- 1 luglio, 2024
Direttiva NIS 2: un percorso chiaro da seguire
Il prossimo 18 ottobre sarà ufficialmente attivo l’obbligo di conformità alla nuova normativa NIS 2 per la protezione delle reti informatiche su tutto il territorio Europeo.
L’obbiettivo è quello di accrescere la consapevolezza in tema di sicurezza informatica nei singoli stati, nell’ottica di un’Europa sempre più resiliente di fronte alle potenziali minacce di oggi. La piena collaborazione di tutte le aziende e gli enti coinvolti è quindi essenziale per garantirne l’efficacia.
Ma cosa devono fare le organizzazioni che rientrano nell’obbligo di conformità alla normativa NIS 2? Il processo per raggiungerla può essere davvero lungo e complesso. È quindi fondamentale per le aziende conoscere nel dettaglio le misure da implementare e le procedure da mettere in atto.
Non sai ancora da dove partire? Non preoccuparti, sei nel posto giusto.
Con questo articolo proveremo a fare luce sul percorso migliore da seguire e risponderemo a domande fondamentali come: a chi viene applicata la direttiva? O quali sanzioni sono previste?
Direttiva NIS 2: di cosa si tratta?
NIS 2, acronimo di Network and Information Security, è la nuova normativa in materia di sicurezza delle reti e delle informazioni in Europa. Nello specifico si tratta di un aggiornamento della precedente normativa NIS 1 entrata in vigore nel 2016, rivista e aggiornata con misure più stringenti e con l’inclusione di nuovi soggetti come le medie imprese.
L’Unione Europea, con l’aggiornamento di questa normativa, si pone l’obbiettivo di rafforzare la cyber sicurezza all’interno degli stati membri. Come? Tramite l’introduzione di nuove misure nella gestione della sicurezza informatica di imprese ed enti pubblici, che saranno così più pronti di fronte a potenziali minacce.
Le nuove procedure introdotte dall’Unione Europea
Le imprese con obbligo di conformità non verranno però lasciate sole in questo percorso. L’Unione Europea ha infatti introdotto nuove procedure che avranno il compito di affiancare gli stati membri nel rispetto della direttiva, tra cui:
- Il registro Europeo delle vulnerabilità: che registrerà e conserverà le nuove vulnerabilità informatiche scoperte su tutto il territorio europeo.
- La relazione annuale sullo stato della cyber security: questa relazione informerà gli stati membri sulla loro prestazione annuale in tema di cyber sicurezza e li metterà al corrente dei campi in cui intervenire con dei miglioramenti.
La giusta direzione: 10 misure per adeguarsi alla NIS 2
Visto l’imminente obbligo di conformità è fondamentale per le imprese avviare il prima possibile il percorso di adeguamento ai requisiti imposti dalla normativa NIS 2. Le varie fasi di questo percorso sono complesse e richiedono tempi abbastanza lunghi. È quindi indispensabile pianificare con precisione ogni passo.
In queste situazioni torna utile avere una guida da seguire, ecco perché abbiamo stilato un elenco delle principali misure da adottare, per aiutare le aziende a gestire il loro percorso in modo chiaro, un passo alla volta, e senza dimenticarsi nulla per strada.
Nel percorso di adeguamento le imprese dovranno procedere muovendosi su due livelli principali: il livello organizzativo e il livello tecnico. Il livello organizzativo si concentra sulle misure riguardanti la gestione aziendale, mentre il livello tecnico si occupa delle misure legate alle infrastrutture informatiche dell’azienda.
Le misure da adottare in campo organizzativo:
- Stabilire e documentare in modo preciso ruoli e responsabilità di tutte le parti in gioco (come Consiglio di amministrazione e personale IT), garantendo dei canali di comunicazione che permettono a ogni soggetto di essere allineato sulle proprie responsabilità.
- Formare regolarmente il personale educandolo ai principi base della cyber sicurezza, trasformandolo da anello debole a elemento di difesa cruciale per l’azienda.
- Stabilire un piano di risposta agli incidenti per non essere colti impreparati in caso di attacco, ma anzi rispondere in modo tempestivo a qualunque evento rischioso.
- Produrre valutazioni periodiche del rischio. Queste valutazioni sono fondamentali per avere un quadro generale della strategia di cyber security aziendale, individuare nuove minacce o potenziali vulnerabilità e identificare i campi in cui sono necessari dei miglioramenti.
- Verificare la sicurezza dei propri fornitori per ridurre la probabilità di attacchi provenienti da terze parti (ad esempio con contratti appositi o mantenendo una costante comunicazione con il fornitore).
Le misure da adottare in campo tecnico:
- Aggiornare regolarmente le Patch delle applicazioni. La mancanza di patch è tra le debolezze più comuni nelle aziende, nonché uno dei metodi più usati per attaccarle.
