Direttiva NIS2: il nuovo standard per la cybersecurity in Europa

La Direttiva NIS2 (acronimo di Network Information Security, giunta alla sua seconda versione), è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrata in vigore il 16 gennaio 2023 con l’obiettivo di rafforzare la cybersecurity a livello europeo, stabilendo standard comuni per gli stati membri.

In questo articolo

L’obiettivo principale è aumentare la resilienza e la protezione delle reti e dei sistemi informativi in UE, garantendo uniformità ed efficacia nell’applicazione delle norme di sicurezza informatica, per assicurare maggior protezione alle infrastrutture critiche, alle aziende e ai cittadini.

La Direttiva NIS2 sostituisce la precedente Direttiva NIS emanata nel 2016, e introduce nuovi obblighi di sicurezza per le aziende operanti in settori considerati critici per il corretto svolgimento delle attività sociali ed economiche all’interno dell’Unione Europea, come ad esempio energia, trasporti, sanità e infrastrutture digitali.

In sostanza, una legge aggiornata sulla cybersecurity a livello europeo, un cambiamento necessario sia per adeguare il livello di sicurezza allo stato attuale del panorama cyber, radicalmente mutato negli ultimi anni, sia per migliorare la cooperazione tra le imprese dell’UE (imprese con sede in nazioni diverse ma operanti in UE potranno fare affidamento su standard di sicurezza informatica comuni).

Gli Stati Membri dell’Unione Europea, inclusa l’Italia, hanno tempo fino al 17 ottobre 2024 per recepirla all’interno della legislazione nazionale.
Si stima che almeno 20.000 aziende italiane dovranno adeguare le proprie strategie di sicurezza informatica alla direttiva NIS2, e conformarsi alle nuove disposizioni immediatamente dopo la trasposizione della direttiva in legge nazionale.

La direttiva NIS2 prevede scadenze specifiche con diverse fasi di implementazione:

• 17 ottobre 2024: prima scadenza per recepire la normativa da parte degli stati membri dell’UE.
• 17 gennaio 2025: prima revisione su metodologia e aspetti organizzativi per apportare eventuali migliorie alle politiche di sicurezza in essere per la Commissione Europea, ENISA, CSIRT, e per gli esperti di cybersecurity designati dagli Stati membri.
• 17 aprile 2025: entro questa data gli Stati membri dovranno aver stabilito un elenco dei soggetti essenziali e dei soggetti importanti, aggiornando tale elenco almeno ogni due anni.
• 17 gennaio 2026: entro questa data gli stati membri dovranno aver adottato una strategia per migliorare la resilienza delle entità critiche.
• 17 ottobre 2027: entro questa data (e successivamente ogni 36 mesi), la Commissione Europea riesamina l’efficacia della Direttiva NIS2.

Nella precedente direttiva NIS, gli Stati membri avevano il compito di determinare quali entità soddisfacessero i criteri per qualificarsi come operatori di servizi essenziali. La Direttiva NIS2 chiarisce e amplia la portata delle entità soggette alla regolamentazione.

A differenza della NIS, dove gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la Direttiva NIS2 definisce due macro-categorie di soggetti interessati, all’interno di diversi settori di applicazione.

I settori specificati nella direttiva e considerati essenziali sono:

• Energia: produzione e distribuzione di energia elettrica, gas e petrolio
• Trasporti: servizi di trasporto aereo, ferroviario, marittimo e stradale
• Finanza: istituti di credito, fornitori di servizi di pagamento e infrastrutture del mercato finanziario
• Sanità: fornitori di servizi sanitari, ospedali e altre strutture sanitarie
• Acqua potabile e acque reflue: fornitura e distribuzione di acqua potabile, gestione acque reflue
• Infrastrutture digitali: include i fornitori di servizi digitali, le reti di telecomunicazione e i data center
• Pubblica Amministrazione: si riferisce agli enti governativi e alle istituzioni pubbliche

I soggetti interessati dalla normativa definiti importanti sono invece:

• Servizi postali
• Gestione rifiuti
• Fabbricazione, produzione e distribuzione di sostanze chimiche
• Produzione, trasformazione e distribuzione alimenti
• Produzione di dispositivi importanti: medici e diagnostici, computer, prodotti di elettronica e ottica, apparecchiature elettriche, autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto
• Fornitori di servizi digitali (e-commerce, motori di ricerca, social network)

Vuoi capire come adeguarti alla nuova direttiva NIS2?

Le sanzioni in caso di non ottemperanza alla normativa potranno ammontare a:

• Per i soggetti essenziali: sanzioni fino a 10 milioni di euro, o corrispondenti al 2% del fatturato annuo.
• Per i soggetti importanti: sanzioni fino a 7 milioni di euro, o equivalenti al 1,4% del fatturato annuo.

