La Direttiva Ue 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni (Direttiva NIS 2) rappresenta un passo avanti significativo nella regolamentazione della sicurezza informatica all’interno dell’Unione Europea e si pone l’obiettivo di potenziare la resilienza delle reti e dei sistemi informativi essenziali per il funzionamento della società e dell’economia. Questa direttiva sostituisce la precedente Direttiva NIS e introduce una serie di nuove disposizioni e obblighi per i soggetti considerati critici e rilevanti
Indice dei contenuti
- 1 Introduzione alla Direttiva NIS 2
- 2 Gli obiettivi principali della Direttiva NIS 2
- 3
- 4 Settori e soggetti coinvolti
- 5 Misure tecniche e organizzative di sicurezza richieste
- 6 Cosa fare per adeguarsi alla Direttiva NIS 2
- 7 Sfide e opportunità nell’implementazione della Direttiva
- 8 Sanzioni per il mancato adeguamento
- 9 Conclusione
Introduzione alla Direttiva NIS 2
La Direttiva precedente ((Direttiva Ue 2016/1148), adottata nel 2016, è stata la prima legge dell’UE a puntare alla sicurezza informatica. Tuttavia, la rapida evoluzione delle minacce informatiche e l’aumento della digitalizzazione delle imprese hanno reso necessario nuove regolamentazioni. La Direttiva NIS 2, adottata nel 2022, amplia e rafforza la precedente, affrontando le lacune e rispondendo alle nuove sfide in ambito cyber security. L’aggiornamento mira a garantire una maggiore protezione delle reti e dei sistemi informativi, essenziali per il funzionamento del mercato unico digitale.
Come per il GDPR, si parla di direttiva, e non di regolamento: gli Stati Membri hanno infatti fino al 18 ottobre per aderire, sviluppando piani nazionali per la sicurezza e formando team specializzati. Le organizzazioni devono iniziare con una valutazione dell’impatto aziendale per identificare i processi critici e implementare un sistema di gestione dei rischi e della sicurezza delle informazioni.
La Direttiva NIS 2 si integra, insieme al già citato Regolamento Generale sulla Protezione dei Dati UE 2016/679, con il Regolamento DORA, il Cyber Resilience Act, la Direttiva CER, e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Gli obiettivi principali della Direttiva NIS 2
Gli obiettivi principali della Direttiva NIS 2 sono diversi e mirano a rafforzare la sicurezza informatica e la resilienza delle reti e dei sistemi informativi nell’Unione Europea. Ecco i principali obiettivi:
- Rafforzare la sicurezza informatica: la Direttiva NIS 2 mira a migliorare la protezione delle reti e dei sistemi informativi contro le minacce informatiche. Questo include l’adozione di misure tecniche e organizzative per gestire i rischi, la protezione dei dati e la prevenzione degli incidenti di sicurezza.
- Armonizzare le normative: la direttiva cerca di creare un quadro normativo uniforme tra tutti gli Stati Membri dell’UE. Ciò significa che tutti i paesi dell’UE devono adottare standard simili per la sicurezza informatica, garantendo così una protezione coerente e omogenea su tutto il territorio dell’Unione.
- Resilienza delle infrastrutture critiche: garantire la continuità dei servizi essenziali è un altro obiettivo cruciale della Direttiva NIS 2. Questo implica che le infrastrutture critiche, come quelle energetiche, dei trasporti e sanitarie, devono essere in grado di resistere e recuperare rapidamente da eventuali attacchi informatici.
- Migliorare la gestione dei rischi: le organizzazioni devono adottare politiche di gestione dei rischi per identificare e mitigare le vulnerabilità. Questo include la valutazione continua dei rischi e l’implementazione di misure per ridurre l’impatto degli incidenti di sicurezza.
- Promuovere la cooperazione tra Stati Membri: la direttiva incentiva la cooperazione tra gli Stati Membri per condividere informazioni sulle minacce e collaborare nella risposta agli incidenti. Questa cooperazione è fondamentale per affrontare le minacce transfrontaliere e migliorare la sicurezza collettiva.
- Supportare la conformità normativa: la Direttiva NIS 2 richiede che le organizzazioni si conformino a requisiti normativi specifici per garantire la sicurezza delle reti e dei sistemi informativi. Questo include la notifica obbligatoria degli incidenti di sicurezza alle autorità competenti e l’adozione di misure di sicurezza adeguate e proporzionate.
- Formazione e consapevolezza: aumentare la consapevolezza e la formazione in materia di sicurezza informatica è essenziale. La direttiva incoraggia le organizzazioni a educare il proprio personale sui rischi di sicurezza informatica e sulle migliori pratiche per mitigare tali rischi.
