Lo scorso 18 ottobre 2024 è entrata ufficialmente in vigore in Italia la Direttiva NIS2. Dopo mesi di teoria, è arrivato il momento di agire. Quali sono le azioni da intraprendere? Quali sono gli obblighi imposti? Come migliorare la propria Cyber Resilience? Rispondiamo a queste domande ripercorrendo insieme tutto quello che bisogna sapere sulla NIS2.
Direttiva NIS2: un pilastro per la cybersecurity europea
La Direttiva NIS2 (Network and Information Systems Directive 2) è l'aggiornamento della Direttiva sulla sicurezza delle reti e dei sistemi informativi, mirata a rafforzare la cyber resilience delle infrastrutture critiche in tutta l’UE per garantire un livello comune elevato di cybersicurezza e migliorare il funzionamento del mercato interno.
Da NIS a NIS2: perché una revisione?
La Direttiva NIS del 2016, inizialmente focalizzata su settori specifici come energia e sanità, si evolve con la NIS2 in una normativa a più ampio raggio, introducendo una serie di novità importanti rispetto alla normativa precedente:
- Ambito di applicazione più ampio: la NIS2 estende l'ambito di applicazione a un numero maggiore di settori, tra cui i fornitori di servizi digitali e le organizzazioni che producono prodotti con funzionalità digitali.
- Obblighi più stringenti: la NIS2 introduce obblighi più dettagliati e specifici per le imprese, come la gestione dei rischi, la resilienza dei sistemi, la comunicazione degli incidenti e la cooperazione con le autorità competenti.
- Maggiore cooperazione tra gli Stati membri: la NIS2 prevede un meccanismo di coordinamento più efficace tra gli Stati membri, al fine di condividere le informazioni sulle minacce e le migliori pratiche.
L'obiettivo strategico è rafforzare la sicurezza lungo l'intera catena del valore, garantendo una protezione più capillare. Questa estensione normativa non si limita alle grandi aziende, ma abbraccia anche le PMI riconoscendone il ruolo fondamentale nell'infrastruttura critica.
NIS2: l’importanza della Supply Chain Security
Essere resilienti e avere un forte postura di sicurezza non riguarda solo le grandi aziende ma tutta la loro filiera produttiva e di fornitura.
Un singolo fornitore con vulnerabilità potrebbe compromettere l'intera sicurezza di un'organizzazione diventando un punto di accesso per attacchi che possono propagarsi a cascata lungo l'intera filiera produttiva, mettendo a repentaglio un'ampia fetta del tessuto economico europeo e italiano.
Per questo, valutare attentamente i fornitori, monitorare le loro pratiche di sicurezza e stabilire contratti che includano clausole specifiche sulla cybersecurity è diventato un imperativo per garantire la conformità alla NIS2 e proteggere i propri asset digitali.
Direttiva NIS2: quali sono gli step per la compliance?
Possiamo individuare tre step fondamentali per la compliance aziendale:
1. Implementare misure di sicurezza adeguate
È fondamentale adottare un approccio proattivo per proteggere i sistemi e i dati aziendali. Ciò significa implementare misure di sicurezza adeguate che vadano oltre la mera conformità normativa. Le aziende dovrebbero valutare attentamente i rischi a cui sono esposte e adottare tecnologie e processi che garantiscano la sicurezza dei propri sistemi e dati. Questo potrebbe includere l'implementazione di controlli di accesso, la crittografia dei dati sensibili, la gestione delle vulnerabilità e la formazione del personale sulla sicurezza informatica.
2. Conoscere gli obblighi
Per garantire la conformità alla direttiva NIS2, le organizzazioni devono studiare in modo approfondito i requisiti normativi e valutare come essi si applicano al proprio contesto aziendale. Questo coinvolge la comprensione delle responsabilità e degli obblighi specifici previsti dalla normativa, nonché l'identificazione dei punti deboli e la definizione di piani d'azione per garantire la conformità continua nel lungo periodo. È importante che le aziende mantengano una visione chiara dei propri obblighi normativi e si impegnino attivamente nel monitoraggio e nell'adeguamento alle nuove disposizioni normative.
3. Collaborare con l'autorità nazionale competente
Lavorare a stretto contatto con l'autorità nazionale competente è essenziale per garantire una corretta applicazione della Direttiva NIS2. Questa collaborazione dovrebbe essere basata su una comunicazione trasparente e continua, in modo da rispondere tempestivamente a eventuali richieste e facilitare lo scambio di informazioni e il coordinamento delle attività di compliance, garantendo un ambiente di sicurezza informatica efficace e resiliente.
Come sapere se la tua azienda è coinvolta?
