Nuova Direttiva NIS2

La Direttiva NIS2 (Network and Information Security 2) nasce in risposta all’aumento significativo degli attacchi informatici, che hanno colpito non solo le grandi aziende, ma anche le PMI e le infrastrutture critiche dell’Unione Europea. La nuova normativa si pone come un ampliamento della precedente Direttiva NIS, introdotta nel 2016, ma con criteri più stringenti e un campo di applicazione più ampio, per far fronte al panorama delle minacce informatiche che si è evoluto in modo esponenziale negli ultimi anni.

La Direttiva NIS2, entrata in vigore il 17 gennaio 2023, deve essere recepita dagli Stati membri dell’Unione Europea entro il 17 ottobre 2024.

In Italia, il settore pubblico e privato dovranno affrontare un significativo adeguamento alle nuove normative. L’aumento del numero di soggetti obbligati a conformarsi richiede un investimento maggiore in cybersecurity, formazione e risorse IT. Le grandi imprese e gli enti pubblici saranno tra i principali attori coinvolti, ma anche le PMI, specie nei settori ad alto rischio, dovranno adottare misure di protezione avanzate per rimanere conformi e continuare a operare senza incorrere in sanzioni.

La NIS2 si applica a un ampio spettro di organizzazioni, suddivise in entità essenziali e entità importanti. Queste includono aziende che operano in settori critici come energia, trasporti, sanità, finanza, telecomunicazioni, e pubblica amministrazione. La normativa interessa anche fornitori di servizi digitali e aziende della catena di approvvigionamento, come cloud provider e operatori di infrastrutture digitali. L’obiettivo è proteggere le reti e i sistemi informatici che supportano il funzionamento delle società e dell’economia

Se la tua organizzazione è una media o grande impresa oppure rientra in una delle seguenti categorie è soggetta alla Direttiva NIS2:

Soggetti essenziali

• Pubbliche Amministrazioni
• Energia
• Trasporti
• Assistenza sanitaria
• Fornitura e distribuzione di acqua potabile
• Settore bancario
• Servizi di cloud computing

 Soggetti importanti

• Servizi postali e di spedizione

La NIS2 mira a rafforzare la sicurezza informatica nell’UE, migliorando la capacità di prevenire, gestire e rispondere agli incidenti cyber. Le organizzazioni devono implementare misure di gestione del rischio, adottare protocolli di continuità operativa, e monitorare costantemente la sicurezza della propria infrastruttura. Questa direttiva promuove una maggiore cooperazione tra gli Stati membri dell’UE e armonizza le normative per creare un fronte unito contro le minacce informatiche.

Dicono della NIS2

• Sole 24 Ore
• Cybersecurity Italia
• Agenda Digitale

La Direttiva NIS2 è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrata in vigore il 17 gennaio 2023. Gli Stati membri dell’UE devono recepirla entro il 17 ottobre 2024, implementando le misure necessarie per garantire la conformità. Le aziende e le istituzioni coinvolte hanno quindi fino a quella data per adeguarsi agli obblighi di sicurezza previsti.

Il 1 Ottobre 2024 è stato ufficialmente pubblicato nella Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 e che entrerà in vigore il prossimo 16 ottobre 2024.

Leggi le novità e le implicazioni per le Aziende cliccando qui!

Tuttavia, ciò non significa che questa pubblicazione debba essere vista come l’inizio di una corsa alla compliance. Innanzitutto, nel testo normativo si legge che le disposizioni si applicheranno a decorrere dal 16 ottobre 2024. Inoltre, gli enti dovranno necessariamente attendere ancora qualche mese per sapere con precisione se e a quali obblighi sono tenute.

Sì, le misure imposte dalla NIS2 sono obbligatorie per tutte le entità coperte dalla direttiva. Le organizzazioni devono implementare strategie di gestione del rischio, garantire la sicurezza dei sistemi informativi, e dimostrare la loro capacità di prevenire e rispondere efficacemente agli incidenti cyber. La non conformità può portare a sanzioni severe, compromettendo la reputazione aziendale e la continuità operativa.

Le entità in perimetro NIS2 saranno chiamate a rispettare requisiti che spaziano dalla governance della cybersicurezza, all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti.

Gli organi direttivi delle entità essenziali e importanti devono mettere in campo azioni concrete di gestione del rischio cyber per conformarsi alle misure minime di sicurezza cibernetica previste della Direttiva NIS2 (Articolo 21).

Questi ne supervisionano l’attuazione e possono essere ritenuti responsabili per le violazioni di tale articolo da parte del soggetto di controllo, che nel caso dell’Italia è l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha costituito al suo interno un’apposita divisione dedicata ad effettuare i controlli e a comminare le sanzioni.

Dal punto di vista della governance, la NIS2 prevede che gli organi di gestione dei soggetti essenziali e importanti, ad esempio il Consiglio d’Amministrazione, debbano approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai loro dipendenti.

Le aziende che non rispettano la Direttiva NIS2 saranno soggette a rigide sanzioni, che includono multe sostanziali basate sulla gravità della violazione e sulla dimensione dell’organizzazione. Oltre alle sanzioni finanziarie, le entità che non dimostrano conformità possono subire la sospensione temporanea dell’attività o altre misure restrittive imposte dalle autorità competenti.

