La Direttiva NIS2, evoluzione della precedente direttiva NIS (Directive on the security of Network and Information Systems) introdotta nel 2016, segna un importante avanzamento nella strategia di sicurezza cyber dell'Unione Europea.
L'accelerazione della trasformazione digitale e delle minacce avvenuta negli ultimi anni, hanno portato alla luce una certa inadeguatezza dell’approccio precedente, conducendo l’Unione a riconoscere la necessità di un aggiornamento dell’impianto regolatorio che ne superasse i limiti.
Vediamo come.
Origine e sviluppo della direttiva NIS2
La direttiva originale NIS rappresentava il primo tentativo serio dell'UE di stabilire un quadro normativo uniforme per la sicurezza cibernetica. Tuttavia, con l'evoluzione rapida del settore digitale, è diventato evidente che la NIS non era sufficientemente equipaggiata per affrontare le sfide emergenti.
Reso ufficiale con la pubblicazione sulla Gazzetta Ufficiale dell'Unione Europea il 27 dicembre 2022 e attivato il 16 gennaio 2023, il nuovo regolamento introduce rigidi requisiti di cybersicurezza per una vasta gamma di entità operative in ambiti considerati fondamentali per il tessuto sociale ed economico europeo. Prenderà il posto della precedente Direttiva NIS, che sarà revocata a partire dal 18 ottobre 2024.
Gli Stati membri dell'UE hanno tempo fino al 17 ottobre 2024 per recepire la NIS2 nella loro legislazione nazionale. Questo periodo di transizione è cruciale per le entità affinché si adeguino ai nuovi requisiti, valutando e rafforzando le proprie pratiche di sicurezza in conformità con la direttiva. La NIS2 è stata quindi proposta per colmare le lacune della direttiva precedente, estendendo la portata della legislazione a un numero maggiore di settori e stabilendo requisiti più severi per la gestione dei rischi e la segnalazione degli incidenti.
In effetti, una delle modifiche più significative introdotte dalla NIS2 riguarda l'ampliamento dei settori considerati critici: si supera la precedente distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), introducendo le nuove categorie di Soggetti Essenziali e Soggetti Importanti, includendo tra gli altri settori quali: l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, la sanità, l’acqua potabile, le acque reflue, l’infrastruttura digitale, la gestione dei servizi ICT, le amministrazioni pubbliche e lo spazio.
Questa espansione riflette la crescente dipendenza della società dalle tecnologie digitali e l'importanza di proteggere l'infrastruttura critica da potenziali minacce.
La classificazione delle entità
La NIS2 introduce una nuova classificazione per le entità operative nei settori identificati, suddividendole in "entità essenziali" e "entità importanti" sulla base di criteri quali la dimensione e il fatturato annuo. Questa distinzione mira a garantire che le misure di sicurezza siano proporzionate alla scala e all'impatto potenziale delle entità coinvolte.
Così, tutte le grandi aziende operanti nei settori specificati rientrano automaticamente nell'ambito di applicazione della NIS2. Parliamo dunque di imprese con oltre 250 dipendenti o un fatturato superiore ai 50 milioni di euro, così come le imprese di medie dimensioni, con un numero di dipendenti tra i 50 e i 250 o con un fatturato o un bilancio annuale che si colloca nella fascia tra i 10 e i 50 milioni di euro. Per quanto riguarda le Pubbliche Amministrazioni, i criteri di inclusione sono differenti e offrono agli Stati Membri una maggiore flessibilità nella fase di implementazione. La direttiva prevede, inoltre, l'inclusione di specifiche categorie di entità, incluse alcune piccole imprese, definite con maggior dettaglio nel testo della Direttiva stessa.
Requisiti e sanzioni
La Direttiva NIS2 introduce una serie di obblighi significativi per le entità operative nei settori critici, con l'obiettivo di rafforzare la sicurezza cibernetica a livello dell'Unione Europea. Questi obblighi possono essere suddivisi in diverse categorie chiave, ognuna delle quali mira a garantire un approccio olistico e robusto alla gestione dei rischi cibernetici.
Gestione del rischio
Le entità interessate dalla normativa sono tenute ad adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi che minacciano la sicurezza dei sistemi di rete e di informazione. Questo include l'obbligo di proteggere i sistemi critici e di implementare procedure regolari per la valutazione e la gestione dei rischi. Specificamente, le misure dovrebbero coprire:
- L'analisi del rischio e la sicurezza dei sistemi informativi;
- La gestione degli incidenti;
- La continuità operativa, inclusa la gestione dei backup e la gestione delle crisi;
- La sicurezza della catena di fornitura;
- La sicurezza nell'acquisizione, sviluppo e manutenzione di reti e sistemi informativi;
- La valutazione dell'efficacia delle misure di gestione del rischio cibernetico.
