Per una risposta immediata ai sempre più dannosi e frequenti attacchi informatici e per far fronte alla conseguente esigenza di potenziare le strategie e i sistemi di difesa contro tali incidenti, il Consiglio dell’Unione Europea e il Parlamento Europeo hanno adottato la direttiva sulla sicurezza delle reti e dei sistemi informativi 2.0 – direttiva (UE) 2022/2555, “Direttiva NIS2” – che prevede requisiti di sicurezza informatica riveduti e più ampi in tutti gli Stati membri dell’UE, la cui finalità più importante è contribuire “al funzionamento efficace della sua economia e della sua società”.
Poiché la direttiva NIS 2 è una direttiva e non un regolamento, non può essere applicata direttamente negli Stati membri, ma deve prima essere convertita in legge nazionale. Pertanto, gli enti di legislazione nazionali sono tenuti a modificare le proprie leggi nazionali sulla sicurezza informatica entro e non oltre il termine ultimo stabilito dagli enti di legislazione europei, ovvero il 17 ottobre 2024.
EUROPA: DA NIS1 A NIS2
Con la prima direttiva sulla sicurezza delle reti e dell’informazione (Direttiva Ue 2016/1148, “Direttiva NIS1”) adottata nel 2016, sono state effettuate le prime attività di standardizzazione a livello europeo della cybersecurity all’interno dei sistemi legali degli Stati membri dell’UE.
A dicembre 2022, Il Consiglio e il Parlamento europeo a hanno adottato la Direttiva NIS2 con cui confermano di ritenere che la cybersecurity e la prevenzione degli incidenti di sicurezza informatica sono responsabilità della dirigenza di tutte le aziende – pubbliche e private – e che gli “organi di gestione” sono tenuti a monitorare il rispetto di misure di gestione del rischio specifiche e soprattutto possono essere ritenuti responsabili delle violazioni.
La gestione della sicurezza aziendale non è più solo un compito relativo alla funzione dei sistemi informativi, ma diventa una responsabilità diretta dell’organo di gestione aziendale, che svolge ruoli fondamentali tra cui:
- Approvazione delle misure per la gestione del rischio legato alla cybersecurity
- Supervisione dell’implementazione delle misure
- Formazione a tema cybersecurity, anche per i dipendenti, e valutazione delle misure di sicurezza
SOGGETTI INTERESSATI
La direttiva NIS2 è valida per 18 settori, sia pubblici che privati: Energia; Trasporto; Settore bancario; Infrastrutture dei mercati finanziari; Settore sanitario; Acqua potabile; Acque reflue; Infrastrutture digitali; Gestione dei servizi TIC (business-to-business); Pubblica amministrazione; Settore spaziale; Servizi postali e di corriere; Gestione dei rifiuti; Fabbricazione, produzione e distribuzione di sostanze chimiche; Produzione, trasformazione e distribuzione di alimenti; Fabbricazione; Fornitori di servizi digitali e Ricerca; essendo una direttiva a livello europeo, si applica ai soggetti che prestano i propri servizi o che svolgono attività commerciali all’interno dell’Unione europea.
L’ambito di applicazione si estende alle società che hanno almeno 50 dipendenti o che raggiungono un fatturato annuo o un bilancio annuo totale superiore ai 10 milioni di EUR.
L’Articolo 2(2)-(5) della direttiva NIS 2 aggiunge al proprio ambito certi soggetti specifici – indipendentemente dalle dimensioni, dal numero di dipendenti, dal fatturato annuo e dal bilancio annuo totale – tra questi vi sono i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, e certi enti della pubblica amministrazione.
Soggetti essenziali e importanti
La direttiva NIS 2 connette la maggior parte dei propri requisiti alla classificazione di un operatore come soggetto “essenziale” o “importante” e prescrive che questi soggetti intraprendano azioni adeguate e proporzionate in ambito tecnico, operativo e organizzativo, al fine di gestire i rischi alla sicurezza della rete e dei sistemi informatici utilizzati da tali soggetti per svolgere le proprie attività o per fornire i propri servizi, nonché per prevenire e limitare l’impatto di eventuali incidenti sui destinatari dei loro servizi e su altri servizi [Articolo 21(1), direttiva NIS 2]:
- Soggetti essenziali: almeno 250 dipendenti o un fatturato annuo di oltre 50 Mio di EUR e un bilancio annuo totale di oltre 43 Mio di EUR. Soggetti dei settori ad alta criticità come pubbliche amministrazioni ed imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, trasporti, acque e acque di scarico, settore spaziale.
