveroso ricordare che la Direttiva NIS2 è un’estensione della Direttiva NIS originale del 2016, che mirava ad aumentare i livelli di cyber security in tutta l’UE. Le modifiche e i nuovi aspetti contemplati dalla Direttiva NIS2 pongono l’accento sul fattore preparazione.
Questa nuova Direttiva non distingue tra operatori di servizi essenziali e fornitori di servizi digitali, ma si concentra su tutti i soggetti essenziali e i soggetti importanti in base alle loro dimensioni, al loro impatto e al loro settore.
Pertanto, i seguenti requisiti sono i modi in cui la Direttiva NIS2 aiuterà le infrastrutture critiche di servizi essenziali e importanti a rimanere preparate e a combattere le minacce informatiche. E precisamente:
- Sviluppo e mantenimento di un registro europeo delle vulnerabilità. Il registro delle vulnerabilità registrerà e manterrà le vulnerabilità informatiche scoperte di recente in tutta Europa. Nel 2021 è stato commissionato e concluso uno studio per la “Co-ordinated Vulnerability Disclosure (CVD) and Vulnerability databases” che sosterrà la gestione delle vulnerabilità e la banca dati delle vulnerabilità per tutti gli Stati membri.
- CyCLONe o Cyber Crisis Liaison Organisation Network. Si tratta di una rete di cooperazione per gli Stati membri europei che si occupano della gestione delle crisi informatiche. Questa rete, insieme a un gruppo di cooperazione, faciliterà una forte collaborazione per lo scambio di informazioni e la consapevolezza situazionale. Fornirà inoltre collegamenti tra il livello tecnico – rete CSIRT (Computer Security Incident Response Team) dell’UE – e la rete politica dell’UE.
- Relazione annuale sullo stato della cybersecurity nell’UE. La relazione annuale sulla cybersecurity aiuterà gli Stati membri a rimanere aggiornati sulle loro prestazioni annuali in materia di cybersecurity, sulle aree di miglioramento e sulla situazione delle minacce informatiche.
- Documentazione di tutti i fornitori di servizi digitali transfrontalieri. Creazione e gestione di un report di tutte le entità che forniscono servizi transfrontalieri come cloud computing, servizi di data center, servizi dei Domain Name System (DNS), registri dei nomi dei Top-Level Domain (TLD), registrazioni di nomi di dominio e altro ancora.
- Consentire le revisioni inter pares per gli Stati membri per aiutare tutti i membri a mantenere aggiornate le loro strategie informatiche.
- Istituzione di un gruppo di intervento per la cyber security (CSIRT) in caso di incidente e di un’autorità competente per le reti e i sistemi informativi nazionali che cooperino tra tutti gli Stati membri.
Quali organizzazioni sono interessate dalla Direttiva NIS2?
La Direttiva NIS2 amplia notevolmente il numero e la tipologia di attori coinvolti: non più solo le aziende operanti nei settori altamente critici/essenziali individuati dalla Direttiva NIS1, ma anche soggetti parimenti qualificati come critici ma operanti in ambiti differenti, distinguendo tra:
Settori essenziali
- Settore energetico: elettrico, oil and gas, riscaldamento, idrogeno.
- Settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico.
- Trasporti: aereo, nautico, ferroviario e stradale.
- Acque e acque di scarico.
- Infrastrutture digitali.
- Settore spaziale.
- Pubblica amministrazione.
Settori importanti
- Settore postale e più in generale di spedizione.
- Gestione/Trattamento dei rifiuti.
- Settore chimico: produzione e distribuzione.
- Settore alimentare: approvvigionamento, inclusa anche la grande distribuzione.
- Industrie tecnologiche e ingegneristiche.
- Servizi digitali: social network e servizi di data center.
- Ricerca scientifica.
È doveroso evidenziare che sempre più organizzazioni vengono considerate essenziali o importanti, anche perché, in base alla nuova Direttiva NIS2 deve essere considerata l’intera catena di approvvigionamento.
Solo le organizzazioni di medie e grandi dimensioni rientrano nell’ambito di applicazione della Direttiva NIS2, e precisamente:
- Grandi organizzazioni, con più di 250 dipendenti
- Medie organizzazioni, con 50-250 dipendenti.
