Seidor
Contact
  • Talento
  • Home >
  • Blog >
  • Un passo avanti per la sicurezza informatica in Europa

07 ottobre 2024

Un passo avanti per la sicurezza informatica in Europa

La NIS 2 è stata approvata per affrontare le sfide emergenti nel campo della sicurezza cibernetica e per rispondere alle nuove minacce, come l'aumento di attacchi informatici sempre più sofisticati e la crescente dipendenza dalle tecnologie digitali.

Obiettivi principali della Direttiva NIS 2

  • Migliorare la resilienza cibernetica: Le organizzazioni che operano in settori critici devono adottare misure preventive più stringenti per garantire la continuità operativa anche in caso di attacchi.
  • Allargamento del campo di applicazione: Rispetto alla prima direttiva, la NIS 2 copre un numero maggiore di settori, includendo non solo operatori di servizi essenziali come sanità, energia e trasporti, ma anche servizi digitali e infrastrutture cloud.
  • Maggiore coordinamento tra Stati membri: La Direttiva NIS 2 rafforza il coordinamento tra le autorità nazionali, prevedendo una cooperazione più stretta sia a livello preventivo sia reattivo per affrontare gli incidenti informatici su scala transfrontaliera.
  • Responsabilità e sanzioni: Introduce un regime di sanzioni più severe per le organizzazioni che non rispettano i requisiti di sicurezza, con multe che possono arrivare a diversi milioni di euro. È prevista anche una maggiore responsabilità dei dirigenti delle aziende.
  • Gestione del rischio e reporting: Le imprese coperte dalla direttiva devono implementare procedure efficaci di gestione del rischio e segnalare tempestivamente gli incidenti alle autorità competenti.

Settori coinvolti

La NIS 2 espande l'elenco dei settori critici, includendo:

Energia

Trasporti

Sanità

Servizi bancari e finanziari

Fornitura e distribuzione di acqua potabile

Infrastrutture digitali, come i servizi cloud e i data center

Servizi pubblici e governativi

Organizzazioni e settori interessati dalla Direttiva NIS 2

La Direttiva NIS 2 riguarda tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l’economia e la società europee. Se la tua organizzazione appartiene ad una delle categorie seguenti rientra nel campo di applicazione della NIS2.

Requisiti chiave e obblighi per la NIS 2

La Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e segnalazione, e introduce misure di supervisione e requisiti di applicazione più rigorosi.
Ai sensi dell’articolo 21 della NIS2, le aziende essenziali e importanti devono implementare una serie di misure di sicurezza tecniche e organizzative, proporzionate, per contrastare le minacce informatiche:

  • Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
  • Procedure di gestione degli incidenti
  • Gestione delle crisi e continuità operativa
  • Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • Sicurezza della rete e dei sistemi informativi
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di Cybersicurezza
  • Pratiche di igiene informatica e formazione in materia di Cybersicurezza (Cybersecurity Awareness)
  • Sicurezza dei dati mediante crittografia e cifratura
  • Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • Approccio Zero Trust e uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti

L’impatto della Direttiva NIS2 sulle aziende

La Direttiva NIS2 introduce requisiti più rigorosi per la Cybersecurity e la gestione del rischio.

  • Policy Adozione policy su analisi di rischio e sicurezza dei sistemi informatici
  • Gestione incidenti cyber Maggiori obblighi di segnalazione
  • Business Continuity Adozione di misure di business continuity, disaster recovery e gestione crisi
  • Sicurezza della Supply Chain È necessario incorporare le misure di cybersecurity risk management nei contratti con fornitori e Service Provider
  • Misure di protezione Adozione di maggiori misure di sicurezza tecniche come crittografia e autenticazione a più fattori
  • Audit e test Esecuzione periodica di audit e test di sicurezza

Ambito di Applicazione e Settori Interessati
La Direttiva NIS2 estende il campo di applicazione e si applica a un’ampia gamma di entità e settori, tra cui:

  • Operatori di servizi essenziali (OSE): entità che forniscono servizi essenziali per la società e l’economia, come la fornitura di energia, acqua, trasporti, servizi finanziari o salute;

  • Fornitori di servizi di alto valore aggiunto (VASP): entità che forniscono servizi digitali che presentano un rischio significativo per la sicurezza dei NIS, come i servizi di cloud computing, i servizi di e-commerce o i servizi di pagamento online.

