la Direttiva NIS2 è entrata in vigore il 17 gennaio 2024 e deve essere recepita dai singoli stati entro 9 mesi, quindi a ottobre 2024. Il termine NIS è l’acronimo di “Network & Information Security” (Sicurezza della rete e delle informazioni) ed infatti l’obiettivo della Direttiva è quello di rafforzare il livello collettivo di cyber security degli Stati membri dell’UE, aumentando i requisiti di applicazione della cyber security per settori ritenuti essenziali o importanti.
Quali norme devono recepire gli Stati entro 9 mesi
I cardini intorno ai quali si focalizza la Direttiva per aiutare le infrastrutture critiche di servizi essenziali e importanti a rimanere preparate e a combattere le minacce informatiche sono:
- Sviluppo e mantenimento di un registro europeo delle vulnerabilità che permetterà di tenere traccia delle vulnerabilità informatiche scoperte di recente in tutta Europa e gestite tramite banche dati condivise
- CyCLONe o Cyber Crisis Liaison Organisation Network. Che ha lo scopo di garantire la cooperazione tra gli stati membri in merito alle crisi informatiche e facilitare una forte collaborazione per lo scambio di informazioni e la consapevolezza situazionale.
- Relazione annuale sullo stato della cybersecurity nell’UE. La relazione annuale sulla cybersecurity aiuterà gli Stati membri a rimanere aggiornati sulle loro prestazioni annuali in materia di cybersecurity, sulle aree di miglioramento e sulla situazione delle minacce informatiche.
- Documentazione di tutti i fornitori di servizi digitali transfrontalieri. Creazione e gestione di un report di tutte le entità che forniscono servizi transfrontalieri come cloud computing, servizi di data center, servizi dei Domain Name System (DNS), registri dei nomi dei Top-Level Domain (TLD), registrazioni di nomi di dominio e altro ancora.
- Consentire le revisioni inter pares per gli Stati membri per aiutare tutti i membri a mantenere aggiornate le loro strategie informatiche.
- Istituzione di un gruppo di intervento per la cyber security (CSIRT) in caso di incidente e di un’autorità competente per le reti e i sistemi informativi nazionali che cooperino tra tutti gli Stati membri.
Settori e aziende interessate dalla direttiva NIS2
La Direttiva NIS2 amplia notevolmente il numero e la tipologia di attori coinvolti rispetto alla precedente: non più solo le aziende operanti nei settori altamente critici/essenziali individuati dalla Direttiva NIS1, ma anche soggetti parimenti qualificati come critici ma operanti in ambiti differenti, distinguendo tra:
Settori essenziali
- Settore energetico: elettrico, oil and gas, riscaldamento, idrogeno.
- Settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico.
- Trasporti: aereo, nautico, ferroviario e stradale.
- Acque e acque di scarico.
- Infrastrutture digitali.
- Settore spaziale.
- Pubblica amministrazione.
Settori importanti
- Settore postale e più in generale di spedizione.
- Gestione/Trattamento dei rifiuti.
- Settore chimico: produzione e distribuzione.
- Settore alimentare: approvvigionamento, inclusa anche la grande distribuzione.
- Industrie tecnologiche e ingegneristiche.
- Servizi digitali: social network e servizi di data center.
- Ricerca scientifica.
In questi settori, solo le organizzazioni di medie e grandi dimensioni rientrano nell’ambito di applicazione della Direttiva NIS2, e precisamente:
- Grandi organizzazioni, con più di 250 dipendenti
- Medie organizzazioni, con 50-250 dipendenti.
Sono escluse le imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano ritenute di importanza critica per la società
Quali requisiti vengono imposti dalla Direttiva NIS2 all’organizzazione?
La Direttiva NIS2 adotta un approccio risk-based ed aggiunge nuovi requisiti per 4 aree principali dell’organizzazione,:
- Gestione. È necessario che il Top Management sia consapevole e comprenda i requisiti della Direttiva e gli sforzi di gestione del rischi, considerando la responsabilità diretta di identificare e affrontare i rischi informatici per conformarsi ai requisiti.
- Segnalazione alle autorità: deve essere definita una procedura operativa per la segnalazione alle autorità.
- Gestione del rischio: adottare una serie di misure che permettano di contenere il rischio quali: la gestione degli incidenti, il miglioramento della sicurezza della catena di approvvigionamento, la sicurezza della rete, il controllo degli accessi e la crittografia.
- Continuità aziendale. Deve essere garantita la continuità aziendale in caso di gravi incidenti informatici. Ciò include, ad esempio, il ripristino del sistema, le procedure di emergenza e l’istituzione di una squadra di risposta alle crisi.
Per poter garantire una gestione tempestiva e coerente dei rischi informatici innanzitutto è necessario indentificare i processi critici della organizzazione e la loro dipendenza dalla rete e dai sistemi informativi. Sarà interessante vedere quali criteri di impatto aziendale saranno adottati per far rientrare un processo, un sito o una risorsa nell’ambito della Direttiva NIS2.