Sono escluse le imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano ritenute di importanza critica per la società e, in tal caso, dovranno soddisfare requisiti più severi, misure di vigilanza più severe, oltre a confrontarsi con le misure sanzionatorie e gli obblighi di comunicazione che saranno armonizzati tra gli Stati membri.
Quando entrerà in vigore NIS2?
La Direttiva è entrata approvata dal Parlamento europeo il 16 gennaio 2023 e gli Stati membri hanno tempo fino al 17 ottobre 2024, per recepire le sue misure nel diritto nazionale. Ciò comporta lo sviluppo di piani nazionali per la sicurezza e la formazione di team specializzati per implementare la direttiva.
Inoltre, la Direttiva NIS2 si integra con altre normative e linee guida europee in materia di protezione dei dati e privacy, tra cui in primo luogo GDPR (General Data Protection Regulation), ma anche il Regolamento DORA (Digital Operational Resilience Act), la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Ne consegue che le organizzazioni saranno giudicate, non solo in base al fatto che sono state colpite da un attacco informatico, ma anche in base alla natura della loro risposta e della preparazione all’attacco. Pertanto, è essenziale che le organizzazioni comprendano in cosa consiste la Direttiva NIS2, perché è stata sviluppata e come influisce su di esse.
Cyber security: gli scenari 2024, dove è cruciale garantire la cyber resilience
Quali requisiti vengono imposti dalla Direttiva NIS2 all’organizzazione?
La Direttiva NIS2 adotta un approccio risk-based ed aggiunge nuovi requisiti per 4 aree principali dell’organizzazione, al fine di aumentare la capacità dell’Europa di resistere alle minacce informatiche attuali e future. E, precisamente:
- Gestione. È necessario che il Top Management sia consapevole e comprenda i requisiti della Direttiva e gli sforzi di gestione del rischi, considerando la responsabilità diretta di identificare e affrontare i rischi informatici per conformarsi ai requisiti.
- Segnalazione alle autorità. Le organizzazioni devono disporre di processi stabiliti per garantire una corretta segnalazione alle autorità.
- Gestione del rischio. Le organizzazioni, per soddisfare i nuovi requisiti, devono implementare misure per ridurre al minimo i rischi e le conseguenze. Ciò include la gestione degli incidenti, il miglioramento della sicurezza della catena di approvvigionamento, la sicurezza della rete, il controllo degli accessi e la crittografia.
- Continuità aziendale. Le organizzazioni devono considerare come garantire la continuità aziendale in caso di gravi incidenti informatici. Ciò include, ad esempio, il ripristino del sistema, le procedure di emergenza e l’istituzione di una squadra di risposta alle crisi.
Da dove si deve partire
Una preparazione tempestiva è un elemento chiave nel percorso di un’organizzazione verso la conformità della nuova Direttiva NIS2. Ottenere il supporto del Top Management, il consenso delle parti interessate, il budget e le risorse necessarie richiederà tempo.
Pertanto, si tratta di intraprendere una pianificazione rigorosa con scadenze rigorose.
Vediamo di che si tratta.
- Indentificare i processi critici della organizzazione. Il punto di partenza nel percorso di conformità è identificare i servizi, i processi e le risorse critici dell’organizzazione che forniscono il servizio essenziale come definito dalla Direttiva NIS2. Ovvero, si tratta di svolgere una valutazione dell’impatto aziendale a livello di organizzazione per evidenziare i processi critici dell’organizzazione e la loro dipendenza dalla rete e dai sistemi informativi. Un elemento critico per l’esercizio di definizione dell’ambito è la definizione dei criteri di impatto aziendale che faranno rientrare un processo, un sito o una risorsa nell’ambito della Direttiva NIS2.
- Implementare un sistema di gestione dei rischi e della sicurezza delle informazioni. Le aziende che rientrano nell’ambito di applicazione della Direttiva NIS2 dovranno gestire i rischi legati alla sicurezza delle informazioni. Per raggiungere tale requisito è necessario implementare un sistema di gestione dei rischi e della sicurezza delle informazioni che mira a identificare, trattare e monitorare i rischi per la sicurezza delle informazioni dell’azienda, nonché a garantire che le responsabilità siano definite e che i processi chiave siano operativi.