    La Direttiva NIS2 si rivolge principalmente alle organizzazioni con più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro. Tuttavia, anche le PMI possono essere coinvolte qualora generino violazioni di sicurezza che impattino clienti o fornitori. Di conseguenza, l'intera catena di fornitura è tenuta a garantire la sicurezza dei sistemi e dei dati per gli OSE e i VASP. Ciò significa che l’intera catena di fornitura è responsabile della sicurezza dei sistemi e dei dati di un operatore di servizi essenziali (OSE) o di un fornitore di servizi di alto valore aggiunto (VASP)

Differenze con la prima Direttiva NIS

  • Ampliamento del campo d’applicazione: La NIS 2 copre più settori e categorie di servizi rispetto alla precedente direttiva.
  • Maggiore uniformità tra i paesi: Si cerca di ridurre le differenze tra le legislazioni nazionali, garantendo un approccio più armonizzato.
  • Miglioramento delle sanzioni: Le sanzioni previste sono più severe e proporzionali alla gravità delle violazioni, con l'obiettivo di garantire una maggiore compliance.


I rischi della non conformità alla NIS2

Le aziende coinvolte devono adeguarsi ai nuovi standard di sicurezza e predisporre strumenti per il monitoraggio, la gestione del rischio e la segnalazione degli incidenti. L'adeguamento alla NIS 2 richiede un impegno significativo in termini di risorse e tecnologie, oltre a una collaborazione costante con le autorità nazionali.

In sintesi, la Direttiva NIS 2 ha l'obiettivo di rafforzare la sicurezza delle infrastrutture critiche e digitali, promuovendo una maggiore cooperazione e resilienza cibernetica nell'Unione Europea.

Cosa può accadere se la tua azienda non si adegua in tempo?

Esposizione a minacce cibernetiche
Senza adeguate misure di sicurezza e procedure di gestione dei rischi, le organizzazioni diventano vulnerabili agli attacchi informatici, compromettendo la confidenzialità, l’integrità e la disponibilità dei dati e la continuità operatività, con danni finanziari e reputazionali.

Conseguenze legali e finanziarie
La non conformità dei soggetti essenziali è soggetta a sanzioni amministrative fino a 10.000.000 €, o corrispondenti al 2% del fatturato annuo se superiore.
Per i soggetti importanti, sono previste sanzioni fino a 7.000.000 € o equivalenti al 1,4% del fatturato annuo se superiore.
Le violazioni, inoltre, possono attirare l’attenzione di regolatori e autorità di vigilanza, portando a indagini approfondite e, in alcuni casi, a procedimenti giudiziari.

Responsabilità della dirigenza
La Direttiva NIS2 introduce nuovi obblighi per la dirigenza delle aziende, che deve garantire l’implementazione e il mantenimento delle misure di sicurezza adeguate.
In caso di non conformità, i membri della dirigenza possono essere ritenuti personalmente responsabili.

Perdita di reputazione e di fiducia
La non conformità alla Direttiva NIS 2 può causare una perdita significativa di reputazione e fiducia da parte di clienti, partner commerciali e parti interessate.
Le organizzazioni non conformi possono essere percepite come non affidabili e poco professionali nel gestire e proteggere i dati sensibili e le Operations.

I nuovi obblighi della Nis2
Nonostante le normative di recepimento nazionale dettaglieranno la portata di molti degli adempimenti previsti dalla Direttiva NIS2, è possibile già in questa fase analizzarne alcuni e, in particolare:
a) l’adozione di misure in materia di gestione dei rischi di Cybersicurezza (artt. 20 – 21 – 24);
b) l’adempimento di obblighi di segnalazione (art. 23);
c) l’adozione di canali per la condivisione delle informazioni sulla cybersicurezza (artt. 29 – 30);
d) la sottoposizione a misure di vigilanza e di esecuzione (artt. 32 – 33).

Le misure in materia di gestione dei rischi

Ai sensi dell’ art. 21 della direttiva, al fine di assicurare un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti, «gli Stati membri provvedono affinché i soggetti essenziali e i soggetti importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Le [predette] misure […] sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:

L’art. 21 del NIS2 obbliga gli Stati membri a garantire che le entità essenziali e importanti gestiscano il rischio implementando sistemi, policy e best practice efficaci che coprano un'ampia gamma di misure e discipline di cybersecurity, tra cui:

a Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b. Gestione e reportistica degli incidenti;
c. Continuità operativa, come la gestione del backup e il ripristino in caso di disastro;
d. Gestione delle crisi;
e. Sicurezza della catena di approvvigionamento, riguardanti i rapporti tra ciascun soggetto e i suoi fornitori;
f. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
g. Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
h. Pratiche di igiene informatica di base e formazione in materia di cybersicurezza; h. Utilizzo di procedure e tecnologie di crittografia e cifratura
i. Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione delle risorse;
j. Approccio Zero Trust, uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali e di sistemi di comunicazione di emergenza protetti

