Lo scorso 18 ottobre 2024 è entrata ufficialmente in vigore in Italia la Direttiva NIS2. Dopo mesi di teoria, è arrivato il momento di agire. Quali sono le azioni da intraprendere? Quali sono gli obblighi imposti? Come migliorare la propria Cyber Resilience? Rispondiamo a queste domande ripercorrendo insieme tutto quello che bisogna sapere sulla NIS2.
La Direttiva NIS2 (Network and Information Systems Directive 2) è l'aggiornamento della Direttiva sulla sicurezza delle reti e dei sistemi informativi, mirata a rafforzare la cyber resilience delle infrastrutture critiche in tutta l’UE per garantire un livello comune elevato di cybersicurezza e migliorare il funzionamento del mercato interno.
La Direttiva NIS del 2016, inizialmente focalizzata su settori specifici come energia e sanità, si evolve con la NIS2 in una normativa a più ampio raggio, introducendo una serie di novità importanti rispetto alla normativa precedente:
L'obiettivo strategico è rafforzare la sicurezza lungo l'intera catena del valore, garantendo una protezione più capillare. Questa estensione normativa non si limita alle grandi aziende, ma abbraccia anche le PMI riconoscendone il ruolo fondamentale nell'infrastruttura critica.
Essere resilienti e avere un forte postura di sicurezza non riguarda solo le grandi aziende ma tutta la loro filiera produttiva e di fornitura.
Un singolo fornitore con vulnerabilità potrebbe compromettere l'intera sicurezza di un'organizzazione diventando un punto di accesso per attacchi che possono propagarsi a cascata lungo l'intera filiera produttiva, mettendo a repentaglio un'ampia fetta del tessuto economico europeo e italiano.
Per questo, valutare attentamente i fornitori, monitorare le loro pratiche di sicurezza e stabilire contratti che includano clausole specifiche sulla cybersecurity è diventato un imperativo per garantire la conformità alla NIS2 e proteggere i propri asset digitali.
Possiamo individuare tre step fondamentali per la compliance aziendale:
1. Implementare misure di sicurezza adeguate
È fondamentale adottare un approccio proattivo per proteggere i sistemi e i dati aziendali. Ciò significa implementare misure di sicurezza adeguate che vadano oltre la mera conformità normativa. Le aziende dovrebbero valutare attentamente i rischi a cui sono esposte e adottare tecnologie e processi che garantiscano la sicurezza dei propri sistemi e dati. Questo potrebbe includere l'implementazione di controlli di accesso, la crittografia dei dati sensibili, la gestione delle vulnerabilità e la formazione del personale sulla sicurezza informatica.
2. Conoscere gli obblighi
Per garantire la conformità alla direttiva NIS2, le organizzazioni devono studiare in modo approfondito i requisiti normativi e valutare come essi si applicano al proprio contesto aziendale. Questo coinvolge la comprensione delle responsabilità e degli obblighi specifici previsti dalla normativa, nonché l'identificazione dei punti deboli e la definizione di piani d'azione per garantire la conformità continua nel lungo periodo. È importante che le aziende mantengano una visione chiara dei propri obblighi normativi e si impegnino attivamente nel monitoraggio e nell'adeguamento alle nuove disposizioni normative.
3. Collaborare con l'autorità nazionale competente
Lavorare a stretto contatto con l'autorità nazionale competente è essenziale per garantire una corretta applicazione della Direttiva NIS2. Questa collaborazione dovrebbe essere basata su una comunicazione trasparente e continua, in modo da rispondere tempestivamente a eventuali richieste e facilitare lo scambio di informazioni e il coordinamento delle attività di compliance, garantendo un ambiente di sicurezza informatica efficace e resiliente.
Stabilire con certezza se la tua azienda ricada nell'ambito di applicazione della NIS2 richiede un'attenta analisi delle proprie attività e del settore di appartenenza. La direttiva identifica specifici settori (energia, trasporti, salute, etc.) e soglie dimensionali (numero di dipendenti, fatturato) che determinano l'obbligo di conformità.
Un'analisi approfondita, con l'ausilio di esperti legali o consulenti specializzati, è fondamentale per determinare con precisione se la tua organizzazione è soggetta ai requisiti della NIS2.
La Direttiva NIS2 si applica a un ampio spettro di aziende e organizzazioni, suddivise in due categorie: essenziali e importanti. Le aziende essenziali offrono servizi cruciali per la società e l'economia, mentre le aziende importanti, pur non fornendo servizi essenziali, sono rilevanti per il contesto economico e sociale.
Indipendentemente dal settore, è prevista una sanzione fino allo 0,1% del fatturato globale dell’anno precedente in caso di mancata registrazione al portale.
Per garantire la conformità alla Direttiva NIS2, le imprese italiane devono rispettare una tabella di marcia ben precisa. Vediamola insieme.
Le aziende designate come essenziali ai sensi della NIS1 non saranno automaticamente iscritte nell'ambito della NIS2.
La nuova direttiva prevede un processo di designazione aggiornato e specifico; pertanto, le organizzazioni precedentemente identificate come essenziali dovranno rivalutare la propria situazione e, se necessario, registrarsi nuovamente secondo le nuove procedure e criteri definiti dalla NIS2.
