Direttiva NIS 2 cybersecurity: che cos’è e come adeguarsi in 4 STEP
La Direttiva NIS 2, che nasce da una profonda revisione della precedente Direttiva NIS, segna un altro importante passo verso la piena definizione della strategia cyber dell’Unione Europea, predisponendo adeguate risposte coordinate e innovative da parte di tutti gli Stati membri per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.
Direttiva NIS Cybersecurity che cos’è
La Direttiva NIS, acronimo di Network and Information Security, è una normativa Europea cyber security, entrata in vigore il 24 Giugno 2018, che si occupa di garantire la sicurezza cibernetica dei Paesi membri. La sua finalità principale è quella di prevenire e gestire le minacce informatiche, come gli attacchi informatici, che possono danneggiare infrastrutture critiche come quelle del settore energetico o delle telecomunicazioni.
La Direttiva security NIS impone agli Stati membri l’obbligo di adottare misure di sicurezza informatica a livello nazionale e di cooperare a livello europeo per garantire una maggiore protezione contro le minacce cibernetiche. Inoltre, prevede la creazione di un sistema di notifica obbligatoria delle violazioni della sicurezza informatica da parte degli operatori dei servizi essenziali e dei fornitori di servizi digitali.
Tra le principali misure previste dalla Direttiva NIS ci sono la creazione di un Computer Emergency Response Team (CERT) nazionale, il rafforzamento delle competenze tecniche nel settore della sicurezza informatica e l’adozione di standard comuni per la valutazione della sicurezza delle infrastrutture critiche.
La nuova Direttiva NIS2: cosa cambia rispetto alla Direttiva NIS
La Direttiva NIS 2 è una normativa dell’Unione Europea, entrata in vigore il 17 Gennaio 2023, che rivoluziona la precedente Direttiva NIS, con l’obiettivo di creare una solida strategia cyber capace di garantire la sicurezza dei servizi digitali in Europa.
Questa nuova direttiva prevede l’adozione di misure innovative e coordinamento tra tutti gli Stati membri, al fine di garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.
La Direttiva NIS 2 si inserisce in un quadro normativo più ampio, che comprende anche il Regolamento generale sulla protezione dei dati (GDPR) e la legislazione sulla cybersicurezza. Il suo obiettivo principale è quello di rafforzare le misure di sicurezza informatica a livello europeo, prevenendo gli attacchi informatici e garantendo la continuità dei servizi digitali, soprattutto in settori critici come energia, trasporti e servizi finanziari.
La Direttiva NIS 2 prevede l’introduzione di nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP), che dovranno rispettare standard elevati per quanto riguarda la cybersecurity. Inoltre, gli Stati membri dovranno sviluppare piani nazionali per la cybersecurity e creare team specializzati per l’implementazione della direttiva.
L’impatto della Direttiva NIS 2 sulle aziende sarà significativo, poiché diventeranno obbligate ad adottare misure di sicurezza informatica più rigorose. Inoltre, i fornitori di servizi digitali dovranno notificare alle autorità competenti eventuali Data Breach entro 24 ore, al fine di garantire una risposta rapida e coordinata.
Scarica la Direttiva NIS 2 Pdf
CHI è obbligato ad adeguarsi alle Direttive NIS e NIS2
Abbiamo detto che la Direttiva NIS è una normativa europea che riguarda la sicurezza informatica delle infrastrutture critiche e dei servizi digitali essenziali.
Ma a CHI si rivolge esattamente questa direttiva?
Innanzitutto, la Direttiva NIS si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio:
Quali sono le società di “SERVIZI ESSENZIALI” soggetti alla Direttiva NIS:
- Società di produzione e distribuzione energia;
- Servizi Sanitari;
- Trasporti;
- Infrastrutture di comunicazione elettronica;
- Servizi bancari e finanziari.
Queste imprese devono garantire un elevato livello di sicurezza informatica per proteggere sia i propri sistemi che quelli dei loro clienti.
Inoltre, la Direttiva NIS si applica anche ai fornitori di servizi digitali.
Questi ultimi includono le piattaforme online quali:
Quali sono i FORNITORI di SERVIZI DIGITALI soggetti alla Direttiva NIS:
- e-commerce;
- motori di ricerca;
- cloud computing;
- gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
Tali fornitori sono tenuti a garantire un elevato livello di sicurezza informatica per proteggere sia i dati dei propri utenti che quelli delle imprese con cui collaborano.