- Monitorare le minacce in tempo reale e con costanza per rimanere sempre aggiornati su potenziali attacchi. Il monitoraggio costituisce già da solo un buon metodo di prevenzione.
- Implementare la sicurezza della rete aziendale e degli endpoint con strumenti come firewall e sistemi di rilevamento delle intrusioni. Queste misure riducono sensibilmente la probabilità di accesso a dati sensibili.
- Fare controlli di sicurezza regolari per aggiornare lo stato della strategia di cyber sicurezza aziendale e verificare la presenza di vulnerabilità
- Segnalare tempestivamente gli incidenti. La direttiva NIS 2 obbliga le aziende a segnalare ogni incidente significativo, ovvero tutti gli episodi che possono avere impatto sull’operatività aziendale o arrecare danno agli utenti finali dei servizi. In questo caso anche i soggetti esposti al danno vanno informati.
NIS 2: Chi deve rispettarla?
Abbiamo visto quali sono le misure minime da adottare per risultare conformi alla normativa, ma capiamo ora quali sono i soggetti coinvolti nell’introduzione di questi nuovi obblighi.
Le aziende e gli enti che dovranno conformarsi alla direttiva NIS 2 sono quelli che operano nei settori considerati più critici per le potenziali ripercussioni in caso di attacco informatico. L’elenco di questi settori è sempre più ampio e considera, con l’aggiornamento della direttiva, anche degli ambiti precedentemente esclusi.
La criticità del settore è rappresentata da due categorie: i settori essenziali e quelli importanti, e vale sia per gli enti pubblici che per le aziende.
- Rientrano nei settori essenziali: l’energia, la sanità, i trasporti, la gestione idrica, le pubbliche amministrazioni, le infrastrutture digitali, lo spazio.
- Rientrano invece nei settori importanti: le poste, la gestione dei rifiuti, il settore chimico, il settore alimentare, le industrie tecnologiche e ingegneristiche, i servizi digitali e la ricerca scientifica.
Ma non è solo la classificazione del livello di rischio a determinare gli obblighi dei soggetti coinvolti. Anche la dimensione dell’organizzazione ha un ruolo chiave: a doversi adeguare alla direttiva NIS 2 saranno infatti solo le aziende di medie dimensioni con numeri che vanno da 50 a 150 dipendenti, e le aziende di grandi dimensioni con più di 150 dipendenti.
E se non ti adegui? le sanzioni previste dalla Direttiva NIS 2
Ma cosa succede alle aziende e agli enti che non si sono adeguati alla direttiva?
La normativa NIS 2 è stata aggiornata anche per quanto riguarda le sanzioni, lasciando alle autorità competenti più spazio di manovra e più potere. Le sanzioni previste per chi non si adegua potranno essere di tipo pecuniario o interdittivo, e varieranno in base alla gravità delle violazioni commesse.
Per quanto riguarda le sanzioni pecuniarie saranno proporzionate in base alla categoria di rischio del soggetto coinvolto:
- Per le organizzazioni importanti le multe potranno raggiungere 7 milioni di euro o l’1,4% del fatturato annuo globale.
- Per le organizzazioni essenziali le multe arriveranno a ben 10 milioni di euro o al 2% del fatturato annuo globale.
Le sanzioni interdittive includeranno invece dei divieti temporanei di esercitare ruoli dirigenziali alle persone fisiche a capo dell’organizzazione oltre alla sospensione, sempre temporanea, di autorizzazioni e certificati riguardanti i servizi offerti dall’organizzazione coinvolta.
L’aggiornamento della direttiva permette inoltre di perseguire legalmente le persone che detengono ruoli dirigenziali e porre l’obbligo per questi ultimi di seguire dei corsi per migliorare la propria capacità di valutare i rischi.
Conclusioni
L’introduzione di questa nuova direttiva ha l’obbiettivo di responsabilizzare in modo concreto sia le aziende che gli enti pubblici a livello europeo.
Proprio azioni concrete come questa possono rivelarsi un valido contributo per migliorare la consapevolezza su un tema così importante e attuale come quello della cyber sicurezza, non solo a livello individuale per le singole aziende, ma anche a livello sociale e culturale. La piena collaborazione di tutte le aziende e gli enti coinvolti è quindi essenziale per garantirne l’efficacia.
Va poi considerato che l’adeguamento alla direttiva NIS 2 costituisce un passo vantaggioso prima di tutto per le aziende stesse, che saranno così in grado di evitare potenziali catastrofi, che possono rappresentare un duro colpo per l’impresa, o di risollevarsi con facilità in caso di attacco.
Solo tramite il giusto impegno da parte degli stati membri l’Unione Europea potrà finalmente considerarsi davvero preparata sia di fronte alle sfide di oggi, sia di fronte a quelle future.