La Direttiva NIS2: come i temi di cybersecurity riguarderanno sempre più imprese nel 2024

L’Unione Europea lavora da tempo a un quadro normativo che si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area UE. Qui parleremo della normativa NIS 2, entrata in vigore il 17 gennaio 2023, che interviene e cambia profondamente la precedente Direttiva NIS.

Trattandosi di una direttiva e non di un regolamento (com’è, ad esempio, il GDPR) necessita di essere recepita da tutti gli Stati Membri entro un certo periodo prestabilito, in questo caso entro il 18 ottobre 2024, sviluppando piani nazionali per la sicurezza e team specializzati per mettere in atto la direttiva.

La Direttiva NIS 2 si inserisce nel più ampio quadro normativo che si sta via via strutturando in Europa e che include strumenti quali il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Il suo obiettivo principale è quello di rafforzare le misure cybersecurity soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari e con la sua nuova release coinvolge nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP).

Quali son le aziende obbligate?

Innanzitutto, la Direttiva NIS 2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio:

• fornitori di servizi essenziali

1. società di produzione e distribuzione energia;
2. servizi sanitari;
3. trasporti;
4. infrastrutture di comunicazione elettronica;
5. servizi bancari e finanziari.

Queste imprese, considerate strategiche per il funzionamento dei servizi essenziali ,  devono alzare più di tutte le asticelle dei propri sistemi cyber security.

Inoltre, la Direttiva NIS 2, si applica anche ai fornitori di servizi digitali. Questi ultimi includono le piattaforme online.

• fornitori di servizi digitali

1. e-commerce;
2. motori di ricerca;
3. cloud computing;
4. gestione dei servizi ICT, della pubblica amministrazione e dello spazio.

Queste organizzazioni, pur non essendo a livello di rischio così elevato come i primi, dovranno garantire comunque alti standard di sicurezza informatica per proteggere, sia i dati dei propri utenti che quelli di clienti e fornitori con cui operano.

La nuova Direttiva NIS 2 introduce poi una nuova platea di soggetti definiti  “altri settori critici” si seguito elencati:

• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, la produzione e la distribuzione di sostanze chimiche;
• produzione, la trasformazione e la distribuzione di alimenti;
• fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
• fabbricazione di computer e prodotti di elettronica e ottica;
• fabbricazione di apparecchiature elettriche;
• fabbricazione di macchinari e apparecchiature n.c.a.;
• fabbricazione di autoveicoli, rimorchi e semirimorchi;
• fabbricazione di altri specifici mezzi di trasporto;
• fornitori di servizi digitali;
• organizzazioni di ricerca.

Un’altra importante novità che introduce la NIS 2 sono due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.

Definisce anche meglio i criteri per individuare i soggetti obbligati, in particolare in base al criterio di dimensione che descriveremo di seguito.

La dimensione quale criterio per l’assoggettabilità

In particolare, la Direttiva NIS 2 definisce il criterio della “dimensione del soggetto” affermando che, l’applicazione della normativa interesserà tutti quei soggetti, pubblici o privati, compresi nelle tipologie denominate ad “alta criticità” o “altri settori critici” che:

• prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
• siano considerati medie imprese (hanno meno di 250 occupati; hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro).

In ogni caso  sarà a cura degli Stati membri definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni. Tali soggetti dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Gli step

Vediamo quali saranno i passaggi una volta che i singoli Stati membri avranno adottato il loro piano nazionale (entro ottobre 2024).

Innanzitutto bisogna capire se si rientra in una delle categorie assoggettate alla Direttiva.

Una volta stabilito se si rientra fra i soggetti obbligati, bisogna procedere con un risk assessment per verificare quali misure tecniche , operative ed organizzative bisogna implementare  con riferimento diretto al principio di “Accountability” del Gdpr, per proteggere i sistemi informatici e le reti adottando un tipo di approccio multirischio.

A tal riguardo la  Direttiva NIS 2 fornisce qualche indicazione su quali possono essere queste misure che vengono qui elencate:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. gestione degli incidenti;
3. continuità operativa, gestione del backup ripristino in caso di evento disastroso;
4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
7. best practices di igiene informatica di base e formazione in materia di sicurezza informatica;
8. policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Molto importante è anche definire un Data Breach Recovery Plan che prevede un iter di notifica ben specifico :

1. un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
2. una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
3. una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo  deve essere ancora dettagliato dal singolo legislatore

Tale iter va seguito in caso di “incidente significativo”, che per essere tale:

1. ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
2. può ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La direttiva NIS 2 prevede l’adozione di un approccio continuo, come per tutti i sistemi di gestione, che permetta di monitorare e tenere aggiornato  propri livelli di sicurezza informatica e aggiornare di conseguenza le misure adottate in funzione delle vulnerabilità e delle effettive minacce, sia interne che esterne, che possono compromettere la sicurezza.