NIS2 sempre più vicina

by on in News

Cosa fare per adeguarsi alla normativa

 

La NIS 2 ha l’obiettivo di rafforzare la resilienza delle infrastrutture digitali critiche nel panorama europeo con il fine di contribuire “al funzionamento efficace della sua economia e della sua società” (Premessa 1, DIRETTIVA 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022).

Quello che emerge, esaminando ciò che la nuova direttiva richiede, sono due punti essenziali: da una parte la necessità, sempre più stringente di avere delle norme comunitarie in termini di sicurezza per tutti gli Stati membri; dall’altra l’evidenza che la cybersecurity non è più un problema relegato ai reparti IT ma una priorità che deve interessare tutti gli organi di gestione aziendale. Infatti, non a caso, il management deve supervisionare, approvare e ricevere formazione sulle procedure di sicurezza informatica dell’azienda.

Adottata nel dicembre del 2022 dal Consiglio dell’Unione Europea e il Parlamento Europeo, la nuova direttiva sostituisce la NIS 1 del 2016, per far fronte a minacce cybersecurity sempre più sofisticate e frequenti. Sono diverse e importanti le modifiche apportate alla direttiva: tra le tante, anche l’identificazione univoca di operatori di servizi essenziali, poiché sarà proprio la direttiva (e non più il singolo stato membro) a definire il proprio ambito di applicazione.

Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepire la direttiva e modificare le proprie leggi nazionali sulla sicurezza informatica: le aziende, invece, dovranno conformarsi entro il 18 ottobre 2024. Quali sono le differenze nella nuova normativa e cosa devono aspettarsi le organizzazioni per essere conformi?

1. Espansione dell’Ambito di Applicazione

NIS 2 amplia l’ambito di applicazione per includere nuovi settori, come i fornitori di servizi di comunicazione elettronica, i servizi digitali e alcuni servizi pubblici essenziali: questa espansione mira a coprire una gamma più ampia di infrastrutture critiche, riconoscendo l’importanza della sicurezza cyber in vari settori industriali e tecnologici. Dai 6 settori indicati nella NIS1, si passa a 18, sia pubblici che privati, che dovranno adeguarsi alla direttiva; aziende e autorità che in precedenza non erano soggette alle leggi sulla sicurezza informatica saranno ora tenute a ottemperare alla nuova normativa. Nei settori ad alta criticità troviamo: Energia, Trasporto, Settore bancario, Infrastrutture dei mercati finanziari, Settore sanitario, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi TIC (business-to-business), Pubblica amministrazione e Spazio. Mentre, negli altri settori critici sono inclusi: Servizi postali e di corriere, Gestione dei rifiuti, Fabbricazione, produzione e distribuzione di sostanze chimiche, Produzione, trasformazione e distribuzione di alimenti, Fabbricazione, Fornitori di servizi digitali e Ricerca.

2. Requisiti di Sicurezza Potenziati:

La direttiva promuove un approccio basato sul rischio e richiede alle organizzazioni di valutare e mitigare i rischi di sicurezza in modo proporzionato alla loro natura e dimensione. La NIS 2 impone requisiti di sicurezza più stringenti per le organizzazioni, compresa l’adozione di misure tecniche e organizzative appropriate per gestire i rischi legati alla cybersecurity: questo include standard minimi di sicurezza che le aziende devono implementare, come la gestione delle vulnerabilità, la sicurezza delle catene di fornitura, la crittografia, la gestione degli accessi e la sicurezza delle reti. Ma include anche l’implementazione di soluzioni avanzate di sicurezza, come sistemi di rilevamento delle intrusioni (IDS), firewall di nuova generazione (NGFW), e strumenti di monitoraggio continuo delle reti.

3. Reporting degli Incidenti:

  1. NIS 2 stabilisce nuovi obblighi per il reporting degli incidenti di sicurezza, riducendo i tempi entro i quali gli incidenti devono essere notificati alle autorità competenti. Quindi, il preallarme dovrà essere dato entro 24 ore, la valutazione dell’incidente entro 72 ore e sarà fondamentale redigere una relazione finale entro 30 giorni allo CSIRT (Computer Security Incident Response Team). Questo facilita una risposta rapida e coordinata agli attacchi, migliorando la resilienza delle organizzazioni.

4. Valutazione e Gestione dei Rischi:

Le organizzazioni sono ora tenute a condurre valutazioni regolari dei rischi di sicurezza e a implementare piani di gestione dei rischi. La NIS2 introduce obblighi di monitoraggio continuo della sicurezza e di esecuzione di audit regolari per garantire la conformità e l’efficacia delle misure adottate; questo include la valutazione delle vulnerabilità e l’adozione di misure preventive per mitigare i rischi identificati. Inoltre, le autorità nazionali assumono un ruolo più attivo e definito nella supervisione della conformità, con maggiori poteri di intervento e sanzioni.

5. Collaborazione e Condivisione delle Informazioni:

  1. La direttiva promuove la cooperazione tra Stati membri e la condivisione delle informazioni sulle minacce cibernetiche. Per facilitare la cooperazione, è stato creato il NIS Cooperation Group e il CSIRT Network (Computer Security Incident Response Teams) che forniranno un punto di riferimento più strutturato. Anche il ruolo dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) viene ampliato, assumendo maggiori responsabilità nel supporto agli Stati membri e nel coordinamento delle risposte agli incidenti. Questo approccio collaborativo è essenziale per affrontare le minacce internazionali e migliorare la sicurezza collettiva.

6. Sanzioni e Conformità:

  1. NIS 2 introduce sanzioni più severe per le organizzazioni che non rispettano i requisiti della direttiva e che sono tenute a dimostrare la conformità con i requisiti di sicurezza e a documentare le misure adottate. Non è ancora chiaro se gli enti della pubblica amministrazione, ora inclusi nell’ambito della direttiva NIS 2, debbano essere soggetti a sanzioni pecuniarie. Secondo l’Articolo 34(7) della direttiva NIS 2, la decisione riguardo alla possibilità e all’entità delle sanzioni pecuniarie per le entità amministrative spetta ai singoli Stati membri. In ogni modo, le autorità nazionali avranno il potere di imporre multe significative nel caso di violazioni degli articoli 21 (Misure di gestione dei rischi di cybersicurezza) o 23 (Obblighi di segnalazione di incidenti). Nel caso di soggetti importanti, le sanzioni le sanzioni prevedono un massimo di 7 milioni di euro oppure l’1,4% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene. Nel caso, invece, di soggetti essenziali, le sanzioni possono arrivare a 10 milioni di euro oppure il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene.

Conclusioni

È chiaro che le aziende e le organizzazioni, ora più che mai, debbano trovarsi pronte all’imminente 18 ottobre. Il punto di partenza è un audit per capire dove intervenire e quali sono gli aspetti più prioritari: affidarsi a un partner come Consys.it può facilitare il processo di controllo e adeguamento, che parte dalla delineazione di una roadmap.

L’How-To di Consys.it si compone di tre step definiti ed essenziali:

    • Step 1: Ascolto attivo dell’azienda, ente o organizzazione, in modo da comprendere le esigenze, non solo tecniche, ma anche in termini di business e di livello di servizio.
    • Step 2: Analisi dello stato dell’arte, in modo da proporre una prioritizzazione realistica in linea con le singole necessità dell’azienda, ente o organizzazione. La customizzazione del piano d’attacco è fondamentale quando si hanno budget, risorse, obiettivi e complessità differenti.
    • Step 3: Presentazione di un piano strategico e implementativo personalizzato per la singola esigenza e puntuale, in modo da avere visibilità sui tempi e i costi certi.