Direttiva NIS2: quello che c’è da sapere per orientarsi e adeguarsi

La Direttiva NIS2, “erede” della NIS (Network and Information Systems) o “NIS1” del 2016, non è argomento nuovo ma è di stretta attualità dal momento che è ormai entrata in vigore ufficialmente (Decreto Legislativo 138/2024) a seguito del decreto di recepimento pubblicato in Gazzetta Ufficiale (doveva infatti essere recepita dagli Stati membri UE entro e non oltre il 17 ottobre 2024).

Cos’è la Direttiva NIS2, obiettivi e destinatari

La Direttiva NIS2 è una normativa dell’Unione Europea che mira a migliorare la sicurezza delle reti e dei sistemi informativi.

Concepita in risposta a diversi cyber attacchi ampiamente pubblicizzati e dannosi, la Direttiva NIS2:

• rafforza i requisiti di sicurezza,
• razionalizza gli obblighi di reportistica,
• introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.

La Direttiva si applica a due categorie di soggetti definiti come “essenziali” e “importanti”. Queste entità operano in settori critici come l’energia, i trasporti, la sanità, il settore bancario e dei mercati finanziari, e forniscono anche servizi altrettanto critici.

Di seguito, l’elenco delle organizzazioni interessate:

Entità già incluse nella NIS 2016

• sanità,
• infrastruttura digitale,
• trasporti,
• approvvigionamento idrico,
• provider di servizi digitali,
• settore bancario,
• infrastrutture del mercato finanziario,
• energia.

Soggetti essenziali previsti dalla NIS2

• acque reflue,
• salute (farmaci, R&S, dispositivi medici critici),
• industria spaziale,
• amministrazione pubblica.

Soggetti importanti

• provider di reti o servizi di comunicazione elettronica pubblica,
• prodotti chimici,
• produttori, aziende di trattamento e distributori di prodotti alimentari,
• fabbricazione di prodotti critici (dispositivi medici, computer, elettronica, veicoli a motore),
• provider digitali (piattaforme di social networking, motori di ricerca, marketplace online),
• servizi postali e corrieri espresso.

Differenze con la NIS 2016: la supply chain

A differenza della NIS 2016, i requisiti di cybersecurity NIS2 si applicano non solo alle organizzazioni che operano all’interno della sua definizione ampliata di “critica” e ai loro dipendenti diretti, ma anche ai subappaltatori e ai fornitori di servizi che le supportano.

Adempimenti Direttiva NIS2 nell’articolo 21

Nell’articolo 21.2 le organizzazioni interessate devono gestire il rischio attraverso strategie e attività di sicurezza informatica ben specifiche quali:

• analisi dei rischi e sicurezza dei sistemi informatici;
• gestione e reportistica degli incidenti;
• continuità operativa, come la gestione dei backup e il ripristino di emergenza;
• gestione delle crisi;
• sicurezza della supply chain;
• sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi;
• pratiche di base per la cyber-igiene e formazione sulla cybersecurity;
• tecnologie di crittografia e cifratura;
• sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse;
• accesso Zero Trust (autenticazione multifattoriale, autenticazione continua).

Sanzioni

Le sanzioni hanno un peso diverso a seconda che si tratti di entità essenziali o importanti (ma in entrambi i casi sono molto pesanti:

• Per le entità essenziali alcune violazioni o infrazioni, gli stati membri possono applicare ammende fino a 10 milioni di euro o corrispondenti al 2% del fatturato annuo.
• Per quanto riguarda le entità importanti, le sanzioni possono arrivare fino a 7 milioni di euro o l’1,4 % del fatturato totale annuo mondiale dell’esercizio precedente.

Inoltre, gli organi di gestione delle entità critiche (ad es. i team esecutivi) possono essere ritenuti personalmente responsabili delle infrazioni.

Come adeguarsi

Azioni concrete che possono essere intraprese già oggi per prepararsi alla Direttiva NIS2 quando gli Stati membri ne avranno ratificato le normative:

• identificare, valutare e affrontare i rischi;
• valutare la Security Posture della propria azienda per identificare i punti deboli;
• adottare misure per proteggere gli account con privilegi amministrativi, spesso utilizzati per orchestrare attacchi e abbattere le infrastrutture critiche;
• rafforzare le difese anti ransomware;
• passare a un’architettura Zero Trust, implementando diversi livelli di difesa come l’accesso con privilegio minimo, l’autenticazione continua e l’analisi delle minacce per convalidare tutti i tentativi di accesso;
• monitorare la supply chain (gli attacchi alla supply chain sono una delle principali motivazioni alla base della Direttiva NIS2);
• formalizzare il piano di risposta agli incidenti;
• formare il personale aziendale. per migliorare la cyber security awareness.

Aziende e organizzazioni non specializzate, che non dispongono al loro interno di esperti e consulenti in cyber security e protezione dei dati, rischiano fortemente di trovarsi impreparati all’avvento della NIS2.

E ciò riguarda anche tutte le aziende della supply chain, perché le entità interessate saranno sempre più portate a collaborare solo con imprese capaci di prevenire, monitorare e rispondere alle minacce informatiche.

I consulenti di Axitea offrono supporto alle imprese a valutare e colmare i gap nei confronti della Direttiva NIS2: contattaci