Individuati i processi critici è necessario implementare un sistema di gestione dei rischi e della sicurezza delle che miri a identificare, trattare e monitorare i rischi per la sicurezza delle informazioni dell’azienda, nonché a garantire che le responsabilità siano definite e che i processi chiave siano operativi.
Misure minime da implementare
Il livello dei requisiti applicabili varia seconda delle dimensioni dell’azienda, della funzione sociale e di quanto sia esposta l’organizzazione. Ciò al fine di garantire che i requisiti rimangano proporzionati e che le imprese più piccole non siano colpite in modo sproporzionato e che i requisiti per le imprese più grandi riflettano il loro ruolo nella società. Rimane però un livello minimo di requisiti che tutte le aziende devono garantire e che di seguito riportiamo.
- Stabilire un solido quadro di governance della cyber security. Ciò comporta l’identificazione e la documentazione dei ruoli e delle responsabilità delle principali parti interessate, tra cui il consiglio di amministrazione, il Top Management e il personale IT e la definizione di chiare linee di autorità e canali di comunicazione per garantire che tutte le parti interessate conoscano le proprie responsabilità e siano allineate con gli obiettivi generali di cyber security dell’organizzazione.
- Implementare una formazione regolare di sensibilizzazione dei dipendenti, che sono spesso l’anello più debole delle difese di cyber security di un’organizzazione. La formazione dovrebbe comprendere, anche, la gestione delle password, le truffe di phishing e l’importanza di segnalare immediatamente attività sospette.
- Stabilire un piano completo di risposta agli incidenti, perché è sempre possibile che si verifichi un attacco informatico. Un piano completo di risposta agli incidenti consentirà una rapida reazione a qualsiasi evento indesiderato.
- Condurre valutazioni periodiche del rischio. Valutazioni regolari dei rischi sono fondamentali per identificare potenziali vulnerabilità nell’infrastruttura digitale. I risultati di queste valutazioni dovrebbero fornire, di fatto, informazioni sull’attuale strategia di cyber security e identificare gli ambiti di miglioramento.
- Stabilire la sicurezza della catena di approvvigionamento, in quanto spesso rappresentano una porta di ingresso per eventuali attacchi. Ciò comporta l’implementazione di misure di sicurezza nella catena di approvvigionamento, quali: valutazioni e audit dei rischi dei fornitori, accordi contrattuali che specificano i requisiti di sicurezza, monitoraggio e comunicazione continui con i fornitori.
- Aggiornare e applicare regolarmente patch all’infrastruttura e alle applicazioni, visto che vulnerabilità note vengono spesso sfruttate dai criminali informatici per l’accesso alle risorse digitali di un’organizzazione .
- Utilizzare i giusti strumenti di identificazione delle minacce, quali i sistemi di rilevamento delle intrusioni, piattaforme di intelligence sulle minacce e i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) .
- Implementare il monitoraggio delle minacce e svolgere attività di intelligence, monitorando costantemente i feed delle minacce per rimanere aggiornati sulle ultime minacce informatiche. I
- Implementare una solida sicurezza della rete e degli endpoint, che comporta l’implementazione di firewall robusti, sistemi di rilevamento delle intrusioni e software antivirus per proteggersi dalle minacce esterne e interne e affrontare potenziali vettori di attacco. Inoltre, le misure di sicurezza degli endpoint – quali, ad esempio, la crittografia dei dati e i controlli degli accessi – possono ridurre significativamente il rischio di accesso non autorizzato ai dati sensibili.
- Condurre audit di sicurezza regolari , condotti da una terza parte indipendente e che devono includere: una revisione completa de: il quadro di governance della cyber security , le valutazioni dei rischi, il piano di risposta agli incidenti e i controlli di sicurezza.
Segnalazione degli incidenti
Altro passaggio fondamentale è quello di segnalare “incidenti significativi” al proprio CSIRT (Computer Security Incident Response Team.) o all’autorità competente “senza indebito ritardo”, dove incidente significativo è un incidente che:
- ha causato o è in grado di causare impatti operativi sui servizi o perdite finanziarie per il soggetto interessato [e/o]
- ha pregiudicato o può arrecare pregiudizio ad altre persone fisiche o giuridiche provocando danni materiali o immateriali considerevoli”.
Qualora l’incidente incidesse sulla capacità dell’entità di fornire i propri servizi, è necessario anche informare i destinatari di tali servizi “senza indebito ritardo” ed eventualmente fornire loro indicazioni in merito ad eventuali misure di risposta che potrebbero adottare.
Di seguito una tabella riassuntiva di cosa si deve fare a fronte di un incidente, informazioni da fornire e temini di scadenza.
Sanzioni per il mancato rispetto
Le sanzioni per il mancato rispetto della direttiva sono le seguenti:
- Organizzazioni essenziali. Società classificate come a rischio essenziale per multe fino a 10 milioni di euro o al 2% del loro fatturato annuo globale.
- Organizzazioni importanti. Società classificate come a rischio importante per multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Inoltre è opportuno evidenziare che anche le persone fisiche che detengono posizioni dirigenziali nell’organizzazioni interessate dalla Direttiva NIS2 possono essere ritenute responsabili di qualsiasi incapacità di soddisfare i nuovi requisiti.
Lascia un commento