Stabilire con certezza se la tua azienda ricada nell'ambito di applicazione della NIS2 richiede un'attenta analisi delle proprie attività e del settore di appartenenza. La direttiva identifica specifici settori (energia, trasporti, salute, etc.) e soglie dimensionali (numero di dipendenti, fatturato) che determinano l'obbligo di conformità.
Un'analisi approfondita, con l'ausilio di esperti legali o consulenti specializzati, è fondamentale per determinare con precisione se la tua organizzazione è soggetta ai requisiti della NIS2.
I rischi e le sanzioni
La Direttiva NIS2 si applica a un ampio spettro di aziende e organizzazioni, suddivise in due categorie: essenziali e importanti. Le aziende essenziali offrono servizi cruciali per la società e l'economia, mentre le aziende importanti, pur non fornendo servizi essenziali, sono rilevanti per il contesto economico e sociale.
- Per le aziende essenziali, le sanzioni in caso di non conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo precedente.
- Per le aziende importanti le sanzioni possono raggiungere i 7 milioni di euro o un massimo di almeno l’1,4% del fatturato annuo globale.
Indipendentemente dal settore, è prevista una sanzione fino allo 0,1% del fatturato globale dell’anno precedente in caso di mancata registrazione al portale.
Deadline nazionali e attività annuali
Per garantire la conformità alla Direttiva NIS2, le imprese italiane devono rispettare una tabella di marcia ben precisa. Vediamola insieme.
- Tra il 1° gennaio e il 28 febbraio di ogni anno: i soggetti previsti si devono registrare o aggiornare la propria registrazione sulla piattaforma digitale dell’autorità nazionale competente ACN (Agenzia per la Cybersicurezza Nazionale).
- Entro il 31 marzo di ogni anno: l’autorità redige l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni ricevute attraverso la piattaforma.
- Tra il 1° aprile e il 15 aprile di ogni anno: attraverso la piattaforma, l’ACN comunica ai soggetti registrati l’inserimento, la permanenza o l’espulsione nell’elenco dei soggetti importanti o essenziali.
- Tra il 15 aprile e il 31 maggio di ogni anno: le aziende notificate devono aggiornare le informazioni su: IP pubblici, nomi di dominio, stati membri di distribuzione e responsabili della sicurezza.
- A partire dal 1° gennaio 2026: si dovrà adempire all’obbligo di notifica degli incidenti. Questo richiede come minimo di stabilire il processo di gestione degli incidenti.
- Entro il 1° ottobre 2026: le aziende coinvolte dovranno adempiere agli obblighi degli organi di amministrazione e direttivi: in materia di misure di sicurezza, raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.
Le aziende già soggette alla NIS saranno iscritte in automatico?
Le aziende designate come essenziali ai sensi della NIS1 non saranno automaticamente iscritte nell'ambito della NIS2.
La nuova direttiva prevede un processo di designazione aggiornato e specifico; pertanto, le organizzazioni precedentemente identificate come essenziali dovranno rivalutare la propria situazione e, se necessario, registrarsi nuovamente secondo le nuove procedure e criteri definiti dalla NIS2.
È fondamentale monitorare le indicazioni delle autorità nazionali competenti per comprendere le modalità di registrazione e le tempistiche previste.
Obbligo di notifica degli incidenti
La tempestiva notifica degli incidenti di sicurezza è un pilastro fondamentale della NIS2. Analizziamo gli obblighi di notifica delle entità essenziali e importanti previsti dalla direttiva, specificando le tempistiche e le informazioni da comunicare alle autorità competenti.
- Entro 24 ore – inviare una prenotifica, per comunicare che i soggetti sono venuti a conoscenza dell’incidente significativo, inoltre entro 24 ore si dovrà effettuare la comunicazione dell’incidente a ACN
- Entro 72 ore – inviare una notifica dell’avvenimento
- Un'eventuale relazione intermedia, se richiesta da CSIRT Italia dopo la notifica dell’avvenimento
- Entro un mese dalla trasmissione della notifica - una relazione finale.
Organigramma per la sicurezza informatica
La NIS2 non prescrive un organigramma specifico, ma richiede una chiara definizione di ruoli e responsabilità per la sicurezza informatica.
Un organigramma efficace dovrebbe includere un responsabile della sicurezza (CSO o figura equivalente) con ampia autorità e risorse, che supervisioni la strategia e la conformità. Sotto di lui, potrebbero essere presenti team specializzati in aree come la gestione delle vulnerabilità, la sicurezza delle applicazioni, la risposta agli incidenti (CSIRT), la gestione delle identità e degli accessi (IAM) e la formazione sulla sicurezza.