La Direttiva NIS 2 ha inoltre previsto anche la tipologia dei cosiddetti “altri settori critici”, includendovi:
Altri SETTORI CRITICI introdotti dalla Direttiva NIS 2:
- servizi postali e di corriere;
- gestione dei rifiuti;
- fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- produzione, la trasformazione e la distribuzione di alimenti;
- fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- fabbricazione di computer e prodotti di elettronica e ottica;
- fabbricazione di apparecchiature elettriche;
- fabbricazione di macchinari e apparecchiature n.c.a.;
- fabbricazione di autoveicoli, rimorchi e semirimorchi;
- fabbricazione di altri specifici mezzi di trasporto;
- fornitori di servizi digitali;
- organizzazioni di ricerca.
Occorre evidenziare, inoltre, come la Direttiva NIS 2 superi anche la precedente impostazione legata ai concetti di “operatore di servizi essenziali” e di “fornitore di servizi digitali”, liberamente identificati dagli Stati membri dell’Unione europea attraverso criteri disomogenei, stabilendo, invece, alcuni criteri uniformi per permettere una più coerente e organica identificazione degli operatori pubblici e privati da includere in due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.
DIMENSIONE dei soggetti obbligati
In particolare, il legislatore della Direttiva NIS 2 ha optato, anzitutto, per l’utilizzo del criterio della dimensione del soggetto da ritenere come essenziale o importante, affermando che essa si applica a tutti quei soggetti pubblici o privati ricompresi nelle tipologie denominate ad “alta criticità” o “altri settori critici” che:
- prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
- siano considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese di cui al paragrafo 1 del medesimo articolo.
Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS 2 anche ulteriori particolari tipologie di soggetti quali, ad esempio: fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti cosiddetti “critici” dalla Direttiva (UE) 2022/2557.
Non solo le imprese e i fornitori di servizi digitali sono interessati dalla Direttiva NIS 2, ma anche gli Stati membri dell’Unione Europea. Essi devono infatti garantire la disponibilità di risorse adeguate per affrontare eventuali attacchi informatici e sviluppare strategie comuni per prevenire tali attacchi.
In ogni caso, saranno gli Stati membri a definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni, per la cui compilazione, al netto del soddisfacimento dei criteri di applicabilità sopra accennati, gli stessi soggetti interessati saranno chiamati a fornire le necessarie informazioni.
I 4 STEP per ADEGUARSI alla nuova Direttiva NIS 2
La Direttiva NIS 2, così come la Direttiva NIS originaria, mira ad imporre ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
E fin qui, le indicazioni fornite su modalità e strumenti da adottare rimangono sempre alquanto vaghe e riconducibili all’ Art.32 del GDPR a cui fa un esplicito richiamo.
Ma vediamo comunque di entrare un po’ più nel dettaglio indicando gli STEP FONDAMENTALI anche con l’aiuto di questa infografica:
STEP 1 – Identificare i soggetti
Innanzitutto, occorre identificare se si rientra fra le tipologie di soggetti essenziali e importanti, ovvero quelli che svolgono attività fondamentali per il funzionamento della società o dell’economia. Tra questi rientrano ad esempio le banche, le compagnie aeree, le imprese energetiche e le aziende di telecomunicazioni, oltre ai fornitori di servizi digitali ed agli altri settori critici già elencati in precedenza.
STEP 2 – Adozione di misure di gestione del rischio
Una volta stabilito se si ricade fra i soggetti interessati, occorre stabilire una strategia per adottare le misure tecniche, operative e organizzative “adeguate” per proteggere i sistemi informatici e le reti utilizzate basandosi su una metodologia di approccio multirischio, come definito nell’Art.21 comma 1 della Direttiva NIS2.
Queste misure di gestione del rischio vengono chiaramente elencate dall’Art.21 comma 2 della Direttiva NIS2, e comprendono:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti (Data Breach);
- continuità operativa (business continuity), gestione del backup e ripristino in caso di disastro (disaster recovery);
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
- best practices di “igiene informatica” di base e formazione in materia di cybersecurity;
- policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
STEP 3 – Prevedere un piano di gestione dei Data Breach
Molto importante è anche definire un piano di gestione degli incidenti informatici (Data Breach) tramite sistemi di business continuity e disaster recovery, in grado di garantire una rapida risposta in caso di attacco o violazione dei sistemi.
La normativa prevede quindi che, i soggetti interessati da qualsivoglia “incidente significativo”, debbano rispettare un iter di notifica alle autorità competenti organizzato in più fasi, il quale iter prevede la trasmissione di:
- un preallarme entro il termine di 24 ore da quando si è venuti a conoscenza dell’incidente;
- una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
- una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.
Ma quando un Data Breach è considerato SIGNIFICATIVO?
