NIS2, perché e come prepararsi già ora alla direttiva UE

La nuova direttiva NIS2 per la gestione della cyber security a livello UE rappresenta un'importante opportunità. Ecco come non farsi trovare impreparati.

nis2

Attiva dal prossimo 17 ottobre 2014, la direttiva NIS2 prevede misure giuridiche per rafforzare il livello globale di cyber security nell’UE, al fine di contribuire al funzionamento generale del mercato interno.

NIS2 poggia sui medesimi pilastri alla base della direttiva NIS1. Al fine di conseguire un elevato livello di preparazione degli Stati membri, impone agli Stati di adottare una strategia nazionale in di sicurezza delle reti e dei sistemi informativi. Gli Stati membri sono inoltre tenuti a designare squadre nazionali di risposta agli incidenti di sicurezza informatica (CSIRT), responsabili della gestione dei rischi e degli incidenti, un’autorità nazionale competente in materia di cyber security e un punto di contatto unico (SPOC). Lo SPOC deve esercitare una funzione di collegamento per garantire la cooperazione transfrontaliera tra le autorità degli Stati membri con le autorità competenti di altri Stati membri e, se del caso, con la Commissione e l’ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità competenti del suo Stato membro.

I settori essenziali

La nuova direttiva garantisce l’adozione di misure di cyber security in settori essenziali per la nostra economia e società e che dipendono fortemente dall’ICT, quali

  • energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno);
  • trasporti (aria, ferrovia, acqua e strada);
  • banche e infrastrutture dei mercati finanziari;
  • salute, compresa la fabbricazione di prodotti farmaceutici (anche i vaccini);
  • acqua potabile;
  • acque reflue;
  • infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico);
  • Gestione dei servizi ICT (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), pubblica amministrazione e spazio.

Altri settori importanti sono:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • prodotti chimici;
  • alimentari;
  • fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto;
  • fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking) e organizzazioni di ricerca.

nis2

La direttiva NIS2 amplia significativamente l’ambito di applicazione dei settori e introduce una soglia dimensionale per definire quali entità rientrano nel suo ambito di applicazione e sarebbe tenuta a segnalare incidenti significativi di cybersicurezza alle autorità nazionali competenti. Si tratta delle imprese di dimensioni medio-grandi (con un minimo di 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano all’interno dei predetti . Le imprese più piccole sono escluse, a eccezione di quelle la cui attività è ritenuta di importanza critica per la società. Gli Stati membri hanno discrezionalità nell’individuare le entità più piccole con un elevato profilo di rischio per la sicurezza.

Elementi chiave della direttiva NIS2

Gli altri aspetti che principalmente caratterizzano la nuova norma includono il rafforzamento e la semplificazione degli obblighi di sicurezza e comunicazione. La direttiva impone un approccio di gestione del rischio, con un elenco minimo di elementi di sicurezza di base che devono essere applicati. Introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze. Più in dettaglio, gli obblighi devono comprendere almeno i seguenti elementi:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  • gestione degli incidenti;
  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
  • sicurezza della supply chain, compresi aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber security;
  • pratiche di igiene informatica di base e formazione in materia di cyber security;
  • politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

La NIS2 prevede poi misure di vigilanza più rigorose rispetto alla NIS1. Introduce requisiti di applicazione più severi per le autorità nazionali e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri. La nuova direttiva aumenta anche la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri. Rafforza la cooperazione operativa all’interno della rete CSIRT e istituisce la rete di organizzazioni europee di collegamento per le crisi informatiche (EU-CyCLONe) per sostenere la gestione coordinata degli incidenti e delle crisi di cyber security su larga scala.

Inoltre viene istituito un quadro di base con attori chiave responsabili della divulgazione coordinata delle vulnerabilità recentemente scoperte. Crea una banca dati delle vulnerabilità dell’UE per le vulnerabilità note nei prodotti e servizi TIC, gestita dall’ENISA.

Per quanto concerne la segnalazione degli incidenti, è essenziale trovare un equilibrio tra la necessità di una segnalazione rapida per prevenire la diffusione degli incidenti e la necessità di una segnalazione approfondita per trarre insegnamenti preziosi dai singoli incidenti.

