Approfondimento sulla Direttiva NIS 2

La Direttiva (UE) 2022/2555 del 14 dicembre 2022 modifica il Regolamento (UE) 910/2014 e la Direttiva (UE) 2018/1972, ed abroga la Direttiva (UE) 2016/1148. Da questi passaggi, il risultato atteso dall’entrata in vigore della Direttiva NIS 2, nell’ottobre 2024, è la protezione dei servizi essenziali e delle infrastrutture critiche in tutti gli Stati membri dell’UE.

Bignami della Direttiva NIS 2

Ricapitoliamo le informazioni principali circa i cambiamenti introdotti dalla Direttiva NIS 2 rispetto alla sua prima versione:

• Aggiunge all’ambito di applicazione le PMI in settori selezionati, e lascia agli Stati membri il compito di identificare le entità di più piccole dimensioni caratterizzate da rischio elevato. Per scoprire se la tua organizzazione ricade in una delle categorie soggette alla Direttiva NIS 2, leggi l’articolo precedente.
• Richiede alle singole aziende di gestire i rischi di cybersecurity all’interno della supply chain.
• Rafforza la collaborazione fra aziende e organi istituzionali (ENISA, CSIRT, ACN in Italia) raccogliendo un database delle vulnerabilità, gestito da ENISA, per supportare la gestione delle crisi informatiche su larga scala.

In merito a quest’ultimo punto, quando si tratta di segnalazione degli incidenti, dobbiamo trovare il giusto equilibrio fra tempestività (per evitare la potenziale diffusione degli attacchi) e precisione, affinché le segnalazioni più approfondite possano essere di insegnamento per il futuro.

Le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente; in più, la notifica ufficiale deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.

 

Date, sanzioni e riflessioni sullo scopo della Direttiva NIS 2

Approfondiamo adesso alcune questioni pratiche per la conformità alla Direttiva NIS 2 in vigore da ottobre 2024.

In merito alle date:

• Entro il 17 ottobre 2024 gli Stati membri devono aver recepito la Direttiva NIS 2.
• Il 17 gennaio 2025, per la Commissione Europea, ENISA, CSIRT, e per gli esperti di cybersecurity designati dagli Stati membri, è fissata la prima revisione su metodologia e aspetti organizzativi per apportare eventuali migliorie alle politiche di sicurezza in essere.
• Entro il 17 aprile 2025 gli Stati membri devono aver stabilito un elenco dei soggetti essenziali e dei soggetti importanti, aggiornando tale elenco almeno ogni due anni.
• Entro il 17 ottobre 2027 (e successivamente ogni 36 mesi), la Commissione Europea riesamina l’efficacia della Direttiva NIS 2.

 

A proposito di sanzioni sappiamo che:

• La non conformità dei soggetti essenziali è soggetta a sanzioni amministrative fino a 10.000.000 di euro, o corrispondenti al 2% del fatturato annuo se superiore.
• Per i soggetti importanti sono previste sanzioni fino a 7.000.000 di euro, o equivalenti al 1,4% del fatturato annuo se superiore.

 

Nel comprendere lo scopo della Direttiva NIS 2 è importante tenere presente che le contromisure richieste ai soggetti essenziali e importanti variano in base alla probabilità che si verifichino incidenti cyber, e quale impatto sociale ed economico questi avrebbero.

Per capire come gestire il rischio informatico attraverso misure conformi all’Art. 21 comma 2 della Direttiva NIS 2, ci viene incontro la norma internazionale IEC 62443-2-1. Ad esempio, in Italia è proprio il Framework Nazionale per la Cyber Security e la Data Protection a fare riferimento alla IEC 62443 come uno dei possibili standard applicativi.

 

Direttiva NIS 2 ed esempi per i settori soggetti

Abbiamo detto che, attraverso un approccio basato sul rischio, la Direttiva vuole garantire la resilienza dei servizi essenziali e delle infrastrutture digitali mantenendo l’integrità e la riservatezza delle informazioni sensibili.

Ma per quanto questo offra numerosi vantaggi, l’attuazione della NIS 2 può porre anche delle sfide alle organizzazioni. Sicuramente una delle principali è legata alla complessità dei requisiti di conformità, che possono variare a seconda delle dimensioni, del settore e delle caratteristiche delle organizzazioni.

