Una panoramica su cosa potrebbe cambiare e come affrontare in maniera sostenibile la transizione in azienda
Che cos’è la NIS2 e come si inserisce nel panorama normativo UE
Negli ultimi mesi, si è intensificato il dibattito attorno alla Direttiva NIS2 (Network and Information Security), volta a potenziare la resilienza e la sicurezza informatica nell’Unione Europea. Vediamo dunque meglio cosa comporta e cosa è richiesto alle aziende.
La Direttiva NIS2, estensione della precedente NIS del 2016, mira ad ampliare i livelli di cyber security nell’UE, concentrandosi principalmente sulla preparazione ai rischi e agli attacchi cibernetici. Si integra con varie normative europee, inclusa la GDPR (General Data Protection Regulation), il Regolamento DORA (Digital Operational Resilience Act), la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e, a livello nazionale, al Perimetro di Sicurezza Nazionale Cibernetica.
Trattandosi di una direttiva e non di un regolamento, prima di essere attuativa, necessita di essere recepita da tutti gli Stati Membri entro il 18 ottobre 2024, i quali dovranno dunque sviluppare Piani Nazionali per la sicurezza. Tuttavia è bene che le aziende inizino a famigliarizzare con i temi chiave della Direttiva, dotandosi di un piano operativo che consenta loro di adattarsi in maniera sostenibile.
Vediamo dunque quali sono le imprese che verranno interessate.
Settori e imprese coinvolte nella Direttiva NIS2
La Direttiva si applica a soggetti essenziali e soggetti importanti che sono considerati medie imprese (ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE) o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all’interno dell’UE.
Vengono considerate medie imprese le aziende con un numero di dipendenti compreso fra i 50 e i 250. Tuttavia, se un’impresa ha un numero di dipendenti inferiore a 50 ma un fatturato superiore a 10 milioni di euro, rientra comunque in questa categoria. Si considerano invece grandi imprese quelle con un numero di dipendenti maggiore a 250.
La Direttiva si applica ai settori essenziali quali quelli dell’energia, dei trasporti, delle banche, delle infrastrutture finanziarie, dell’acqua, della sanità e delle infrastrutture digitali. Includerà anche fornitori di servizi digitali nei settori dell’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
La NIS 2 elenca “altri settori critici” che includono servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione di alimenti, fabbricazione di dispositivi medici, fabbricazione di computer ed elettronica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari, fabbricazione di autoveicoli, fornitori di servizi digitali, organizzazioni di ricerca. Si applica inoltre anche ai fornitori di reti di comunicazione, servizi di comunicazione elettronica, fornitori di servizi di registrazione dei nomi di dominio e alcune entità della pubblica amministrazione. Rientrano nel perimetro di applicazione i soggetti definiti “critici” dalla Direttiva CER (UE) 2022/2557.
Ed ancora, a questo elenco andranno aggiunte tutte le imprese coinvolte nella catena di approvvigionamento dei soggetti essenziali ed importanti
Quali sono gli obblighi per le aziende in perimetro?
Con l’obiettivo finale di mitigare i rischi e garantire continuità operativa oltre al fine di conformarsi, le aziende incluse nel perimetro NIS2 dovranno introdurre o ottimizzare la propria organizzazione in termini di:
- Governance della cybersicurezza
- Risk management: adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura)
- Gestione della continuità operativa
- Segnalazione degli incidenti.
L’importanza di un piano di risposta agli incidenti e della business continuity
È evidente che la Direttiva NIS 2 avrà un impatto significativo su tutte quelle aziende che attualmente non hanno ancora adottato un approccio strutturato alla cybersicurezza. Volendo semplificare il lavoro per queste realtà, abbiamo individuato i primi quattro passi da compiere per avviare il proprio percorso di adeguamento:
- Stabilire un quadro dettagliato di governance della cybersecurity, definendo i ruoli e le responsabilità delle varie figure aziendali coinvolte.
- Investire nella formazione continua dei dipendenti e nella sensibilizzazione riguardo alle minacce informatiche in costante evoluzione.
- Effettuare valutazioni periodiche del rischio delle infrastrutture IT per identificare e mitigare potenziali vulnerabilità.