Per comprendere se un Data Breach debba essere considerato “significativo” o meno, la Direttiva NIS2 specifica che si dovrà tener conto se l’incidente stesso:
- ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato e/o;
- se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
Inoltre, il Data Breach Recovery Plan dovrebbe prevedere anche le seguenti misure organizzative:
- nomina di un responsabile della sicurezza informatica;
- la definizione dei ruoli e delle responsabilità del personale coinvolto nella gestione degli incidenti;
- la definizione delle procedure da seguire in caso di violazione dei sistemi.
STEP 4 – Monitorare ed aggiornare
Ultimo, ma non in ordine di importanza, è fondamentale essere in grado di monitorare costantemente i propri livelli di sicurezza informatica e aggiornare di conseguenza le misure adottate in funzione delle vulnerabilità e delle effettive minacce, sia interne che esterne, che possono compromettere i nostri sistemi.
La Direttiva NIS 2 richiede infatti un approccio continuo alla gestione della Cybersecurity, mediante la definizione di obiettivi chiari e il monitoraggio proattivo costante dei risultati ottenuti.
In altri termini, sarà necessario valutare e, se opportuno, ripensare tutti i principali processi interni di cybersecurity, tarandoli sui nuovi obiettivi e sui nuovi obblighi di sicurezza, attraverso l’implementazione dell’approccio “multirischio” introdotto dalla normativa.
Quando entra in vigore la Direttiva NIS2
Anche se la nuova Direttiva NIS2 è entrata in vigore in data 17 Gennaio 2023, l’abrogazione della attuale Direttiva NIS e il suo recepimento saranno definitive solo a partire dal 18 Ottobre 2024.
Fino a tale data è comunque fondamentale che i soggetti interessati si preparino per tempo fin da ora, investendo tempo e risorse ed essere pronti quando la nuova Direttiva diverrà operativa e sarà completamente recepita ed integrata nella normativa Italiana.
In quali SANZIONI si incorre se non ci si adegua alla Direttiva NIS2?
La Direttiva NIS è stata creata con l’obiettivo di migliorare la sicurezza informatica nell’Unione Europea e non quindi per “rimpinguare” le casse pubbliche o per aggiungere altra burocrazia.
Ovviamente però, come tutte le normative, necessita per farsi rispettare, di un regime sanzionatorio da applicare con granularità e proporzionalità.
Le sanzioni previste dalla Direttiva NIS sono diverse a seconda del grado di violazione e della gravità dell’incidente. In generale, le sanzioni possono essere di natura amministrativa o penale distinguendo fra soggetti essenziali e importanti.
Sanzioni Amministrative
I soggetti essenziali potranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 Milioni €uro o fino al 2% del totale del fatturato mondiale, applicando la più alta fra le due.
I soggetti importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 Milioni di €uro o a fino ad un massimo del 1,4 % del fatturato mondiale annuo, sempre applicando la più alta.
Inoltre, l’organizzazione potrebbe essere costretta a pubblicare la violazione subita.
Sanzioni Penali
Se l’organizzazione subisce un incidente che comporta la compromissione della sicurezza dei dati personali o la perdita di tali dati, potrebbe incorrere in sanzioni penali. Le sanzioni penali possono includere multe fino a 20 milioni di euro o il 4% del fatturato globale annuo dell’azienda (a seconda di quale cifra sia più alta). Inoltre, i responsabili potrebbero essere soggetti a sanzioni penali personali che possono andare da pochi mesi ad alcuni anni di reclusione (fino a 7 in Italia).
È importante sottolineare che, il danno globale che può subire un’azienda in caso di incidente grave, non è solo monetario. Il più delle volte, un evento disastroso, comporta anche danni reputazionali e perdite finanziarie, oltre a dover affrontare costi per riparare i danni causati agli eventuali interessati che hanno subito conseguenze del danno.
Inoltre, un adeguato livello di sicurezza informatica è essenziale per proteggere i dati personali degli utenti e mantenere la fiducia dei clienti.
Conclusioni sulla Direttiva NIS 2
In conclusione, la Direttiva NIS 2 rappresenta un passo importante verso la creazione di una strategia cyber forte e coordinata a livello europeo. Le aziende dovranno adottare misure di sicurezza cibernetica più rigorose per rispettare gli standard previsti dalla normativa e garantire la continuità dei servizi digitali in Europa.
La Direttiva NIS 2 si rivolge quindi a un vasto pubblico composto da imprese, fornitori di servizi digitali e Stati membri dell’Unione Europea. L’obiettivo è quello di garantire un elevato livello di sicurezza informatica a tutti coloro che utilizzano i servizi digitali e le infrastrutture critiche per la società.
Vuoi saperne di più? Contattaci