Direttiva NIS 2, gli impatti sulle aziende: cosa fare per adeguarsi
Misure minime da implementare
Non tutti i requisiti della direttiva si applicano a tutte le aziende e organizzazioni. Il livello dei requisiti varia seconda delle dimensioni dell’azienda, della funzione sociale e di quanto sia esposta l’organizzazione. Ciò al fine di garantire che i requisiti rimangano proporzionati e che le imprese più piccole non siano colpite in modo sproporzionato e che i requisiti per le imprese più grandi riflettano il loro ruolo nella società.
La Direttiva NIS 2, come per la NIS1, stabilisce che tutte le organizzazioni che rientrano nell’ambito di applicazione devono adottare: “misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi [utilizzati] per le loro operazioni o per la fornitura dei loro servizi, e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi” (articolo 21, paragrafo 1).
Pertanto, le organizzazioni interessate, per prepararsi ad essere conformi alla Direttiva NIS2 – art. 21 – dovranno adottare le seguenti misure minime:
- Stabilire un solido quadro di governance della cyber security. Il primo passo per creare una strategia di cyber security completa è stabilire un solido quadro di governance. Ciò comporta l’identificazione e la documentazione dei ruoli e delle responsabilità delle principali parti interessate, tra cui il consiglio di amministrazione, il Top Management e il personale IT. È importante definire chiare linee di autorità e canali di comunicazione per garantire che tutte le parti interessate conoscano le proprie responsabilità e siano allineate con gli obiettivi generali di cyber security dell’organizzazione.
- Implementare una formazione regolare di sensibilizzazione dei dipendenti. I dipendenti sono spesso l’anello più debole delle difese di cyber security di un’organizzazione. Pertanto, educare tutti i dipendenti e creare una cultura della sicurezza può trasformarli nella difesa più forte attraverso una formazione regolare in termini di consapevolezza della cyber security, ultime minacce e migliori pratiche per salvaguardare le risorse digitali dell’organizzazione. La formazione dovrebbe comprendere, altresì, la gestione delle password, le truffe di phishing e l’importanza di segnalare immediatamente attività sospette.
- Stabilire un piano completo di risposta agli incidenti. È sempre possibile che si verifichi un attacco informatico, anche se sono state implementate solide difese di cyber security. Pertanto, è fondamentale avere un piano completo di risposta agli incidenti per consentire una rapida reazione a qualsiasi evento indesiderato. Ciò è particolarmente importante, considerando che la gestione delle minacce informatiche è un aspetto cruciale per la conformità alla Direttiva NIS2.
- Condurre valutazioni periodiche del rischio. Valutazioni regolari dei rischi sono fondamentali per identificare potenziali vulnerabilità nell’infrastruttura digitale. Queste valutazioni devono essere condotte regolarmente per identificare eventuali nuove minacce o punti deboli nelle difese di sicurezza e per valutare la sicurezza complessiva della catena di approvvigionamento. I risultati di queste valutazioni dovrebbero fornire, di fatto, informazioni sull’attuale strategia di cyber security e identificare le aree che richiedono risorse o attenzione aggiuntive.
- Stabilire la sicurezza della catena di approvvigionamento. Le organizzazioni, oltre a valutare regolarmente il rischio della catena di approvvigionamento, dovrebbero assicurarsi che anche i loro partner della catena di approvvigionamento rispettino quotidianamente i requisiti della Direttiva NIS2 per ridurre il rischio di attacchi informatici di terze parti. Ciò comporta l’implementazione di misure di sicurezza nella catena di approvvigionamento, quali: valutazioni e audit dei rischi dei fornitori, accordi contrattuali che specificano i requisiti di sicurezza, monitoraggio e comunicazione continui con i fornitori.
Le organizzazioni, garantendo che anche i fornitori rispettino i requisiti della Direttiva NIS2 aggiornati, possono ridurre il rischio complessivo e garantire la sicurezza della propria infrastruttura digitale.