Questi elementi mirano a colmare le carenze delle norme precedenti, ad adattarsi alle esigenze attuali e a rendere la direttiva adeguata per le future sfide di cyber security.

nis2

Come saranno sorvegliate e applicate le nuove norme

Per rafforzare la vigilanza e garantire l’effettiva conformità, NIS2 prevede un elenco minimo di mezzi di sorveglianza che le autorità competenti possono utilizzare per monitorare i soggetti essenziali e importanti. Questi mezzi includono:

  • Audit periodici e mirati
  • Controlli in loco e fuori sede
  • Richiesta di informazioni
  • Accesso a documenti o prove

La direttiva stabilisce una differenziazione dei regimi di vigilanza tra strutture essenziali e importanti, al fine di garantire un giusto equilibrio degli obblighi sia per le entità che per le autorità competenti.

Finora, c’è stata una generale riluttanza tra gli Stati membri ad applicare sanzioni ai soggetti che non hanno adottato misure di sicurezza o segnalato incidenti, con conseguenze negative per la ciber resilienza. Per rendere efficace l’applicazione delle norme, NIS2 istituisce un quadro coerente per le sanzioni in tutta l’Unione, che include:

  • Istruzioni vincolanti
  • Ordini di attuare le raccomandazioni di un audit di sicurezza
  • Ordini di allineare le misure di sicurezza ai requisiti NIS
  • Sanzioni amministrative pecuniarie

NIS2 distingue tra settori essenziali e importanti riguardo alle sanzioni amministrative pecuniarie. Per i settori essenziali, la direttiva impone agli Stati membri di prevedere un livello di sanzioni per un importo massimo almeno di 10.000.000 di euro o del 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per i settori importanti, la sanzione pecuniaria massima deve essere almeno 7.000.000 di euro o almeno l’1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.

Per garantire una reale responsabilità per le misure di cyber security a livello organizzativo, NIS2 introduce disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di alto livello nei soggetti che rientrano nell’ambito di applicazione della nuova direttiva NIS.

Un’opportunità per gli operatori del mondo ICT

Per chi opera nel mondo dell’ICT, la NIS2 implica la necessità di adeguarsi a precise direttive, volte ad assicurare che i servizi o i prodotti offerti siano in linea con le disposizioni previste in tema di cyber security. Sebbene questo può forse sembrare un ostacolo rilevante, a ben guardare il decalogo delle norme imposte  propone in svariati punti richieste simili a quelle necessarie per ottenere le certificazioni ISO 27000 o la conformità con il regolamento DORA, la legge sulla resilienza operativa digitale per il mondo delle banche e della finanza. Questo significa che, facendo un assessment, si può probabilmente stabilire che alcune (o anche molte) delle richieste della NIS2 sono già rispettate e quindi ottenere la conformità può non essere così impegnativo quanto si pensava fosse.

In seconda analisi, il passaggio da NIS1 a NIS2 estende la necessità di avere un preciso controllo della sicurezza da qualche centinaio di aziende a diverse migliaia di aziende. Le quali dovranno anche mostrare che aggiorneranno costantemente il sistema di protezione in modo da contrastare più efficacemente possibile gi attacchi.

Questo significa che serviranno persone competenti e soluzioni di sicurezza adeguate. Con la carenza di skill che già c’è oggi è lecito supporre che entro il 17 ottobre 2024 non si riuscirà a soddisfare la richiesta, che probabilmente avrà una crescita esponenziale. Il risultato sarà sicuramente un massiccio ricorso a MSP che sappiano sopperire alle carenze interne in termini di cyber security.

Per poter sfruttare questa opportunità sarà però necessario non farsi cogliere impreparati e, oltre a essere “certificati” NIS2, sarà bene avere definito una strategia di business in grado di soddisfare un’importante richiesta. Quindi, aver implementato strumenti adatti ad assicurare un’adeguata protezione e che permettano una gestione basata su un elevato grado di automazione, condizione essenziale per amministrare in modo efficace la cyber security di un elevato numero di aziende.