Questa nuova norma si applica alle entità di dimensioni medio-grandi, con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, che operano all’interno dei settori rilevanti. Le imprese più piccole sono generalmente escluse, a meno che la loro attività non sia ritenuta di importanza critica per la società. Tali imprese devono soddisfare requisiti più severi, adottare misure di vigilanza più rigide e rispettare obblighi di comunicazione specifici.

Inoltre, la NIS2 non considera essenziale o importante solo la singola impresa o il fornitore di servizio, ma anche tutta la sua supply chain. Un’azienda informatica che fornisce apparecchiature o software a un cliente, che utilizza questi prodotti per l’erogazione di un servizio essenziale e importante, rientra automaticamente nell’ambito della legge. Questo significa che l’intera catena di fornitura deve conformarsi alle misure di sicurezza previste dalla direttiva, garantendo una protezione uniforme e robusta contro le minacce cyber.

Con la Direttiva NIS2, la governance della cybersecurity è in carico agli Stati Membri dell’Unione Europea. Ogni stato membro è responsabile dell’implementazione e della supervisione delle misure di sicurezza all’interno del proprio territorio. Ogni stato membro dovrà designare le autorità competenti e stabilire le modalità di contatto per la condivisione delle informazioni, per facilitare la cooperazione e il coordinamento a livello europeo.

Gli stati membri devono inoltre garantire il rispetto dei nuovi requisiti da parte delle aziende, offrendo supporto e risorse adeguate all’implementazione delle misure di sicurezza. La collaborazione tra pubblico e privato diventa quindi essenziale per costruire una resilienza cyber efficace, capace di rispondere alle sfide attuali e future.

La precedente Direttiva NIS era poco chiara su vari fronti: cosa segnalare, entro quanto tempo, chi fosse responsabile in caso di attacco informatico e quali fossero le sanzioni finali. La NIS2 ha integrato queste informazioni, imponendo obblighi diretti agli organi di gestione aziendale riguardo l’attuazione e la supervisione della direttiva per raggiungere la conformità.

I vertici aziendali devono garantire che le misure di sicurezza siano implementate correttamente e supervisionate costantemente. La mancata conformità potrebbe portare a sanzioni severe.
I singoli individui ritenuti responsabili di non aver rispettato gli standard di cybersecurity imposti dalla Direttiva NIS2, potrebbero essere temporaneamente interdetti dalle loro funzioni manageriali, sia nella loro azienda sia in altre simili. Gli interessati saranno soggetti all’interdizione fino a quando non adotteranno le misure necessarie per rimediare alle carenze, e saranno in grado di ottenere la piena conformità alle prescrizioni dell’autorità competenti.

Le aziende sono tenute a segnalare minacce e incidenti informatici significativi agli organismi preposti o ai Computer Security Incident Response Teams (CSIRT). Le entità classificate come essenziali o importanti sono inoltre tenute a produrre e implementare un piano di risposta agli incidenti informatici, e devono riferire annualmente relativamente ai propri progressi in materia di sicurezza.

La Direttiva NIS2 introduce obblighi di notifica graduali per garantire una risposta tempestiva ed efficace agli incidenti di sicurezza. Una prima notifica deve essere inviata entro 24 ore dal momento in cui l’azienda viene a conoscenza di un incidente significativo.

Per “significativo” si intende un incidente che:

• Ha causato o è in grado di causare una grave ripercussione operativa sui servizi o perdite finanziarie per l’azienda interessata
• Si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli

Questa modifica rappresenta un cambiamento importante rispetto all’attuale obbligo di notifica previsto dalla direttiva NIS, specificando che la notifica deve essere effettuata senza indebito ritardo.

Dopo la notifica iniziale, le aziende potrebbero essere obbligate a fornire notifiche intermedie entro un mese dalla scoperta dell’incidente e notifiche finali dopo un mese dalla gestione dell’incidente.

La direttiva NIS2 promuove una stretta collaborazione tra il settore pubblico e quello privato con l’obiettivo di migliorare la resilienza delle infrastrutture critiche. Un approccio collaborativo che si traduce in:

• Condivisione di informazioni: la direttiva incoraggia la condivisione di informazioni sulle minacce e sugli incident tra aziende private e autorità pubbliche. Uno scambio di informazioni fondamentale per sviluppare una maggior comprensione delle minacce e per poter rispondere in modo coordinato e tempestivo.
• Maggior supporto e accesso alle risorse: gli Stati Membri sono tenuti a fornire risorse adeguate alle imprese per l’implementazione delle misure di sicurezza. Formazione, accesso a strumenti avanzati di cybersecurity e supporto tecnico.

Con la NIS2 alle porte, CISO, IT Manager e reparti IT aziendali devono prepararsi a proteggere i sistemi informatici delle loro aziende in modo da garantire la conformità alla direttiva.
Gli Stati Membri dell’UE sono responsabili di assicurare che le entità essenziali e importanti adottino misure tecniche, operative e organizzative adeguate per gestire i rischi legati ai sistemi informatici utilizzati nelle loro attività e le aziende devono farsi trovare pronte. Ma cosa significa realmente essere in regola con la NIS2?