- Aggiornare e applicare regolarmente patch all’infrastruttura e alle applicazioni. Uno dei modi più comuni con cui i criminali informatici ottengono l’accesso alle risorse digitali di un’organizzazione è attraverso vulnerabilità senza patch nell’infrastruttura e nelle applicazioni. Pertanto, è fondamentale aggiornare e applicare regolarmente patch all’infrastruttura digitale e alle applicazioni per garantire che tutte le vulnerabilità note vengano risolte.
- Utilizzare i giusti strumenti di identificazione delle minacce. È doveroso sottolineare che per soddisfare i requisiti della Direttiva NIS2, è necessario utilizzare gli strumenti corretti per identificare potenziali minacce all’infrastruttura digitale. Si suggerisce di adottare alcuni strumenti di ricerca delle minacce disponibili sul mercato – quali i sistemi di rilevamento delle intrusioni, piattaforme di intelligence sulle minacce e i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) – per rilevare e rispondere a potenziali minacce prima che causino danni.
- Implementare il monitoraggio delle minacce e svolgere attività di intelligence. Oltre all’utilizzo degli strumenti adeguati a identificare le minacce, è altrettanto cruciale monitorare costantemente i feed delle minacce per rimanere aggiornati sulle ultime minacce informatiche. I feed di threat intelligence rappresentano una preziosa fonte di informazioni, in tempo reale, fornendo dettagli su potenziali attacchi informatici, vulnerabilità e attività dannose. Di fatto, il monitoraggio attivo di questi feed può contribuire in modo proattivo alla prevenzione degli attacchi informatici e alla garanzia della sicurezza della tua infrastruttura digitale.
- Implementare una solida sicurezza della rete e degli endpoint. La sicurezza della rete e degli endpoint è una componente fondamentale di qualsiasi strategia di cyber security completa. Ciò comporta l’implementazione di firewall robusti, sistemi di rilevamento delle intrusioni e software antivirus per proteggersi dalle minacce esterne e interne e affrontare potenziali vettori di attacco. Inoltre, le misure di sicurezza degli endpoint – quali, ad esempio, la crittografia dei dati e i controlli degli accessi – possono ridurre significativamente il rischio di accesso non autorizzato ai dati sensibili.
- Condurre controlli di sicurezza regolari. Le organizzazioni devono condurre audit di sicurezza regolari per garantire che la strategia di cyber security sia efficace e allineata con gli obiettivi generali dell’organizzazione. Tali audit devono essere condotti da una terza parte indipendente e includere: una revisione completa de: il quadro di governance della cyber security , le valutazioni dei rischi, il piano di risposta agli incidenti e i controlli di sicurezza.
Segnalazione degli incidenti
L’articolo 23, paragrafo 1, della Direttiva NIS 2 impone ai soggetti essenziali e importanti di segnalare “incidenti significativi” al proprio CSIRT (Computer Security Incident Response Team.) o all’autorità competente “senza indebito ritardo”.
Un incidente «significativo» è definito come segue all’articolo 23, paragrafo 3:
- ha causato o è in grado di causare impatti operativi sui servizi o perdite finanziarie per il soggetto interessato [e/o]
- ha pregiudicato o può arrecare pregiudizio ad altre persone fisiche o giuridiche provocando danni materiali o immateriali considerevoli”.
Qualora l’incidente incidesse sulla capacità dell’entità di fornire i propri servizi, è necessario anche informare i destinatari di tali servizi “senza indebito ritardo”. Inoltre, qualora anche i destinatari dei servizi risultassero poter essere colpiti da una minaccia informatica significativa, l’entità deve informare i destinatari di tale minaccia e di eventuali misure di risposta che potrebbero adottare.
È doveroso sottolineare che gli obblighi di segnalazione degli incidenti, come descritti nella Direttiva NIS 2, sono rimasti sostanzialmente invariati rispetto alla prima direttiva NIS. La differenza principale è che la NIS2 è più concreta, definendo più chiaramente frasi come “significativo” e “senza indebito ritardo”.
Di seguito una tabella riassuntiva di cosa si deve fare a fronte di un incidente, informazioni da fornire e temini di scadenza.