Dovere di notifica
Le entità interessate devono notificare qualsiasi incidente di sicurezza cibernetica all'autorità nazionale competente entro 24 ore dal suo verificarsi. Questo obbligo mira da una parte a garantire una risposta tempestiva agli incidenti, dall’altra afacilitare una collaborazione efficace tra le entità e le autorità regolatorie.
Supervisione e sanzioni
La NIS2 richiede agli Stati membri un monitoraggio più rigoroso del rispetto delle regole. Le sanzioni per la non conformità saranno significativamente più elevate rispetto a quelle previste dalla direttiva precedente. La loro entità dipende dall’appartenenza dell’azienda alla categoria dei "settori di alta criticità" o degli "altri settori critici". Per le aziende della prima categoria possono essere imposte multe fino a €10.000.000 o al 2% del fatturato totale internazionale. Per la seconda categoria, le multe possono arrivare fino a €7.000.000 o all'1,4% del fatturato totale internazionale. Questo aspetto sottolinea l'importanza di adempiere ai requisiti stabiliti e incentiva le entità a mantenere elevati standard di sicurezza.
Responsabilità manageriale
La Direttiva NIS2 attribuisce alla direzione aziendale la responsabilità diretta di garantire una protezione adeguata contro le minacce cibernetiche. La gestione senior può essere ritenuta responsabile in caso di mancata gestione adeguata di tali rischi.
Ulteriori obblighi
La NIS2 impone anche ulteriori obblighi, come l'adozione di pratiche di “igiene” di base, la formazione, l'uso della crittografia e-se applicabile- dell'encryption, la sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset. Inoltre, è richiesto l'utilizzo dell'autenticazione multi-fattore o dell'autenticazione continua, nonché l’adozione sistemi di comunicazione sicuri all'interno dell’organizzazione.
L'obiettivo di questi obblighi è garantire, per le reti e i sistemi informativi, un livello di sicurezza adeguato al rischio esistente, tenendo conto dello stato della conoscenza edegli standard europei e internazionali. Quando si valuta la proporzionalità di queste misure, si deve tenere conto dell'esposizione dell'entità ai rischi, delle sue dimensioni e della probabilità che si verifichino incidenti e della loro gravità, comprese le conseguenze sociali ed economiche.
Come prepararsi alla NIS2
Il processo di adeguamento alla nuova normativa richiede una preparazione accurata e sistematica per soddisfarne i requisiti.
Il primo passo consiste nel determinare se l'azienda rientri nell'ambito di applicazione della Direttiva NIS2, ossia se opera nei settori critici soggetti a requisiti di cybersicurezza. Se l'azienda era già coperta dalla direttiva precedente (NIS), è consigliabile effettuare un'analisi delle lacune per identificare gli eventuali deficit.
Su un punto conviene prestare attenzione: anche le aziende non direttamente interessate possono essere impattate qualora fossero fornitori di società appartenenti ai settori critici.
Una volta accertata la copertura da NIS2, l'azienda dovrebbe mappare i propri processi aziendali legati alla sicurezza delle informazioni. L'assessment dell'impatto aziendale su scala organizzativa può evidenziare i processi critici e la loro dipendenza dalle reti e dai sistemi informativi. Questo permette di valutare il rischio associato a ciascun processo e identificare dove il rischio di incidenti gravi sia maggiore. La valutazione del rischio serve a prioritizzare la cybersicurezza per i processi chiave.
Quando vengono identificate delle vulnerabilità, è essenziale implementare misure di sicurezza concrete: la certificazione ISO 27001 può essere un ottimo modo per garantire il rispetto dei requisiti NIS2, data la sua specifica menzione nella direttiva.
Non è necessario affrontare tutte le aree immediatamente, ma è fondamentale avere un piano per rendere sicuri i processi e i sistemi aziendali, monitorandoli sistematicamente per affrontare qualsiasi minaccia emergente.
Soprattutto, una preparazione tempestiva è cruciale. Ottenere il supporto della direzione, l'approvazione degli stakeholder e le risorse necessarie richiede tempo. È importante anticipare i ritardi e impegnarsi in una pianificazione rigorosa con scadenze precise.
Un ulteriore punto da non trascurare riguarda l’analisi della propria supply chain IT: è fondamentale valutare i fornitori IT, soprattutto quelli critici per la continuità operativa, per identificare vulnerabilità contrattuali, operative o tecniche.
Infine, sviluppare una cultura aziendale orientata alla cybersecurity e un elevato livello di consapevolezza sulla sicurezza delle informazioni tra i dipendenti è essenziale. Tutti dovrebbero essere consapevoli dei loro ruoli e responsabilità all'interno dell'ecosistema di sicurezza delle informazioni.
