NIS2

La Direttiva NIS2 (Network and Information Security 2) è una recente normativa europea che entrerà in vigore il prossimo 16 ottobre. Questa direttiva aggiorna e sostituisce la precedente Direttiva NIS del 2016, con l’obiettivo di rafforzare la resilienza e migliorare le capacità di risposta dell’UE contro le minacce informatiche verso le reti ed i sistemi informatici per settori considerati essenziali o importanti, che includono le aziende di media e grande dimensione, che porterebbero impatti significativi sulla società e sull’economia.

Principali novità introdotte dalla NIS2:

1. Ampliamento del campo di applicazione:
   • La NIS2 estende la lista dei settori considerati essenziali, includendo nuovi settori come le telecomunicazioni, i servizi digitali, i fornitori di servizi cloud, i data center, i servizi di ricerca online e le piattaforme di social media.
2. Requisiti di sicurezza più stringenti:
   • Le organizzazioni dovranno implementare misure di sicurezza adeguate e proporzionate ai rischi che affrontano. Questo include la gestione dei rischi, la sicurezza della supply chain, la crittografia e la divulgazione delle vulnerabilità.
3. Miglioramento della cooperazione tra Stati Membri:
   • Viene promossa una maggiore collaborazione e condivisione di informazioni tra le autorità nazionali competenti e le istituzioni europee per affrontare efficacemente gli incidenti informatici transfrontalieri.
4. Obblighi di segnalazione degli incidenti:
   • Le entità coperte dalla direttiva dovranno segnalare alle autorità competenti gli incidenti significativi entro termini specifici, permettendo una risposta tempestiva e coordinata.
5. Sanzioni più severe:
   • In caso di non conformità, le organizzazioni possono essere soggette a sanzioni amministrative significative, che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda.

QUALI ORGANIZZAZIONI O SETTORI CRITICI SONO SOGGETTI A NIS2?

Settori ad Alta Criticità – Entità Essenziali (Allegato I NIS2)

1. Energia: Fornitura, distribuzione e stoccaggio di elettricità, gas e petrolio.
2. Trasporti: Aviazione, ferroviario, marittimo e stradale.
3. Banche e mercati finanziari.
4. Sanità: Ospedali e salute digitale.
5. Acqua potabile e reflue: Fornitori di servizi idrici e di gestione delle acque reflue.
6. Infrastrutture digitali:
   • Punti di interscambio Internet (IXP)
   • Fornitori di servizi DNS e registrar TLD
   • Servizi CDN
   • Fornitori di reti pubbliche di comunicazione e servizi di comunicazione elettronica accessibili al pubblico
7. Pubblica Amministrazione: Autorità centrali dello Stato.
8. Spazio: Sistemi di navigazione satellitare e reti spaziali.
9. Servizi TIC Business-to-Business:
   • Fornitori di servizi gestiti (MSP)
   • Fornitori di servizi di sicurezza gestiti (MSSP)

Limiti dimensionali per le Entità Essenziali:

• Oltre 250 dipendenti.
• Fatturato superiore a 50 milioni di euro o bilancio totale superiore a 43 milioni di euro.

Altri settori critici – Entità Importanti (allegato II NIS2)

1. Servizi postali e di consegna pacchi.
2. Gestione dei rifiuti (raccolta, trattamento e smaltimento).
3. Fabbricazione di prodotti chimici.
4. Produzione, lavorazione e distribuzione di alimenti.
5. Fabbricazione di dispositivi medici e farmaceutici.
6. Fornitori di servizi digitali (motori di ricerca, e-commerce).
7. Ricerca scientifica e sviluppo: Istituti di ricerca e servizi tecnologici.

Limiti dimensionali per le Entità Importanti:

• Oltre 50 dipendenti.
• Fatturato superiore a 10 milioni di euro o bilancio totale superiore a 10 milioni di euro.

QUALI SONO LE IMPLICAZIONI SULLE ORGANIZZAZIONI IMPATTATE?

Le organizzazioni impattate dalla Direttiva NIS2 devono implementare una serie di misure di cyber-security e gestire i rischi per proteggere i loro sistemi IT. Le principali implicazioni sono:

1. Valutazione del rischio e adozione di effettive politiche di sicurezza
La valutazione del rischio è il cuore della NIS2. Richiede alle aziende di identificare e analizzare i rischi legati alla sicurezza delle reti e dei sistemi informativi. Politiche di sicurezza solide aiutano a prevenire incidenti e mitigare gli effetti di eventuali vulnerabilità che si manifestassero.

2. Obblighi di segnalazione
La tempestiva segnalazione degli incidenti di sicurezza è cruciale per la cooperazione con le autorità competenti e per limitare i danni causati. La NIS2 stabilisce specifici requisiti di notifica entro un tempo estremamente ridotto.

3. Gestione degli incidenti
Preparare ed adottare piani di risposta agli incidenti è essenziale per contenere e mitigare le conseguenze di attacchi informatici, guasti critici o disastri naturali. Questo include il monitoraggio ed il miglioramento continuo dei processi di gestione degli incidenti.

