Ci siamo. Il 16 ottobre 2024 è entrata ufficialmente in vigore la direttiva NIS2 (Network and Information Security 2), che rappresenta un significativo passo avanti nella strategia di cybersecurity dell’Unione Europea.
La nuova direttiva, che sostituisce la precedente NIS1 del 2016, si concentra su diverse aree chiave per rafforzare le capacità di difesa della cybersecurity, tra cui la gestione del rischio, le misure di sicurezza, la segnalazione e gestione delle violazioni, la sicurezza della catena di fornitura, la formazione sulla cybersecurity. Inoltre estende la sua applicazione a un numero maggiore di settori rispetto alla direttiva precedente.
Secondo quanto riportato nel decreto legislativo associato, l’Agenzia per la Cybersicurezza Nazionale (ACN) viene confermata come Autorità Nazionale Competente NIS, con il compito di supervisionare la conformità e fornire le linee guida.
Principali novità e ampliamento del campo di applicazione
La NIS2 introduce diverse novità significative rispetto alla normativa precedente, ampliando il suo ambito di applicazione.
Mentre la direttiva NIS1 si applicava esclusivamente agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP) in settori specifici, la NIS2 estende la sua portata includendo una gamma molto più ampia di organizzazioni classificate come “essenziali” e “importanti” in 15 settori diversi. Questi includono energia, trasporti, banche, sanità, infrastrutture digitali, settore farmaceutico, servizi digitali e la catena distributiva alimentare, tra gli altri.
Si stima che le organizzazioni all’interno del Perimetro Nazionale di Sicurezza Cibernetica passeranno dalle circa 350, stimate oggi a diverse migliaia. La NIS2 mira comunque a ridurre l’impatto su realtà più piccole, applicandosi ad aziende con almeno 50 dipendenti e un fatturato di 10 milioni di euro.
L’ampliamento del campo di applicazione riflette l’approccio “multirischio” adottato dalla direttiva, che si articola su quattro principi chiave: protezione dei dati personali, diritti fondamentali, safety e cybersecurity.
La NIS2 introduce anche la regolamentazione della divulgazione coordinata delle vulnerabilità e assegna specifiche funzioni di coordinamento ai CSIRT (Computer Security Incident Response Team) nazionali.
Inoltre, la direttiva prevede la creazione di un nuovo gruppo di cooperazione volto a rafforzare la preparazione e la risposta collettiva dell’UE alle principali minacce informatiche.
Gestione dei rischi e obblighi di notifica degli incidenti
La NIS2 pone un’enfasi significativa sulla gestione dei rischi e sugli obblighi di notifica degli incidenti, introducendo requisiti più stringenti e dettagliati per le entità interessate.
Secondo le linee guida della direttiva, le organizzazioni sono tenute a implementare processi di gestione del rischio completi e ad adottare misure di sicurezza per mitigare i rischi individuati.
Questi processi includono valutazioni del rischio, piani di risposta agli incidenti e misure di sicurezza per la catena di fornitura.
La direttiva richiede anche l’adozione di un “Incident response plan“. Questo piano è fondamentale per gestire gli eventi di sicurezza e mitigarne gli effetti, limitando i danni e assicurando una rapida ripresa delle attività.
Per quanto riguarda la notifica degli incidenti, la NIS2 prevede obblighi più severi con tempistiche più stringenti per informare le autorità competenti. Secondo il decreto legislativo, le comunicazioni al CSIRT devono avvenire entro 24 ore dalla conoscenza dell’incidente con una notifica di preallarme, seguita da aggiornamenti entro 72 ore e da una relazione finale entro un mese.
Queste notifiche devono includere una valutazione iniziale dell’incidente, la sua gravità, l’impatto e, ove disponibili, gli indicatori di compromissione.
La direttiva richiede anche la segnalazione di “quasi incidenti”, definiti come eventi che avrebbero potuto compromettere la sicurezza dei sistemi ma sono stati efficacemente evitati.
Inoltre, l’articolo 23 del decreto legislativo stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti NIS2 devono essere tempestivamente informati degli incidenti, sottolineando l’importanza di una comunicazione efficace a tutti i livelli dell’organizzazione.
