Nel corso del 2024 entrerà in vigore la direttiva NIS 2, Direttiva (UE) 2022/2555 in materia di cybersicurezza. Questa direttiva si inserisce nel panorama normativo europeo ed aggiorna le norme dell’UE in materia di cybersicurezza introdotte nel 2016, estendendo l’ambito di applicazione e migliorando l’approccio verso la resilienza e la risposta agli incidenti. 

Vediamo nel nostro articolo un approfondimento sulla Direttiva NIS 2, partendo dai principi e scendendo nel dettaglio delle azioni da fare per prepararsi a recepirla.

Principi Generali della NIS 2

La Direttiva NIS 2 mira a rafforzare la sicurezza informatica nell’Unione Europea, focalizzandosi su:

  • Ampliamento dell’ambito di applicazione: Include un maggior numero di settori e tipologie di aziende rispetto alla precedente Direttiva NIS.
  • Approccio basato sul rischio: Richiede alle aziende di valutare i rischi informatici e adottare misure di sicurezza proporzionate.
  • Maggiore cooperazione: Promuove la collaborazione tra gli Stati membri e le autorità competenti per affrontare le minacce informatiche in modo più efficace.
  • Armonizzazione delle misure di sicurezza: Definisce standard minimi comuni per le misure di sicurezza informatica da implementare.
  • Responsabilità e trasparenza: Aumenta la responsabilità delle aziende per la sicurezza dei loro sistemi e servizi, richiedendo la notifica degli incidenti gravi.

A quali aziende si applica

La NIS 2 si applica a un’ampia gamma di settori considerati essenziali o importanti per l’economia e la società, tra cui:

  • Energia: Produzione, trasmissione e distribuzione di energia elettrica, gas e petrolio.
  • Trasporti: Trasporto aereo, ferroviario, marittimo e stradale.
  • Banche e infrastrutture di mercato finanziario: Banche, operatori di mercato, gestori di sistemi di pagamento.
  • Sanità: Ospedali, fornitori di servizi sanitari, produttori di dispositivi medici.
  • Acqua potabile: Fornitori di acqua potabile.
  • Infrastrutture digitali: Fornitori di servizi cloud, motori di ricerca, piattaforme online.
  • Pubblica amministrazione: Enti governativi centrali e locali.
  • Spazio: Operatori satellitari, fornitori di servizi di lancio.
  • Produzione: Industrie manifatturiere di prodotti critici.
  • Servizi postali e corrieri: Fornitori di servizi postali e di consegna pacchi.
  • Gestione dei rifiuti: Impianti di trattamento dei rifiuti.
  • Alimentare: Produttori di alimenti, distributori di alimenti, grossisti.

La direttiva NIS II è applicata prevalentemente alle grandi e medie organizzazioni (oltre 50 dipendenti o oltre 10 milioni di € di fatturato annuo). Tuttavia sono comprese anche le imprese al di sotto di questi livelli, che sono considerate imprese critiche o rientrano in determinate casistiche.

È fondamentale che le aziende interessate dalla NIS 2 si preparino per tempo per garantire la conformità alla direttiva, evitando così sanzioni e proteggendo la propria sicurezza informatica.

Entrata in vigore e sanzioni per mancata conformità

La Direttiva NIS 2 è stata adottata nel novembre 2022. Gli Stati membri hanno tempo fino a ottobre 2024 per recepire la direttiva nel proprio ordinamento nazionale.

Le sanzioni per la mancata conformità alla NIS 2 possono variare a seconda del paese e della gravità dell’infrazione. In generale, le sanzioni possono includere:

  • Multe: Possono raggiungere importi significativi, fino a 10 milioni di euro o il 2% del fatturato globale annuo dell’azienda, a seconda di quale sia il più elevato.
  • Sospensione dell’attività: In casi gravi, l’azienda potrebbe essere temporaneamente o permanentemente sospesa dall’operare nel settore interessato.
  • Altre misure: Possono essere imposte altre misure correttive, come l’obbligo di implementare specifiche misure di sicurezza o di sottoporsi a audit esterni.

