Direttiva NIS2: nuove misure per la cybersecurity
La Direttiva NIS2, entrata in vigore il 17 gennaio 2023, ha l’obiettivo di disciplinare le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione nei settori destinatari della direttiva. Insieme al Digital Operational Resilience Act (Regolamento DORA), mira a creare un nuovo framework europeo attraverso due principali obiettivi: aumentare il livello di resilienza informatica degli attori, sia pubblici che privati, e migliorare il livello di consapevolezza delle minacce informatiche al fine di sviluppare una maggiore capacità di prevenzione, gestione e risposta.
NIS1
La Direttiva NIS2 prende forma dalla Direttiva NIS (Direttiva UE 2016⁄1148), pubblicata nella Gazzetta ufficiale dell’Unione Europea nel 2016, e può essere considerata il primo atto della strategia legislativa europea in materia di cybersecurity.
La Direttiva NIS aveva fissato specifici obiettivi che avrebbero dovuto tradursi nell’adozione coordinata di misure tecniche ed organizzative da parte degli Stati membri, per il rafforzamento dei livelli di sicurezza e il miglioramento della gestione degli incidenti cyber.
Questi piani hanno mostrato nel corso del tempo alcuni limiti dovuti principalmente alla rapida digitalizzazione dei processi da parte delle società, anche in seguito alla crisi pandemica, e alla conseguente crescita degli attacchi cibernetici.
Nonostante il valore della Direttiva NIS, è nata la necessità di innalzare il livello di sensibilità sul tema della cybersecurity, estendendo il campo di applicazione anche a nuovi settori.
Diversi di questi, inizialmente esclusi, sono divenuti con il tempo “essenziali” e, non essendosi adeguati nel corso degli anni, si sono dimostrati più impreparati nella gestione delle minacce cibernetiche. Per questo motivo, l’Unione Europea ha ravvisato la necessità di integrare la Direttiva attraverso la nascita dell’odierna Direttiva NIS2.
I soggetti interessati
La Direttiva NIS si rivolge agli operatori che svolgono le proprie attività nei sette settori considerati essenziali, ovvero energia, trasporti, banche, infrastruttura dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali.
Il legislatore, con la Direttiva NIS2, ha incluso altri attori attivi in settori sia “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT, della pubblica amministrazione e dello spazio, sia circoscrivibili ad “altri settori critici”, come i servizi postali e di corriere, la gestione dei rifiuti e le organizzazioni di ricerca.
Nella Direttiva NIS2 viene sancito che gli Stati membri provvedano affinché i soggetti adottino le misure tecniche, operative ed organizzative adeguate a gestire i rischi oltre che a prevenire o ridurre al minimo l’impatto degli incidenti.
Nella valutazione dell’adeguatezza delle misure individuate occorre tenere in considerazione:
- L’esposizione del soggetto ai rischi
- La grandezza del soggetto
- La probabilità che si verifichino incidenti e la loro gravità
- L’impatto sociale ed economico dell’incidente
Le novità
Le novità in termini di attività di valutazione dei rischi riguardano una serie di misure tecniche ed organizzative come:
- politiche relative all’analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;
- sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi legati alla cybersecurity;
- pratiche di igiene informatica di base e di formazione in materia di cybersecurity;
- politiche e le procedure relative all’uso della crittografia e della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione delle utenze attive;
- uso di soluzioni di autenticazione a più fattori (cd. multi factor authentication) o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
Tali misure devono essere approvate dagli organi direttivi delle imprese coinvolte, i quali sono chiamati a partecipare a sessioni di formazione in materia cybersecurity.
Inoltre, i soggetti interessati da un incidente informatico devono intraprendere un iter di notifica alle autorità competenti organizzato in diverse fasi:
- un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente;
- una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
- una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.
Per la valutazione di un incidente significativo e grave, il legislatore ha specificato che si dovrà tener conto se:
- l’incidente ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per l’azienda vittima;
- se l’incidente si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.
Entrata in vigore
In un periodo storico come quello attuale, le iniziative europee come la Direttiva NIS 2 e il regolamento DORA mirano a mettere in campo una serie di attività per l’implementazione della garanzia dei dati dei propri clienti e la sicurezza delle proprie operazioni di business. Pertanto, è bene che tutti i soggetti interessati dalla normativa in materia di cybersecurity inizino a predisporre un piano tecnico organizzativo di adeguamento.
L’abrogazione della Direttiva NIS e il recepimento della nuova direttiva saranno efficaci solo a partire dal 18 ottobre 2024, lasciando così un margine di pianificazione di ben 21 mesi. I soggetti interessati dalla Direttiva NIS 2 dovranno investire fin da subito tempo e risorse per prepararsi al suo recepimento all’interno dei processi aziendali entro la data ultima. Sarà necessario valutare e, se opportuno, ripensare tutti i principali processi interni di cybersecurity, sulla base dei nuovi obiettivi e dei nuovi obblighi di sicurezza.
Questa direttiva, insieme al regolamento DORA, sono il primo passo di una nuova visione sul lungo periodo. Il mondo della sicurezza informatica è in continuo cambiamento, per questo è fondamentale affidarsi a chi può portare le nuove tecnologie ed i nuovi processi all’interno dell’azienda, intraprendendo un percorso che deve essere visto in un’ottica di continuità e non come un singolo ed isolato intervento.