- Valutare regolarmente il rischio all’interno della catena di approvvigionamento
Come introdotto dal titolo del paragrafo, la NIS2 pone particolare enfasi sulla capacità delle imprese di garantire la propria continuità operativa attribuendo a queste la responsabilità di proteggere adeguatamente i propri sistemi e reti (punto 3), allo scopo di prevenire o ridurre al minimo gli impatti degli incidenti sia per i destinatari dei loro servizi che per altri servizi e promuove l’adozione di misure di mitigazione del rischio e di continuità operativa, come la gestione dei backup e il ripristino in caso di disastro .
In sostanza, la NIS2 rappresenta una spinta verso una maggiore consapevolezza e preparazione nel panorama della cybersecurity aziendale, mettendo al centro i temi di prevenzione, risposta agli incidenti e continuità operativa.
Nel prossimo paragrafo andremo dunque a descrivere alcune delle azioni che le aziende possono intraprendere per migliorarsi in questo senso.
Strumenti di prevenzione, protezione, identificazione e risposta alle minacce
Fra i punti di maggiore vulnerabilità delle imprese, spesso trascurato, c’è l’aggiornamento regolare delle patch dei sistemi. Infatti, vulnerabilità non corrette rappresentano uno dei principali punti di ingresso per i criminali informatici. Altrettanto importante è adottare strumenti di identificazione e protezione dalle minacce adatti ad affrontare le specifiche criticità aziendali, come firewall di nuova generazione, sistemi di rilevamento delle intrusioni e software antivirus.
La Direttiva NIS2 richiede alle aziende essenziali e importanti di notificare tempestivamente qualsiasi incidente significativo alle autorità competenti, con un preallarme entro 24 ore. La rapidità di identificazione delle minacce diventa quindi essenziale, soprattutto considerando che la Direttiva NIS2 restringe i tempi rispetto al GDPR, che prevede che la comunicazione avvenga entro 72 ore dal momento in cui si viene a conoscenza dell’attacco.
Affidarsi a fornitori tecnologici capaci di garantire un monitoraggio proattivo dei sistemi diventa dunque fondamentale per rispondere pienamente alla Direttiva. Non solo: i sistemi di monitoraggio sono estremamente utili anche per condurre controlli regolari al fine di garantire l’efficacia, l’aggiornamento costante dei sistemi e l’analisi e revisione della valutazione dei rischi.
Rispetto alla Direttiva NIS1, la NIS2 pone una maggiore attenzione verso la continuità operativa e il ripristino in caso di disastro, concetti che richiamano le logiche di Disaster Recovery, con la definizione di RTO (Recovery Time Objective) e RPO (Recovery Point Objective). In questo contesto, i sistemi di backup rivestono un ruolo cruciale, ma persistono ancora gravi carenze da parte delle imprese italiane su due fronti principali: la protezione dei backup stessi da incidenti fisici e logici e la completezza dei backup stessi.
La messa in sicurezza dei backup può essere ottenuta sia attraverso la remotizzazione degli stessi rispetto ai sistemi che devono proteggere (backup air-gapped), che attraverso l’implementazione di modalità di gestione read-only (backup immutabili), che garantiscono che anche in caso di compromissione ampia dei sistemi aziendali, i backup rimangano intatti e inaccessibili agli aggressori. Per assicurarne la completezza, invece, è essenziale che il sistema di backup includa non solo i dati, ma anche gli aspetti di configurazione dei sistemi, delle reti e degli ambienti di virtualizzazione, in modo tale disporre di una ripresa rapida e completa delle attività aziendali in caso di emergenza.
Il ruolo degli esperti nel prepararsi alla Direttiva NIS2
Anche se in Italia la Direttiva NIS2 non è ancora attuativa, è fondamentale iniziare a progettare le attività e i piani operativi necessari per rendere le imprese sicure in maniera scalabile e sostenibile. Come visto nei paragrafi precedenti, occorre che le aziende investano nella governance della cybersecurity, nella formazione continua del personale, nelle valutazioni periodiche dei rischi e nella sicurezza della catena di approvvigionamento.
In questo possono farsi aiutare da professionisti del settore, come consulenti, MSP o IT Partner, che svolgono un ruolo importante, dall’identificazione delle fragilità alla progettazione e fornitura di soluzioni specifiche e personalizzate, fino alla gestione degli incidenti e alla garanzia di continuità operativa. Ma è altrettanto fondamentale un impegno continuo e collaborativo da parte di tutte le parti coinvolte per affrontare efficacemente le sfide in evoluzione nel panorama della sicurezza informatica.