Anche i costi e le competenze necessarie per una corretta gestione della cybersecurity potrebbero rappresentare un ostacolo, e ciò potrebbe essere evidente in particolare per le PMI. Ricordiamo tuttavia che è proprio la mancanza di protezioni a rendere le aziende più vulnerabili agli attacchi cyber, provocando costi di ripristino che superano di gran lunga quelli per la prevenzione.

 

Apriamo una parentesi su alcuni settori e sul perché la NIS 2 li considera critici:

 

• Fornitori di servizi cloud

I fornitori di servizi cloud devono affrontare sfide uniche in termini di sicurezza informatica, tra cui la violazione dei dati e gli accessi non autorizzati alle informazioni sensibili. Per questo la Direttiva NIS 2 impone l’obbligo di migliorare la loro resilienza di tali servizi.

• Settore sanitario

Il settore sanitario archivia ed elabora grandi quantità di informazioni sensibili e riservate, ed è questo che rende questo settore un obiettivo primario per minacce e attacchi informatici. Viene automatico che le violazioni della sicurezza informatica nel settore sanitario possono avere gravi conseguenze, fra cui la compromissione dei dati dei pazienti, l’interruzione dei servizi medici e danni alla reputazione del Paese.

• Settore energetico

Il settore energetico è fondamentale per il funzionamento della società e dell’economia; ed ecco che attraverso misure di sicurezza adeguate, valutazioni periodiche del rischio, e collaborazione con le parti interessate, le aziende interessate possono salvaguardare la continuità della fornitura energetica.

• Sistemi di controllo industriale

Il ruolo fondamentale nella gestione e nel controllo delle infrastrutture critiche e dei processi industriali fa sì che la Direttiva NIS 2 imponga requisiti e obblighi di conformità specifici alle organizzazioni che utilizzano sistemi di controllo industriale, al fine di garantirne la sicurezza e l’affidabilità.

• Dispositivi IoT

Autenticazione debole, protocolli di comunicazione non sicuri, e mancanza di aggiornamenti del firmware, sono i principali rischi insiti nei dispositivi IoT; di conseguenza sono ciò da cui partire per innalzare il livello di cybersecurity in conformità alla Direttiva NIS 2.

 

Direttiva NIS 2, Governance e Formazione

Una governance efficace è essenziale per stabilire ruoli, responsabilità e processi chiari per la gestione dei rischi di sicurezza informatica all’interno delle organizzazioni.

La Direttiva NIS 2 incoraggia quindi l’adozione di solidi quadri per garantire responsabilità, trasparenza e conformità agli standard. Questo implica la definizione di politiche, procedure e controlli di cybersecurity in linea con gli obiettivi organizzativi e con i requisiti normativi.

La Direttiva NIS 2 raccomanda inoltre alle aziende di formare i dipendenti in modo che comprendano i loro ruoli e le loro responsabilità nella protezione dalle minacce informatiche.

Un programma di formazione efficace copre aspetti quali la consapevolezza del phishing, la sicurezza delle password, e le procedure di segnalazione degli incidenti. L’effetto desiderato è che i dipendenti si sentano partecipanti attivi nell’attuazione delle pratiche di cybersecurity, con la piena facoltà di mitigare il rischio di errore umano o di negligenza.

 

Conclusioni sugli effetti previsti dalla Direttiva NIS 2

Nel complesso, la NIS 2 rappresenta un significativo passo avanti nel rafforzamento della governance in tutta l’UE, soprattutto perché la Direttiva si fa promotrice della collaborazione fra gli Stati membri, ed incoraggia meccanismi di risposta agli incidenti coordinati.

Niente è più vero del fatto che una misurazione efficace del livello di cybersecurity consenta alle organizzazioni di monitorare KPI legati, ad esempio, ai tassi di risoluzione delle vulnerabilità, o ai tassi di completamento della formazione, contribuendo in questo modo a un futuro digitale più sicuro per tutti.

 

Per attivarti da subito, e proteggere le infrastrutture dagli attacchi cyber, richiedi una consulenza.

 

---

Torna all'elenco degli articoli