La struttura ottimale varia in base alle dimensioni e alla complessità dell'azienda, ma la priorità è garantire una chiara catena di comando, una definizione precisa dei compiti e una efficace collaborazione tra i team per una risposta rapida ed efficace alle minacce.
Cooperazione tra gli stati membri dell’UE
La crescente interconnessione globale rende le minacce cibernetiche un problema transnazionale che richiede una risposta coordinata. La cooperazione tra gli Stati membri UE è quindi fondamentale per una efficace gestione della sicurezza cibernetica.
A tal fine, la NIS2 promuove la collaborazione attraverso diverse iniziative:
- EU-CyCLONe, per la gestione coordinata degli incidenti e lo scambio di informazioni tra i CSIRT nazionali
- Una rete di CSIRT, per la condivisione di informazioni e l'assistenza reciproca; e report periodici, sia da parte della rete CSIRT (ogni 24 mesi) che da parte dell'ENISA (ogni due anni) sulla situazione della sicurezza UE.
- Inoltre, la direttiva prevede la possibilità per gli Stati membri di richiedere la certificazione di prodotti, servizi e processi ICT specifici alle Entità essenziali e importanti.
Strategie per elevare le misure di sicurezza aziendale
Concentriamoci ora sulle strategie chiave da adottare per elevare il livello di sicurezza aziendale, garantendo la conformità alla NIS2 e proteggendo efficacemente i dati e le infrastrutture critiche.
1. Disporre di sistemi di monitoraggio e risposta H24: è essenziale avere in atto un sistema di monitoraggio attivo 24 ore su 24 per individuare qualsiasi attività sospetta in tempo reale. Questo processo continuo non solo aiuta a rilevare potenziali minacce in modo tempestivo ma consente anche di rispondere prontamente per mitigare gli impatti negativi sulla sicurezza dei dati e dei sistemi.
2. Analizzare i rischi e politiche di sicurezza dei sistemi informativi: è fondamentale condurre un'analisi approfondita dei rischi e delle politiche di sicurezza dei sistemi informativi. Questo coinvolge l'esame dettagliato dei processi, delle tecnologie e dei potenziali rischi per identificare vulnerabilità e punti critici. Implementare una strategia di cybersecurity solida e mirata è cruciale per proteggere le risorse digitali dell'organizzazione da minacce interne ed esterne.
3. Gestire prontamente gli incidenti: avere un piano di risposta agli incidenti ben definito è cruciale per affrontare le minacce in modo rapido ed efficace. Questo piano dovrebbe essere proattivo, prevedendo non solo la risposta agli attacchi ma anche misure preventive e sistemi di rilevamento per individuare le minacce in fase iniziale. La capacità di prevenire, individuare e rispondere prontamente agli incidenti è fondamentale per limitare danni e ripristinare la sicurezza informatica.
4. Avere un piano di continuità e gestione delle crisi: definire procedure chiare e dettagliate per gestire situazioni di crisi e incidenti è fondamentale per garantire la continuità operativa dell'organizzazione. Un piano di continuità aziendale ben strutturato e testato consente di riprendere le attività nel minor tempo possibile dopo un evento critico, riducendo al minimo l'impatto negativo sull'azienda e sui suoi stakeholder.
CYBEROO a supporto della Direttiva NIS2
Per garantire la piena conformità alla Direttiva NIS2, offriamo un supporto completo attraverso otto attività principali, progettate per guidare le organizzazioni verso una solida postura di sicurezza informatica. Di seguito, elenchiamo le otto aree chiave del nostro intervento:
1. Analisi dei rischi e politiche di sicurezza dei sistemi informativi
2. Gestione degli incidenti (prevenzione, individuazione e risposta agli incidenti)
3. Continuità operativa e gestione delle crisi
4. Sicurezza della catena di approvvigionamento
5. Sicurezza della rete e dei sistemi, compresa la gestione e la divulgazione delle vulnerabilità
6. Politiche e procedure per valutare l’efficacia della gestione dei rischi
7. Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi
8. Comunicazione a fornitori e clienti quando l’incidente è in corso.
In conclusione, la NIS2 rappresenta una sfida significativa ma necessaria per garantire la sicurezza cibernetica in Europa. Non si è quasi mai pronti ad una normativa che sta per entrare in vigore. Entra in vigore proprio perché il sistema non è pronto. Se si autotutelasse, non servirebbero le direttive.
La NIS2, quindi, non è solo un obbligo normativo, ma stimola anche un cambiamento culturale verso una maggiore consapevolezza e responsabilità condivisa tra gli Stati membri e le organizzazioni coinvolte.
L'adozione di questa direttiva richiederà investimenti in risorse umane e tecnologiche con l’obiettivo di creare un cyberspazio resiliente e sicuro, capace di affrontare le minacce cibernetiche in continua evoluzione.