4. Sicurezza della catena di approvvigionamento
La NIS2 pone particolare enfasi sulla gestione della sicurezza dei fornitori. Le aziende NIS2 devono garantire che i partner e i fornitori rispettino adeguati standard di sicurezza, prevenendo le vulnerabilità aventi effetti  attraverso la supply chain.

5. Continuità aziendale, disaster recovery e gestione delle crisi
Garantire la resilienza operativa è fondamentale per la NIS2. Le aziende devono predisporre piani per la continuità aziendale e la ripresa post-incidente, includendo scenari di crisi come cyberattacchi e perfino disastri naturali.

6. Sicurezza nello sviluppo e nella gestione dei sistemi IT
Includere la sicurezza nei processi di sviluppo del software, degli applicativi, dei servizi e nella loro manutenzione (così come della intera infrastruttura informativa) riduce il rischio di vulnerabilità e configurazioni insicure. Questo include pratiche come il testing continuo (tramite security assessments) e l’aggiornamento rapido e costante dei sistemi.

7. Politiche, protocolli e strumenti di cifratura
La cifratura dei dati garantisce riservatezza e integrità, proteggendoli durante l’archiviazione ed il trasferimento. È una misura tecnica spesso richiesta per prevenire accessi non autorizzati, garantire l’autenticità e l’integrità dei dati e delle comunicazioni.

8. Politiche e procedure di assessment di sicurezza
Eseguire regolari assessment di sicurezza consente di identificare e affrontare nuove vulnerabilità. Questa attività include test di vulnerabilità, audit e revisioni periodiche delle misure adottate.

9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
Assicurarsi che le risorse umane siano adeguatamente formate e che l’accesso ai sistemi sia controllato in base ai ruoli previene errori, abusi ed utilizzi illeciti. Questo include la gestione degli asset per mantenere un controllo sugli strumenti e le risorse critiche.

10. Formazione e awareness (anche del board)
Mentre la formazione è essenziale, taluni la ritengono spesso meno urgente rispetto a misure tecniche e operative. Tuttavia, sensibilizzare tutto il personale – inclusi i dirigenti ed i responsabili – sulle minacce informatiche e le loro implicazioni strategiche è indispensabile per determinare una reale cultura della sicurezza aziendale.

CERTIFICAZIONI ISO 27001 e 22301

Spesso sentiamo dire che “la certificazione ISO/IEC 27001 rende automaticamente compliant l’organizzazione a NIS2“; questo è assolutamente falso, ed abbiamo predisposto uno specifico approfondimento.

Sanzioni previste dalla NIS2

Le sanzioni per la non conformità alla Direttiva NIS2 possono essere molto severe. Le organizzazioni che non rispettano gli obblighi di sicurezza o che non segnalano gli incidenti significativi possono affrontare:

• Sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo globale dell’organizzazione, a seconda di quale importo sia più elevato.
• Possibili azioni correttive forzate da parte delle autorità competenti, come audit e ispezioni straordinarie.

Queste misure mirano a garantire l’aderenza alla direttiva e a prevenire gravi disservizi o vulnerabilità.

IL DECRETO LEGISLATIVO 4 SET 2024, 138

il 1° ottobre è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 138/2024, con entrata in vigore del provvedimento: 16 ottobre 2024. Le aziende che ritengono di essere interessate dalla normativa dovranno segnalarsi alla Agenzia per la CyberSecurity Nazionale – ACN – dal 1° gennaio al 28 febbraio 2025 – tramite un apposito portale che sarà a breve implementato; in seguito verrà confermato o meno lo status di soggetto critico.

LE ORGANIZZAZIONI CHE NON RIENTRANO NEI LIMITI DIMENSIONALI

Le aziende che non superano i limiti dimensionali (meno di 50 dipendenti e/o fatturato sotto i 10 milioni di euro) possono comunque essere soggette alla NIS2 in scenari specifici, quando:

1. Operano in settori critici: anche se piccole, forniscono servizi essenziali per l’economia o la sicurezza, come fornitori di infrastrutture digitali, sanità o trasporti.
2. Partecipano a catene di approvvigionamento critiche: se sono coinvolte nella supply chain di un’entità essenziale o importante.
3. Sono considerate di importanza strategica a livello nazionale, come per esempio nel settore pubblico o spaziale.

Le autorità competenti potranno decidere di includere queste aziende nei requisiti di NIS2 anche se non soddisfano i criteri dimensionali.

Nel sito di ACN – che per lo stato italiano è designata Autorità Nazionale Competente (NCA) – è stata predisposta una apposita pagina FAQ NIS2 ed una tabella indicante le organizzazioni interessate da NIS2.

SIamo come sempre a disposizione per attività di supporto e consulenza su NIS2.

GLI ALTRI NOSTRI APPROFONDIMENTI SULLA DIRETTIVA NIS2