- Soggetti importanti: almeno 50 dipendenti o un fatturato annuo o un bilancio annuo totale di oltre 10 Mio di EUR (se non già determinato come essenziale). Tutti i soggetti degli altri settori critici, dalla dimensione di media impresa in su, come servizi postali e di corriere, della gestione dei rifiuti, servizi digitali, settore chimico, settore alimentare, industrie tecnologiche e ingegneristiche, ricerca scientifica.
E i relativi fornitori e server provider dei servizi essenziali e importanti.
MISURE DI GESTIONE DEI RISCHI
La direttiva NIS2 prescrive che i soggetti essenziali e importanti intraprendano azioni adeguate e proporzionate in ambito tecnico, operativo e organizzativo, al fine di gestire i rischi alla sicurezza della rete e dei sistemi informatici utilizzati da tali soggetti per svolgere le proprie attività o per fornire i propri servizi, nonché per prevenire e limitare l’impatto di eventuali incidenti sui destinatari dei loro servizi e su altri servizi.
Le aziende o autorità soggette alla direttiva NIS 2 devono innanzi tutto stabilire le misure necessarie, per poi implementarle in una seconda fase:
PRIMA FASE: Analisi delle misure richieste
È l’analisi sistematica delle circostanze del singolo caso, tenendo in considerazione il fattore umano e il livello di dipendenza dalla rete e dai sistemi informativi. La proporzionalità delle misure da intraprendere viene determinata dal potenziale impatto socioeconomico di qualsiasi incidente informatico. Più possono essere gravi gli effetti, maggiore sarà l’impegno che il soggetto dovrà investire nell’implementazione delle misure di gestione dei rischi.
La mancata applicazione di misure di gestione dei rischi per motivi legati ai costi andrebbe giustificata in maniera approfondita, specialmente nel caso dei soggetti essenziali.
Complessivamente, i requisiti per la gestione dei rischi si basano su un “approccio multirischio”: nell’analisi non vanno inclusi solo i rischi “digitali”, ma anche quelli fisici.
In cosa consiste un approccio multirischio?
Questo approccio richiede che tutti i soggetti, essenziali o importanti, adottino e attuino misure di sicurezza in grado di contrastare un’ampia gamma di minacce alla sicurezza delle reti e dei sistemi informatici.
L’obiettivo non si limita alla semplice difesa contro attacchi informatici di natura tecnica, ma mira a prevenire anche rischi derivanti da cause fisiche, errori umani (intenzionali o accidentali), processi interni inefficienti e fattori esterni.
I suoi elementi fondamentali sono:
- Valutazione completa dei rischi
- Rischi fisici e ambientali
- Risorse umane e processi interni
- Gestione della catena di approvvigionamento
- Preparazione e risposta agli incidenti
- Adattabilità e resilienza
- Cooperazione e condivisione delle informazioni
SECONDA FASE: Misure specifiche di gestione dei rischi
Come parte di un programma di gestione attiva dei rischi, i requisiti della NIS2 includono le seguenti misure:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- Garantire la continuità operativa dei servizi
- Gestione degli incidenti di sicurezza
- Acquisto: sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- Formazione: pratiche di igiene informatica di base e formazione in cybersicurezza
- Cifratura: politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura
- Catena di approvvigionamento: sicurezza della supply chain, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
- Efficacia: strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi
- Altre misure organizzative: sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi
- Altre misure tecniche: autenticazione a più fattori o continua, comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno
SANZIONI PECUNIARIE
La direttiva NIS2 prescrive agli Stati membri dell’UE l’obbligo di predisporre sanzioni pecuniarie in caso di violazione dell’Articolo 21 – misure di gestione dei rischi – e dell’Articolo 23 – obblighi di segnalazione per gli incidenti di sicurezza significativi – della direttiva NIS 2.
Definisce inoltre i valori minimi per il limite massimo delle sanzioni pecuniarie:
- SOGGETTI ESSENZIALI: Sanzioni amministrative pecuniarie fino a 10 milioni di EUR oppure 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore.
- SOGGETTI IMPORTANTI: Sanzioni amministrative pecuniarie fino a 7 milioni di EUR oppure 1,4% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.
Che impatto avrà la NIS2 sulla strategia di cybersecurity della tua azienda?
Contattaci per ricevere consulenza mirata e conoscere le nostre soluzioni che rispondono ai requisiti della direttiva NIS2.
Credits: Sophos