Settori e soggetti coinvolti
La Direttiva NIS 2 amplia l’ambito di applicazione rispetto alla precedente direttiva, includendo nuovi settori e definendo con maggiore precisione i soggetti essenziali e importanti. La direttiva si applica alle organizzazioni, sia pubbliche che private, che forniscono servizi fondamentali per la società, ovvero ai settori ad alta criticità.
Tra i settori coperti ci sono:
- Società di produzione e distribuzione d’energia
- Società di trasporti
- Servizi sanitari
- Fornitori di servizi digitali (e-commerce, cloud computing e servizi ICT)
- Servizi finanziari e bancari
- Infrastrutture digitali e di telecomunicazioni
- Pubblica amministrazione
La normativa si applicherà a soggetti pubblici o privati considerati ad “alta criticità” o appartenenti ad “altri settori critici” che:
- Prestano servizi o svolgono attività all’interno dell’Unione Europea.
- Sono classificati come medie imprese secondo la definizione dell’articolo 2, paragrafo 1, della raccomandazione 2003/361/CE, o che superano i limiti per le medie imprese indicati nello stesso articolo.
Quelli definiti come “altri settori critici” sono:
- servizi postali e di corriere;
- organizzazioni di ricerca.
- gestione dei rifiuti;
- fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- fabbricazione di autoveicoli, rimorchi e semirimorchi;
- fabbricazione di computer e prodotti di elettronica e ottica;
- fabbricazione di apparecchiature elettriche;
- fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- produzione, la trasformazione e la distribuzione di alimenti;
- fabbricazione di macchinari e apparecchiature n.c.a.;
- fabbricazione di altri specifici mezzi di trasporto;
- fornitori di servizi digitali;
Oltre a questi criteri di dimensione, la direttiva si applica anche a:
- Fornitori di reti di comunicazione elettronica pubblica o servizi di comunicazione elettronica accessibili al pubblico.
- Fornitori di servizi di registrazione dei nomi di dominio.
- Taluni enti della pubblica amministrazione.
- Soggetti definiti “critici” dalla Direttiva (UE) 2022/2557.
Gli Stati membri dell’UE devono definire entro il 17 aprile 2025 un elenco dei soggetti essenziali e importanti, da aggiornare almeno ogni due anni.
Misure tecniche e organizzative di sicurezza richieste
Le organizzazioni devono implementare una serie di misure tecniche, operative e organizzative, tra cui:
- Politiche di analisi dei rischi: valutazioni regolari dei rischi per identificare e mitigare le vulnerabilità.
- Gestione degli incidenti: procedure chiare per la risposta agli incidenti di sicurezza.
- Continuità operativa: piani di continuità e disaster recovery per garantire la resilienza dei servizi.
- Sicurezza della catena di approvvigionamento: valutazione e mitigazione dei rischi associati ai fornitori.
- Sicurezza delle risorse umane: formazione continua del personale e controllo degli accessi.
- Crittografia e protezione dei dati: utilizzo della crittografia per proteggere i dati sensibili durante la trasmissione e l’archiviazione.
- Autenticazione Multi-Fattore (MFA): implementazione di sistemi di autenticazione a più fattori per migliorare la sicurezza degli accessi.
Cosa fare per adeguarsi alla Direttiva NIS 2
La Direttiva NIS 2 stabilisce una serie di requisiti tecnici, operativi e organizzativi per gestire i rischi alla sicurezza dei sistemi informatici e delle reti. Ecco gli step fondamentali per adeguarsi:
1. Identificare i soggetti
Il primo passo è identificare se la propria organizzazione rientra tra i “soggetti essenziali” o “soggetti importanti”. Questi includono banche, compagnie aeree, imprese energetiche, aziende di telecomunicazioni, fornitori di servizi digitali e altri settori critici. È essenziale determinare se si appartiene a una di queste categorie, poiché esse svolgono attività fondamentali per la società e l’economia.
