La Direttiva NIS 2 (2022/2555) – Network and Information Security – rappresenta un aggiornamento della precedente Direttiva NIS (2016/1148). L’Unione Europea l’ha adottata per rispondere alle nuove sfide della resilienza informatica. La direttiva mira a rafforzare resilienza e sicurezza delle reti e dei sistemi IT di aziende e PA nell’UE.
Entrata in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.
Perimetro e campo di applicazione
L’ampliamento del campo di applicazione è la prima grande novità. Oggi sono inclusi più settori e servizi considerati vitali per la società e l’economia.
La distinzione precedente era infatti tra “operatori di servizi essenziali” e “fornitori di servizi essenziali”.
Quella nuova, basata su dimensione e la criticità delle attività, è invece:
- soggetti essenziali. Entità che svolgono attività cruciali per la società e l’economia, e quindi la loro interruzione avrebbe un impatto significativo. Esempi includono fornitori di energia, trasporti e sanità;
- soggetti importanti. Entità di dimensioni minori rispetto ai soggetti essenziali, ma le cui attività sono comunque importanti per il funzionamento della società. Questo può includere, ad esempio, alcuni fornitori di servizi digitali.
La direttiva abbraccia dunque oggi settori non prima considerati. Tra questi: energia, trasporti, banche, infrastrutture finanziarie, sanità, infrastrutture digitali, pubblica amministrazione, e-commerce, cloud computing.
Approccio multirischio
La NIS 2 adotta un approccio multirischio che considera una vasta gamma di potenziali minacce, non solo quelle tecniche.
Le misure di sicurezza coprono ora tutti i tipi di minacce che possono influenzare la resilienza di reti e sistemi informativi:
- rischi fisici: come calamità naturali, incendi, inondazioni che possono influenzare l’infrastruttura informatica;
- rischi umani: errori umani, mancanza di formazione adeguata, atti dolosi o negligenti;
- rischi di processo: inefficienze o malfunzionamenti nei processi interni,
- rischi nella catena di fornitura: vulnerabilità introdotte da fornitori di servizi o prodotti.
Requisiti di sicurezza e procedure di notifica nella Direttiva NIS 2
La Direttiva NIS 2 esprime i requisiti minimi di sicurezza che i soggetti essenziali e importanti devono adottare per garantire la protezione delle loro reti e sistemi informativi. Le misure di sicurezza devono essere adeguate e proporzionate ai rischi identificati e includono:
- Politiche per l’analisi dei rischi. Implementazione di politiche per l’analisi continua dei rischi e la sicurezza dei sistemi informatici;
- gestione degli incidenti. Creazione di strategie efficaci per la gestione degli incidenti di sicurezza, con processi chiari per la risposta e il recupero;
- continuità operativa. Misure per garantire continuità operativa e gestione del backup, assicurando che i servizi possano continuare anche in caso di incidente;
- sicurezza della catena di approvvigionamento. Protezione della catena di fornitura, garantendo che i fornitori e i partner rispettino standard di sicurezza adeguati;
- sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi. Adozione di pratiche di sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete;
- valutazione dell’efficacia delle misure di sicurezza. Strategie e procedure per valutare e migliorare continuamente l’efficacia delle misure di gestione dei rischi di sicurezza informatica.
La NIS 2 stabilisce inoltre procedure di notifica obbligatorie per garantire una risposta rapida ed efficace agli incidenti di sicurezza. I soggetti devono infatti:
- notifica iniziale entro 24 ore. Informare le autorità competenti entro 24 ore dal momento in cui si è venuti a conoscenza dell’incidente;
- notifica completa entro 72 ore: fornire una notifica completa dell’incidente entro 72 ore, includendo tutte le informazioni rilevanti;
- relazione finale entro un mese. Presentare una relazione finale entro 1 mese dalla notifica iniziale, dettagliando natura dell’incidente, misure adottate e risultati ottenuti.
Incident Plan
Elemento cruciale della NIS 2 è l’obbligo per i soggetti di predisporre un Incident Plan per la gestione degli incidenti significativi.
Questo piano deve delineare le procedure di risposta agli incidenti. Ivi compresa la nomina di responsabili e la definizione di ruoli e responsabilità all’interno dell’organizzazione.
È fondamentale che il piano preveda strategie per la comunicazione interna ed esterna. Deve inoltre assicurare il coordinamento con le autorità competenti e altri soggetti rilevanti.
Infine, il piano deve includere processi per valutare la risposta all’incidente e migliorare continuamente le misure di sicurezza basate sulle lezioni apprese.
Creazione e implementazione di un Incident Plan ben strutturato garantiscono la gestione efficace degli incidenti, riducono al minimo l’impatto e assicurano la continuità operativa.
Compliance e sanzioni
La NIS 2 è cogente e prevede obblighi di segnalazione e sanzioni severe per il mancato rispetto delle norme. Per i soggetti essenziali le sanzioni vanno fino a 10 milioni di euro o il 2% del fatturato annuo globale. Per i soggetti importanti, le sanzioni vanno fino a 7 milioni di euro o l’1,4% del fatturato annuo globale.
Il testo che ho scritto è leggermente più lungo rispetto a quello originale. Procederò a ulteriormente sintetizzarlo per renderlo più conciso mantenendo i concetti chiave:
Responsabilità degli Stati membri e misure tecniche e organizzative
Compito degli Stati membri è quello di garantire che le organizzazioni essenziali adottino misure di sicurezza approvate e formino il personale sulla cybersicurezza.
Queste misure devono essere proporzionate ai rischi e includere analisi dei rischi, gestione degli incidenti, continuità operativa e sicurezza della catena di approvvigionamento.
La Direttiva NIS 2 promuove la cooperazione tra Stati membri, responsabilizzando gli organi di gestione e obbligando alla segnalazione degli incidenti. Questo aiuta a creare un ecosistema digitale sicuro e resiliente.
EKO365 abbraccia la Direttiva NIS 2 e la considera un passo avanti per la sicurezza IT nell’UE e la resilienza delle organizzazioni.
NIS 2, inoltre, rafforza la cooperazione tra Stati membri attraverso i CSIRT nazionali, che coordinano la risposta agli incidenti di sicurezza su larga scala. La condivisione di informazioni sulle minacce facilita la gestione delle crisi, creando un ambiente di cyber sicurezza più resiliente e coordinato nell’UE.
Lo standard ISO/IEC 27001:2022
Desideriamo aggiungere una piccola nota dedicata alla ISO/IEC 27001:2022. Lo standard internazionale che definisce i requisiti per i sistemi di gestione della sicurezza delle informazioni (ISMS).
Questa ISO fornisce un framework strutturato per la gestione dei rischi legati alla sicurezza delle informazioni. Offre inoltre una valida guida su come proteggere i dati sensibili all’interno delle organizzazioni.
La sua adozione è un importante aiuto per le aziende a implementare un approccio sistematico alla gestione della sicurezza, assicurando che le informazioni siano protette in modo efficace contro minacce e vulnerabilità.
La ISO/IEC 27001:2022 è strettamente allineata con i requisiti della NIS 2: entrambe mirano a rafforzare la sicurezza informatica attraverso una gestione proattiva dei rischi.