Tipologia di rapporto/documentazione da predisporre | Informazioni da fornire | Scadenza |
(1) Allerta precoce |
| Entro 24 ore dall’acquisizione della conoscenza |
(2) Notifica dell’incidente | Aggiornare le informazioni al punto (1), se necessario. Inoltre, fornire:
| Entro 72 ore dall’acquisizione della conoscenza |
(3) Relazione intermedia | Aggiornamenti di stato di natura rilevante. | Su richiesta dell’autorità di regolamentazione |
(4) Rapporto finale (o rapporto sullo stato di avanzamento, se l’incidente è ancora in corso entro la scadenza) | Descrizione dettagliata dell’incidente, compresa la gravità e l’impatto.
| Entro un mese dalla presentazione ( 2) |
(5) Relazione finale (se (4) si tratta di una relazione sullo stato di avanzamento) | Vedi punto (4) | Entro un mese dalla gestione dell’incidente |
Cosa succede se non si rispetta la Direttiva NIS2?
Dopo l’entrata in vigore della Direttiva NIS2 nell’ottobre 2024, le organizzazioni che non si conformano a essa saranno soggette a sanzioni significative, a prescindere dalla loro classificazione come aziende essenziali o importanti. E precisamente:
- Organizzazioni essenziali. Società classificate come a rischio essenziale per multe fino a 10 milioni di euro o al 2% del loro fatturato annuo globale.
- Organizzazioni importanti. Società classificate come a rischio importante per multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Implicazioni legali della Direttiva NIS2
È doveroso evidenziare che esistono importanti conseguenze legali a fronte dell’incapacità di ottenere la conformità alla Direttiva NIS2. Ovvero, anche le persone fisiche che detengono posizioni dirigenziali nell’organizzazioni interessate dalla Direttiva NIS2 possono essere ritenute responsabili di qualsiasi incapacità di soddisfare i nuovi requisiti.
In altre parole, la nuova Direttiva può perseguire legalmente il Top Management se non aderisce alle nuove regole e che, inoltre, deve seguire corsi per migliorare la propria capacità di valutare i rischi per la cyber security e, al contempo, incoraggiare la propria organizzazione a offrire regolarmente corsi similari a tutti i dipendenti.
Conclusioni
L’introduzione della Direttiva NIS2 porterà sicuramente a cambiamenti significativi, ma l’obiettivo finale è garantire una maggiore sicurezza nel mondo digitale per tutte le aziende. Ne consegue che è essenziale che le organizzazioni si preparino adeguatamente per affrontare i crescenti rischi nel campo della cyber security.
È doveroso evidenziare che le imprese che hanno già implementato procedure di sicurezza adeguate non dovrebbero sentirsi scoraggiate dai principali adempimenti richiesti dalla Direttiva NIS2, considerando che la valutazione e la gestione dei rischi informatici dovrebbero già essere state affrontate attraverso la compliance al GDPR o l’adozione di standard ISO (i.e.: 27001, 31000, 22301). Pertanto, è possibile ereditare e adattare l’approccio esistente per soddisfare anche i requisiti della Direttiva NIS2.
Di fatto, la conformità alla Direttiva NIS2 per la gestione e prevenzione del rischio cyber implica la calibrata sintesi dell’implementazione dei principi di risk management, business continuity e cyber security. Ovvero, una mentalità preventiva di gestione e mitigazione dei rischi cyber, identificando contemporaneamente gli impatti potenziali che potrebbero colpire l’infrastruttura e le conseguenze sull’attività aziendale svolta, senza dimenticare di monitorare in maniera adeguata la propria supply chain, prevedendo verifiche costanti e puntuali su ciascuna terza parte coinvolta.
Concludendo, le organizzazioni oggetto della Direttiva NIS2 dovranno – se non lo hanno già fatto – iniziare il loro cammino verso la cyber resilience che parte dalla conoscenza di sé stesse per arrivare alla consapevolezza dei rischi cyber e dei punti di cedimento che possono pregiudicare il business.
Al contempo, esse devono comprendere l’importanza di diffondere una cultura della cyber security attraverso una solida governance per non farsi trovare impreparati in termini di compliance alla Direttiva NIS, che si caratterizza sempre più per un approccio risk-based e resilience-based.
Basta incidenti in università: scopri il tuo nuovo sistema di controllo accessi
@RIPRODUZIONE RISERVATA