Come prepararsi

Sono 4 la aree dei requisiti e obblighi che la NIS 2 affronta:

  • Responsabilità aziendale: la direzione aziendale deve supervisionare, approvare ed essere formata sulle misure di sicurezza informatica, secondo il principio dell’accountability.
  • Gestione del rischio: le aziende devono ridurre al minimo i rischi informatici, adottando misure quali gestione degli incidenti, sicurezza della catena delle forniture.
  • Continuità aziendale:  le aziende devono garantire la continuità aziendale in caso di incidenti, organizzando misure di ripristino, procedure di emergenza e team dedicati.
  • Obblighi di segnalazione: è necessario implementare un processo di segnalazione tempestiva degli incidenti o degli attacchi cyber. 

Le aziende possono compiere i primi passi iniziando dall’Identificazione dei processi critici organizzativi: appurato che il servizio che propone l’azienda è ritenuto essenziale secondo la NIS 2, si devono quindi riconoscere i servizi, processi e risorse cruciali, inclusi i fornitori. È importante in questa prima fase individuare un team di compliance cross-funzionale.

È quindi necessario valutare l’impatto aziendale, ossia capire l’importanza dei processi e come questi sono connessi con la rete dei sistemi informativi per comprendere quindi cosa succede quando si verifica un’interruzione. Questi processi vanno inclusi sotto la NIS 2 a seconda dei criteri e ambiti definiti nell’impatto aziendale.

L’azienda deve poi procedere a implementare un sistema di gestione dei rischi e della sicurezza delle informazioni. Il sistema di gestione deve identificare, gestire, monitorare e mitigare i rischi di sicurezza dell’informazione, con responsabilità chiare e definite. Le aziende devono anche definire ed utilizzare il budget necessario per le queste azioni, che possiamo definire nel loro complesso come pratiche di Information Security Management.

Le segnalazioni di vulnerabilità e incidenti per la sicurezza sono rivolti sia agli interessati che alle autorità competenti definite dallo Stato. Nel caso in cui una violazione coinvolga anche dati personali le comunicazioni sono rivolte anche al Garante della Privacy.

Il focus sul fornitori

La NIS 2 pone grande attenzione sulla Supply Chain Security: questo significa che le aziende devono innanzitutto preoccuparsi di mappare i fornitori critici e strategici, che si configurano in pratica come destinatari indiretti della direttiva. Le problematiche vanno condivise in modo proattivo con i fornitori, che devono essere coinvolti nei test e nella condivisione delle best practices. La catena delle forniture deve essere monitorata continuamente con i controlli e relativamente alle modalità di remediation agli incidenti. Molti fornitori internazionali, quali Google Cloud, stanno facendo i passi opportuni per venire incontro ai clienti interessati dalla normativa europea. 

Tra le azioni che si possono intraprendere, è importante dotarsi di strumenti e software costantemente migliorati. Wondersys tra le altre si avvale della tecnologia di Sophos, leader nel mercato della sicurezza, che propone un eco-sistema adattivo di cybersecurity che coinvolge i 3 aspetti di cybersecurity derivano dai requisiti NIS 2 ossia l’aspetto di processo, l’aspetto tecnologico e l’aspetto legato alle persone. Tra operazioni automatiche e operazioni manuali di monitoraggio e risposta in base agli eventi, Sophos fornisce risposte di sicurezza ai problemi che possono capitare in un’infrastruttura complessa, di tutte le dimensioni, in molteplici settori. 

Per una larga parte delle aziende, la cybersecurity è diventata un argomento complicato da gestire in autonomia perché prevede un aggiornamento continuo delle competenze del team, dovuto al continuo cambiamento nelle minacce, oltre che una rapida risposta agli eventi. 

Wondersys si occupa di Infrastrutture IT, private e Cloud, ed è certificata secondo il Sistema di Gestione per la Sicurezza delle Informazioni ISO/IEC 27001:2022 e secondo la Prassi di Riferimento UNI 43.2 (relativa ai requisiti del GDPR). La vostra azienda potrà avvalersi di una consulenza per impostare una gestione efficace, per implementare le tecnologie scelte ed organizzare una rapida risposta alle minacce e incidenti.

Per avere una prima analisi, abbiamo ideato un breve questionario che ci consentirà di proporre un piano di consulenza. Contattateci per iniziare questo percorso.