Gli obblighi di segnalazione

La Direttiva NIS2 introduce obblighi più rigidi di notifica degli incidenti. L’art. 23 prevede che i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIR o, se opportuno, alla propria autorità competente, e ai destinatari dei loro servizi, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. Le entità critiche devono:

• Dare notifica iniziale di un incidente di sicurezza significativo entro 24 ore dal rilevamento;

• Fornire una valutazione iniziale dell'incidente entro 72 ore dal rilevamento; • Redigere su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;

• Creare una relazione finale dettagliata entro un mese dal rilevamento che comprenda: – una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto;

il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente; – le misure di attenuazione adottate e in corso; – se opportuno, l’impatto transfrontaliero dell’incidente

La condivisione delle informazioni sulla Cybersicurezza

Secondo quanto previsto dall’art. 29 della direttiva, gli Stati membri dovranno prevedere dei canali che diano la possibilità ai soggetti essenziali e importanti di scambiare, su base volontaria, informazioni pertinenti sulla cybersicurezza, comprese informazioni relative a minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di cybersicurezza e raccomandazioni concernenti la configurazione degli strumenti di cybersicurezza per individuare le minacce informatiche. L’art. 30 precisa che potranno essere notificati al CSIRT su base volontaria: a. gli incidenti, ovvero un evento che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi; b. le minacce informatiche, ovvero qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone; c. i quasi incidenti, ovvero qualsiasi evento che avrebbe potuto compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato.

FAQ

1. Che cos’è la direttiva NIS 2?

NIS 2 si applica a organizzazioni di “essenziale importanza” e “importanza significativa”. Questi soggetti includono infrastrutture critiche, fornitori di servizi digitali e aziende che operano in settori strategici come l’energia, i trasporti, la finanza, l’assistenza sanitaria e le telecomunicazioni.

2. Chi è soggetto alla direttiva NIS 2?

NIS 2 si applica a organizzazioni di “essenziale importanza” e “importanza significativa”. Questi soggetti includono infrastrutture critiche, fornitori di servizi digitali e aziende che operano in settori strategici come l’energia, i trasporti, la finanza, l’assistenza sanitaria e le telecomunicazioni.

3. Quali sono i principali requisiti di conformità della direttiva NIS 2?

Le organizzazioni devono adottare misure tecniche e organizzative adeguate per prevenire, gestire e mitigare i rischi per la sicurezza delle reti e dei sistemi informativi. Ciò include la gestione degli incidenti, la continuità operativa, la sicurezza della supply chain, la protezione contro gli attacchi informatici e la conformità alle normative di notifica degli incidenti.

4. Quali sono le principali differenze tra NIS e NIS 2?

NIS 2 estende il campo di applicazione a un numero maggiore di settori e organizza le sanzioni in modo più severo per le violazioni. Inoltre, introduce requisiti più rigorosi per la governance della sicurezza, la gestione del rischio e la cooperazione tra Stati membri dell’UE.

5. Come posso identificare se la mia azienda è soggetta alla NIS 2?

La tua azienda è soggetta alla NIS 2 se opera in uno dei settori critici elencati nella direttiva. In genere, gli Stati membri dell’UE sono tenuti a identificare formalmente le entità soggette alle nuove norme. È consigliabile verificare con le autorità competenti nazionali e valutare l’impatto potenziale sulla tua organizzazione.

6. Come posso implementare un sistema di gestione della sicurezza conforme alla NIS 2?

L’implementazione di un sistema conforme alla NIS 2 richiede un’analisi approfondita dei rischi, la definizione di politiche di sicurezza, la formazione del personale, l’implementazione di soluzioni tecniche come firewall, sistemi di rilevamento intrusioni e la gestione di vulnerabilità, e la predisposizione di un piano di risposta agli incidenti.

Link utili

https://eur-lex.europa.eu/legalcontent/IT/TXT/?uri=celex%3A32022L2557

https://www.altalex.com/documents/news/2023/01/24/cibersicurezzadirettiva-nis-2

https://digital-strategy.ec.europa.eu/it/policies/nis2-directive

https://www.dirittobancario.it/art/direttiva-nis2-il-testo-delladirettiva-ue-2022-2555-in-gu-ue/

Cybersecurity