È fondamentale monitorare le indicazioni delle autorità nazionali competenti per comprendere le modalità di registrazione e le tempistiche previste.
La tempestiva notifica degli incidenti di sicurezza è un pilastro fondamentale della NIS2. Analizziamo gli obblighi di notifica delle entità essenziali e importanti previsti dalla direttiva, specificando le tempistiche e le informazioni da comunicare alle autorità competenti.
La NIS2 non prescrive un organigramma specifico, ma richiede una chiara definizione di ruoli e responsabilità per la sicurezza informatica.
Un organigramma efficace dovrebbe includere un responsabile della sicurezza (CSO o figura equivalente) con ampia autorità e risorse, che supervisioni la strategia e la conformità. Sotto di lui, potrebbero essere presenti team specializzati in aree come la gestione delle vulnerabilità, la sicurezza delle applicazioni, la risposta agli incidenti (CSIRT), la gestione delle identità e degli accessi (IAM) e la formazione sulla sicurezza.
La struttura ottimale varia in base alle dimensioni e alla complessità dell'azienda, ma la priorità è garantire una chiara catena di comando, una definizione precisa dei compiti e una efficace collaborazione tra i team per una risposta rapida ed efficace alle minacce.
La crescente interconnessione globale rende le minacce cibernetiche un problema transnazionale che richiede una risposta coordinata. La cooperazione tra gli Stati membri UE è quindi fondamentale per una efficace gestione della sicurezza cibernetica.
A tal fine, la NIS2 promuove la collaborazione attraverso diverse iniziative:
Concentriamoci ora sulle strategie chiave da adottare per elevare il livello di sicurezza aziendale, garantendo la conformità alla NIS2 e proteggendo efficacemente i dati e le infrastrutture critiche.
1. Disporre di sistemi di monitoraggio e risposta H24: è essenziale avere in atto un sistema di monitoraggio attivo 24 ore su 24 per individuare qualsiasi attività sospetta in tempo reale. Questo processo continuo non solo aiuta a rilevare potenziali minacce in modo tempestivo ma consente anche di rispondere prontamente per mitigare gli impatti negativi sulla sicurezza dei dati e dei sistemi.
2. Analizzare i rischi e politiche di sicurezza dei sistemi informativi: è fondamentale condurre un'analisi approfondita dei rischi e delle politiche di sicurezza dei sistemi informativi. Questo coinvolge l'esame dettagliato dei processi, delle tecnologie e dei potenziali rischi per identificare vulnerabilità e punti critici. Implementare una strategia di cybersecurity solida e mirata è cruciale per proteggere le risorse digitali dell'organizzazione da minacce interne ed esterne.
3. Gestire prontamente gli incidenti: avere un piano di risposta agli incidenti ben definito è cruciale per affrontare le minacce in modo rapido ed efficace. Questo piano dovrebbe essere proattivo, prevedendo non solo la risposta agli attacchi ma anche misure preventive e sistemi di rilevamento per individuare le minacce in fase iniziale. La capacità di prevenire, individuare e rispondere prontamente agli incidenti è fondamentale per limitare danni e ripristinare la sicurezza informatica.
4. Avere un piano di continuità e gestione delle crisi: definire procedure chiare e dettagliate per gestire situazioni di crisi e incidenti è fondamentale per garantire la continuità operativa dell'organizzazione. Un piano di continuità aziendale ben strutturato e testato consente di riprendere le attività nel minor tempo possibile dopo un evento critico, riducendo al minimo l'impatto negativo sull'azienda e sui suoi stakeholder.
Per garantire la piena conformità alla Direttiva NIS2, offriamo un supporto completo attraverso otto attività principali, progettate per guidare le organizzazioni verso una solida postura di sicurezza informatica. Di seguito, elenchiamo le otto aree chiave del nostro intervento:
1. Analisi dei rischi e politiche di sicurezza dei sistemi informativi
2. Gestione degli incidenti (prevenzione, individuazione e risposta agli incidenti)
3. Continuità operativa e gestione delle crisi
4. Sicurezza della catena di approvvigionamento
5. Sicurezza della rete e dei sistemi, compresa la gestione e la divulgazione delle vulnerabilità
6. Politiche e procedure per valutare l’efficacia della gestione dei rischi
7. Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi
8. Comunicazione a fornitori e clienti quando l’incidente è in corso.
In conclusione, la NIS2 rappresenta una sfida significativa ma necessaria per garantire la sicurezza cibernetica in Europa. Non si è quasi mai pronti ad una normativa che sta per entrare in vigore. Entra in vigore proprio perché il sistema non è pronto. Se si autotutelasse, non servirebbero le direttive.
La NIS2, quindi, non è solo un obbligo normativo, ma stimola anche un cambiamento culturale verso una maggiore consapevolezza e responsabilità condivisa tra gli Stati membri e le organizzazioni coinvolte.
L'adozione di questa direttiva richiederà investimenti in risorse umane e tecnologiche con l’obiettivo di creare un cyberspazio resiliente e sicuro, capace di affrontare le minacce cibernetiche in continua evoluzione.