Sanzioni e conseguenze per la non conformità
La NIS2 introduce un regime sanzionatorio significativamente più severo rispetto a NIS1, con l’obiettivo di garantire una conformità rigorosa alle nuove norme di sicurezza informatica.
In particolare, per le organizzazioni classificate come a rischio essenziale, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale valore sia superiore. Per le organizzazioni “importanti”, le multe possono raggiungere i 7 milioni di euro o l’1,4% del loro fatturato annuo globale.
È importante notare che non solo le organizzazioni, ma anche le persone fisiche in posizioni dirigenziali possono essere ritenute legalmente responsabili.
Preparazione e adeguamento delle aziende alla NIS2
Con l’entrata in vigore della NIS2, le aziende si trovano di fronte alla sfida di adeguarsi ai nuovi requisiti entro le scadenze stabilite. Il processo di preparazione e adeguamento richiede un approccio strutturato e multidisciplinare.
Innanzitutto, è fondamentale che le organizzazioni valutino se rientrano nell’ambito di applicazione della direttiva, considerando i criteri di dimensionamento, settore merceologico e territorialità. Secondo il decreto legislativo, entro il 17 gennaio 2025, le aziende devono valutare se sono soggetti essenziali o importanti e registrarsi sulla piattaforma dell’ACN.
Una volta stabilita l’applicabilità, le organizzazioni devono intraprendere una serie di azioni. È necessario condurre una valutazione approfondita della strategia di cybersecurity attualmente in uso, analizzando i sistemi IT, i controlli di sicurezza e le pratiche esistenti per individuare eventuali lacune o punti deboli.
Sulla base di questa valutazione, le aziende devono sviluppare un piano di attuazione per soddisfare i requisiti della NIS2, dando priorità alle aree più critiche. L’implementazione di controlli tecnici di sicurezza, come l’autenticazione a più fattori, la crittografia, la gestione delle vulnerabilità e le funzionalità di monitoraggio della sicurezza, è essenziale per proteggere l’infrastruttura dell’organizzazione.
La formazione del personale sulla consapevolezza della cybersecurity è un altro aspetto cruciale, come evidenziato dalle linee guida della direttiva. Le aziende devono anche rivedere e aggiornare le proprie politiche e procedure di sicurezza, inclusi i piani di risposta agli incidenti, per allinearsi ai mandati della NIS2.
Un’attenzione particolare deve essere posta sulla valutazione e gestione dei rischi della catena di fornitura, implementando misure di sicurezza adeguate lungo tutta la filiera. Questo è un punto molto importante: molte PMI saranno obbligate a potenziare la propria postura di sicurezza, non perché siano direttamente soggette a NIS2, ma in quanto fornitori di grandi aziende vincolate alla direttiva europea. La sicurezza lungo tutta la supply chain diventa quindi fondamentale.
Infine, le organizzazioni devono prepararsi per la segnalazione degli incidenti e gli audit, stabilendo solide procedure di rilevamento, analisi e segnalazione degli incidenti per soddisfare i requisiti di notifica della direttiva.
Sfide e opportunità per la sicurezza informatica del futuro
L’implementazione della NIS2 presenta sia sfide significative che opportunità cruciali per il futuro della sicurezza informatica in Europa. Una delle principali sfide riguarda l’adeguamento delle piccole e medie imprese ai nuovi requisiti. Questo richiederà un investimento in termini di risorse, formazione e aggiornamento delle infrastrutture IT.
Tuttavia, questa sfida rappresenta anche un’opportunità per migliorare complessivamente il livello di sicurezza informatica del tessuto imprenditoriale europeo.
La NIS2 potrebbe fungere da catalizzatore per l’innovazione nel campo della cybersecurity, stimolando lo sviluppo di nuove soluzioni e servizi per aiutare le aziende a conformarsi ai requisiti della direttiva. Inoltre, l’enfasi posta sulla collaborazione e la condivisione di informazioni tra gli Stati membri offre l’opportunità di creare un ecosistema di sicurezza più resiliente e interconnesso a livello europeo.
