Cos'è la direttiva NIS2 e quali obblighi di cybersecurity richiede

La sicurezza informatica e la minimizzazione dei danni in caso di cyber attacchi non sono più un problema circoscritto a singole aziende o enti, destando le preoccupazioni del legislatore europeo che ha emanato, nel gennaio dello scorso anno, la direttiva NIS2.

Prevista per la ratifica negli Stati dell’Unione entro il prossimo 27 ottobre, la direttiva NIS2 impone un rafforzamento dei requisiti di sicurezza per le imprese, introducendo nuove misure di supervisione e una reportistica più rigida e rigorosa, nonché razionalizzando le normative già presenti.

Con la direttiva NIS2, il legislatore ha dunque rivolto attenzione non solo alle aziende dei tradizionali settori critici ma anche alle realtà collegate nelle catene di fornitura, così come responsabili di servizi essenziali rivolti alle persone.

Chi sono i soggetti della direttiva NIS2

La direttiva NIS2 estende la portata della precedente direttiva NIS a un più ampio bacino di settori merceologici. Viene abbandonata la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) in favore di quella tra Soggetti Essenziali e Soggetti Importanti. Rientrano in queste categorie coloro i quali sono attivi nei Settori ad Alta Criticità e negli altri Settori Critici (come approfondito negli Allegati 1 e 2 della direttiva NIS2) e chi soddisfa specifici criteri di dimensionamento (con alcune eccezioni anche PMI). A livello italiano si calcola che la direttiva NIS2 possa coinvolgere complessivamente 15.000 imprese.

Alle realtà già classificate come Soggetti Essenziali (come sanità, banche, trasporti, utility, provider IT) si aggiungono aziende di settori industriali importanti per la resilienza economica e sociale. Tra queste aziende ci sono i provider di reti e servizi di comunicazione, gli operatori che gestiscono rifiuti e acque reflue, le società di produzione e distribuzione di prodotti alimentari e sostanze chimiche, i costruttori di computer, di dispositivi medici, di elettronica e veicoli.

La direttiva NIS2 considera rilevanti anche le aziende del settore spaziale, i servizi postali, i corrieri, l’amministrazione pubblica, le piattaforme di social networking, i motori di ricerca e i marketplace online. Riguarda inoltre qualsiasi società che offra servizi nell’area europea, dipendenti e fornitori di servizi, anche se non fisicamente basati nell’UE.

Requisiti e obblighi di cybersecurity introdotti dalla direttiva NIS2

La nuova direttiva NIS2 impone quindi una serie di obblighi dettagliati alle entità rientranti nel suo perimetro, con l'obiettivo di rafforzare la sicurezza cibernetica e la resilienza dei sistemi informativi critici. Questi obblighi si basano su tre elementi fondamentali: governance, risk management e supply chain.

1. Governance

A livello di governance, la direttiva NIS2 stabilisce due punti chiave.  

• Approvazione delle misure di gestione dei rischi. Gli organi di gestione dei soggetti individuati, come i Consigli d’Amministrazione, devono approvare formalmente le politiche e le pratiche di gestione dei rischi legati alla cybersicurezza adottate dall'organizzazione.
• Formazione. La direttiva NIS2 richiede che sia i membri degli organi di gestione sia i dipendenti ricevano formazione regolare su tematiche di cybersicurezza. Ciò assicura che la consapevolezza e la comprensione delle minacce hacker vengano diffuse in tutta l'organizzazione.

2. Risk management

Per quanto riguarda la gestione dei rischi, la NIS2 introduce obblighi precisi.

• Valutazione dei rischi e misure di mitigazione. Le aziende devono analizzare i potenziali rischi cyber e implementare misure tecniche e organizzative adeguate ad affrontarli. Tra queste misure, l’art.21 della direttiva NIS2 cita esplicitamente l'uso dell'autenticazione a più fattori e della crittografia, nonché il rispetto di pratiche di igiene informatica di base.
• Sicurezza della supply chain. I Soggetti devono garantire che i propri fornitori rispettino standard di sicurezza adeguati, controllando le vulnerabilità e la qualità di prodotti e pratiche di cybersicurezza. Ciò include una valutazione dettagliata delle procedure di sviluppo.
• Continuità operativa. Le imprese devono adottare strategie per garantire la continuità operativa, come piani di back up e ripristino in caso di incidente, oltre a gestire efficacemente le crisi per ridurre al minimo l'impatto delle interruzioni dei servizi. Pertanto, i Soggetti devono notificare al CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi, con un preallarme entro 24 ore dal momento in cui ne sono venuti a conoscenza.

3. Catena di fornitura

Per quanto concerne, infine, le supply chain, la direttiva NIS2 enfatizza la necessità per i Soggetti di considerare le vulnerabilità specifiche dei propri fornitori diretti e dei fornitori di servizi, nonché di valutare la qualità complessiva dei loro prodotti e delle loro pratiche di cybersicurezza. Questo obbligo si estende a tutti i fornitori (non solo ICT).

Quali sanzioni e come adeguarsi entro il 27 ottobre 2024

In caso di violazioni delle tempistiche o di infrazioni alle prescrizioni, la direttiva NIS2 prevede che gli Stati membri UE possano applicare sanzioni fino a un massimo di 10 milioni di euro, o comunque corrispondenti al 2% del fatturato annuo dell’azienda incriminata. I membri dei team esecutivi possono essere ritenuti personalmente responsabili delle infrazioni.

Alla luce di quanto indicato, cosa conviene fare alle imprese per non trovarsi impreparate dinanzi all’applicazione della direttiva NIS2? Innanzitutto, devono potenziare la propria postura di sicurezza per la gestione del rischio (non solo informatico), in modo da identificare e mitigare meglio le vulnerabilità.

Molte imprese devono recuperare i gap nella protezione dei dati e nelle loro difese cyber, a cominciare dalla tutela degli accessi. L’aggiornamento delle policy e degli strumenti di difesa secondo le best practice deve puntare alla proattività delle difese, specialmente quando si parla di ransomware.

La difesa degli endpoint e dei servizi IT va poi ripensata in funzione di un perimetro di rete che oggi è più esposto agli attacchi esterni in virtù della sua maggior estensione con la diffusione del cloud e del lavoro ibrido. L’adozione di tool EDR e antimalware di nuova generazione deve per questo affiancare l’implementazione di logiche zero trust, il ricorso a metodi di autenticazione continua e la limitazione al minimo dei privilegi di accesso per utente.

Completano, infine, le misure di difesa previste il monitoraggio costante delle supply chain software e servizi e la capacità di aggiornare i piani di azione in caso d’incidente, con le comunicazioni tempestive previste dalla direttiva NIS2. È inoltre importante l’investimento in attività di cybersecurity awareness per il personale, per migliorare la consapevolezza dei rischi e dare un ruolo attivo agli utenti nella difesa dell’ambiente digitale aziendale.