2. Adottare una strategia basata sui rischi
Una volta identificata l’appartenenza ai soggetti obbligati, occorre definire una strategia di gestione dei rischi. Questo comporta una gap analysis per determinare le misure tecniche, operative e organizzative necessarie. La Direttiva NIS 2 specifica chiaramente alcune di queste misure, tra cui:
- Analisi dei rischi e politiche di sicurezza
- Gestione degli incidenti
- Continuità operativa e piani di disaster recovery
- Sicurezza della catena di approvvigionamento
- Sicurezza durante l’acquisizione, sviluppo e manutenzione dei sistemi
- Valutazione dell’efficacia delle misure di gestione dei rischi
- Best practices di igiene informatica e formazione
- Uso della crittografia, anonimizzazione e pseudonimizzazione
- Sicurezza delle risorse umane e gestione degli accessi
- Autenticazione multi-fattore e sistemi di comunicazione sicura
3. Creare un piano di gestione degli incidenti
È fondamentale definire un piano di risposta agli incidenti, noto come Data Breach Recovery Plan. La normativa richiede che, in caso di incidente significativo, si segua un iter di notifica organizzato in più fasi:
- Preallarme entro 24 ore dall’incidente
- Notifica dettagliata entro 72 ore
- Relazione finale entro un mese, con dettagli specificati dal legislatore nazionale
Un incidente è considerato significativo se causa o è in grado di causare gravi perturbazioni operative o perdite finanziarie, o se ha ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
4. Monitorare e aggiornare continuamente
Infine, è cruciale monitorare costantemente i livelli di sicurezza informatica e aggiornare le misure adottate in base alle vulnerabilità e alle minacce emergenti, sia interne che esterne. La Direttiva NIS 2 richiede un approccio continuo alla gestione della cybersecurity, definendo obiettivi chiari e monitorando i risultati ottenuti.
Adottare un approccio proattivo e continuo alla sicurezza informatica è essenziale per garantire la conformità alla Direttiva NIS 2 e proteggere le infrastrutture critiche delle organizzazioni.
Sfide e opportunità nell’implementazione della Direttiva
Implementare le misure richieste presenta diverse sfide, tra cui:
- Costi di implementazione: le misure di sicurezza richieste possono comportare costi significativi, specialmente per le piccole e medie imprese.
- Complessità tecnica: implementare tecnologie avanzate di sicurezza può essere complesso e richiedere competenze specialistiche.
- Cambiamento culturale: promuovere una cultura della sicurezza all’interno dell’organizzazione richiede formazione e consapevolezza.
Nonostante le sfide, la Direttiva NIS 2 offre anche opportunità significative, tra cui:
- Miglioramento della resilienza: implementare misure di sicurezza robuste può migliorare la resilienza dell’organizzazione agli incidenti di sicurezza.
- Vantaggio competitivo: le organizzazioni che dimostrano un elevato livello di sicurezza possono guadagnare la fiducia dei clienti e ottenere un vantaggio competitivo.
- Innovazione: l’adozione di tecnologie avanzate di sicurezza può stimolare l’innovazione e l’efficienza operativa.
Sanzioni per il mancato adeguamento
La Direttiva NIS 2 è stata introdotta con l’obiettivo di migliorare la sicurezza informatica nell’Unione Europea, non per incrementare le entrate pubbliche o aggiungere burocrazia. Le sanzioni previste possono essere di natura amministrativa o penale.
Sanzioni amministrative
- Operatori essenziali: Possono essere multati fino a 10 milioni di euro o il 2% del fatturato mondiale annuo totale, a seconda di quale importo sia maggiore.
- Operatori importanti: Possono essere soggetti a sanzioni fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo totale, a seconda di quale importo sia maggiore.
Sanzioni penali
La Direttiva NIS 2 lascia agli Stati Membri la libertà di legiferare in materia di sanzioni penali, adattandole alla propria legislazione. Ad esempio, in Italia, le violazioni gravi della privacy possono comportare una pena detentiva fino a 7 anni.
Pubblicazione delle violazioni
Una novità significativa della NIS 2 è l’obbligo per l’organizzazione colpita di rendere pubblica la violazione subita sui propri canali. Questa misura aumenta la trasparenza e può servire come deterrente contro comportamenti negligenti.
Danni collaterali
Oltre alle sanzioni pecuniarie, le aziende possono subire danni reputazionali e perdite finanziarie in caso di gravi incidenti di sicurezza. Questi eventi possono anche comportare costi significativi per risarcire i danni causati agli individui colpiti.
Conclusione
La Direttiva NIS 2 rappresenta un passo cruciale verso una maggiore sicurezza delle reti e dei sistemi informativi nell’UE. Le organizzazioni devono adottare un approccio proattivo per conformarsi ai requisiti della direttiva e garantire la sicurezza delle loro infrastrutture critiche. Implementare strategie di cloud security efficaci richiede un impegno continuo e una collaborazione stretta tra fornitori di servizi cloud e utenti finali.
Per una consulenza personalizzata e per garantire la conformità alla Direttiva NIS 2, contatta i nostri esperti di sicurezza informatica. Siamo pronti ad assisterti nell’implementazione delle migliori soluzioni di sicurezza per proteggere il tuo business.
Il nostro CEO è un appassionato di calcio, lavora da più di 20 anni nell’IT Management e fa gol scrivendo della gestione dell’informatica aziendale e della telecomunicazione nel business.