Una delle strategie per conformarsi alla NIS2 è adottare un approccio multirischio che protegga i sistemi IT e il loro ambiente dagli attacchi. Le misure da implementare devono essere più complete possibili e coprire vari aspetti di sicurezza informatica, come ad esempio:

1. Valutazione dei rischi e della sicurezza dei sistemi informatici: è fondamentale effettuare risk assessment che identifichino e valutino le minacce, adottando misure preventive per mitigarle.
2. Disaster Recovery Plan: le aziende devono implementare piani di disaster recovery con procedure chiare e testate per rispondere agli incidenti informatici, minimizzando il loro impatto.
3. Business Continuity Plan: è fondamentale non solo disporre di procedure chiare di backup e di ripristino in caso di emergenza, ma anche di strategie di crisis management per garantire la business continuity.
4. Sicurezza della supply chain: le aziende devono valutare e gestire i rischi associati ai loro fornitori di beni e servizi, assicurando che anche loro rispettino standard di sicurezza elevati.
5. Policy di sicurezza per acquisto, sviluppo e manutenzione dei sistemi IT: devono essere implementate misure di sicurezza per garantire che i sistemi siano sicuri durante tutto il loro ciclo di vita, inclusa la gestione e la divulgazione delle vulnerabilità.
6. Valutazione dell’efficacia delle misure di cybersecurity: le strategie e le procedure di sicurezza informatica devono essere continuamente valutate per garantire la loro efficacia nella gestione dei rischi.
7. Igiene informatica di base e formazione continua in materia di cybersecurity: buone pratiche di igiene informatica e formazione continua per il personale, sono essenziali per mantenere un livello di sicurezza elevato.
8. Utilizzo della crittografia: implementare politiche e procedure corrette per l’uso della crittografia per proteggere i dati sensibili.
9. Sicurezza nella gestione accessi: devono essere adottate misure per controllare gli accessi e gestire gli account, fornendo l’accesso ai dati critici solo al personale autorizzato.
10. MFA e canali di comunicazioni protetti: l’utilizzo di soluzioni di autenticazione a più fattori, comunicazioni vocali, video e testuali protette, oltre all’implementazione di sistemi di comunicazione di emergenza, sono fondamentali per garantire la sicurezza delle comunicazioni interne.

Nella prima fase verso l’ottenimento dei requisiti per la conformità, è consigliabile effettuare un risk assessment per identificare e valutare i potenziali rischi per la sicurezza dei sistemi informativi. tramite analisi periodiche.
Il risk assessment non è solo un esercizio tecnico, ma ha anche una valenza strategica fondamentale per le aziende. Questo processo permette infatti di fare previsioni sul rischio, stimando per ogni pericolo identificato nel contesto aziendale, la probabilità che si verifichi realmente.
Lo storico è particolarmente utile in questa fase, poiché consente di ricostruire le eventuali crisi affrontate dall’azienda. Analizzando quali pericoli si sono concretizzati in passato e in che misura, è possibile ottenere una visione più chiara dei rischi futuri. È inoltre importante schedulare risk assessment periodici per monitorare costantemente le vulnerabilità, ad esempio dopo modifiche importanti all’infrastruttura o alle policy aziendali.

Un altro aspetto fondamentale del risk assessment è la valutazione degli impatti “potenziali”. Questo processo fornisce dati dettagliati sugli effetti che il concretizzarsi di un rischio identificato potrebbe avere sull’azienda.
Gli impatti vengono valutati su una scala che va dal meno grave al più impattante, fornendo una chiara indicazione delle ripercussioni per l’azienda.
In un’ottica strategica, il risk assessment è anche utile per stabilire i limiti entro cui correre rischi in maniera controllata, consentendo all’azienda di raggiungere gli obiettivi prefissati grazie ad un balance tra rischio e opportunità di crescita. Definire chiaramente i limiti di un rischio accettabile aiuta a prendere decisioni più informate e a conservare la resilienza aziendale.

I primi step operativi per la valutazione dei rischi:

• Classificare i rischi: i rischi devono essere classificati in base alla loro gravità e alla probabilità che si verifichino, mettendo in ordine di priorità le azioni di mitigazione.
• Effettuare verifiche tecniche: utilizzare tecnologie avanzate per proteggere le reti e i sistemi informativi, come firewall, sistemi di rilevamento delle intrusioni (IDS) e software antivirus.
• Controlli a livello organizzativo: sviluppare policy e procedure di sicurezza che definiscano chiaramente i ruoli e le responsabilità all’interno dell’azienda.
• Formazione e consapevolezza: formare il personale sui rischi legati alla cybersecurity e sulle best practice per prevenire gli incident. Una buona cultura informatica è considerata indispensabile per ridurre il rischio di attacchi phishing e per arginare le manovre di social engineering.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Una mail al mese sui temi più caldi della cybersecurity. Join us!

Compila il form per iscriverti alle nostre Cybernews