Il management aziendale, può essere ritenuto direttamente responsabile per eventuali inadempienze.

Le sanzioni per le imprese dei servizi importanti possono arrivare fino a 7.000.000 euro o all’1,4% del fatturato annuo complessivo, mentre per le entità essenziali possono raggiungere i 10.000.000 euro o il 2% del fatturato annuo complessivo, a seconda di quale importo sia maggiore.

Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto.

Come detto, trattandosi di una Direttiva, la NIS2 dovrà essere recepita nel diritto nazionale dagli Stati Membri. Gli obblighi diverranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento della Direttiva da parte degli Stati Membri, fissata per il 17 ottobre 2024.

Tuttavia, molti ambiti in cui le organizzazioni saranno chiamate a intervenire in ottica di adeguamento sono identificabili già oggi.

Per essere conformi alla Direttiva NIS2 e garantire la sicurezza informatica della propria organizzazione, le aziende devono intraprendere una serie di azioni specifiche e strategiche. Queste misure non solo permettono di ottemperare agli obblighi di legge, ma rafforzano l’intera infrastruttura IT aziendale, proteggendo la continuità operativa e migliorando la resilienza contro le minacce cyber. Ecco i passaggi principali che ogni organizzazione deve seguire:

• Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici
  È fondamentale implementare un’analisi periodica dei rischi per identificare potenziali vulnerabilità nei sistemi informatici. Questo include la valutazione continua delle minacce, delle vulnerabilità e dei punti critici, con lo scopo di adottare misure di protezione proattive per ridurre al minimo i rischi di cyber attacchi.

• Creare piani di gestione degli incidenti informatici
  Ogni azienda deve disporre di un piano chiaro e dettagliato per la gestione degli incidenti informatici. Questo include protocolli per rilevare, rispondere e mitigare rapidamente le conseguenze di attacchi cyber, riducendo al minimo i danni e il tempo di inattività.

• Assicurare la continuità operativa
  La gestione efficace dei backup e la pianificazione del ripristino in caso di disastro sono essenziali. Implementare una strategia di crisis response permette di garantire che l’azienda sia pronta a riprendersi rapidamente da qualsiasi incidente, preservando la continuità dei servizi e minimizzando le interruzioni.

• Garantire la sicurezza della catena di approvvigionamento
  La protezione della catena di fornitura è cruciale, poiché ogni collegamento può rappresentare una potenziale minaccia. Le aziende devono stabilire politiche rigorose per la selezione e la gestione dei fornitori, assicurandosi che anche questi adottino misure di sicurezza adeguate, in conformità alla Direttiva NIS2.

• Mettere in sicurezza gli asset informatici e di rete
  Dallo sviluppo alla manutenzione, ogni fase del ciclo di vita degli asset IT e di rete deve essere protetta. Questo implica garantire che i sistemi siano progettati con misure di sicurezza integrate e che la manutenzione ordinaria sia eseguita seguendo rigorose pratiche di cybersecurity.

• Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cyber sicurezza
  È necessario sviluppare e implementare procedure per monitorare e valutare costantemente l’efficacia delle misure di sicurezza adottate, con test regolari e revisioni periodiche. Questo consente di identificare tempestivamente eventuali lacune e di correggerle.

• Creare e rispettare pratiche di igiene informatica di base
  Adottare pratiche di igiene informatica, come aggiornamenti software regolari, monitoraggio delle minacce e gestione delle patch, è essenziale per garantire la sicurezza di base. Allo stesso tempo, è cruciale fornire una formazione costante al personale in merito alle migliori pratiche di cybersecurity, creando una cultura aziendale orientata alla sicurezza.

• Stabilire politiche e procedure relative all’uso della crittografia e della cifratura
  La protezione dei dati sensibili passa attraverso l’uso della crittografia. Le aziende devono adottare procedure standardizzate per l’uso della cifratura, sia per la trasmissione che per l’archiviazione dei dati, garantendo che le informazioni riservate siano sempre protette.

• Garantire la sicurezza informatica per il personale
  L’adozione di politiche di gestione dell’accesso, con un controllo rigido degli operatori e la separazione dei privilegi, riduce il rischio di accessi non autorizzati. L’autenticazione a più fattori (MFA) e altre tecniche di verifica continue contribuiscono a proteggere l’accesso ai sistemi critici.

• Implementare soluzioni avanzate di autenticazione e protezione delle comunicazioni
  Per aumentare ulteriormente la sicurezza, le aziende devono utilizzare soluzioni di autenticazione a più fattori o autenticazione continua, garantendo la protezione delle comunicazioni vocali, video e testuali. È altresì fondamentale disporre di sistemi di comunicazione d’emergenza sicuri per gestire le crisi.

• Obbligo di segnalare tempestivamente gli incidenti informatici
  Le aziende soggette alla Direttiva NIS2 devono segnalare qualsiasi incidente informatico rilevante al CSIRT(Computer Security Incident Response Team) attraverso il portale dedicato. Segnalare rapidamente un incidente non solo è un obbligo legale, ma permette di ricevere supporto immediato per limitare i danni.