Direttiva NIS2: un passo avanti nella strategia di cybersecurity dell’UE

Con la direttiva NIS2, l’Unione europea compie un importante passo avanti nella definizione della strategia per la cybersecurity con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informatici in tutti i paesi membri.

NIS2, abbreviazione di “Network and Information Systems Directive 2”, introduce alcune novità rispetto alla precedente direttiva NIS al fine di colmare alcune carenze applicative e per affrontare le sfide emergenti in materia di sicurezza informatica.

Nell’articolo spieghiamo cosa prevedono le novità introdotte dalla normativa, quali sono i settori interessati, quali scadenze e sanzioni verranno applicate e quali sono, secondo noi, le azioni da compiere fin da subito.

Cosa prevede la direttiva NIS2

La Direttiva NIS2:

• estende il campo di applicazione, ampliando i settori e i servizi soggetti alla normativa (scopri le aziende interessate)
• elimina la differenziazione fra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), ritenuta superata; introduce la differenza tra soggetti Essenziali e soggetti Importanti.
• Prevede un quadro normativo più uniforme, misure più stringenti per le organizzazioni e sanzioni coerenti per le pubbliche amministrazioni e le aziende di tutti gli Stati membri dell’Unione europea.
• impone obblighi diretti agli organi di gestione aziendale riguardo all’attuazione e alla supervisione degli adempimenti richiesti.
• propone l’istituzione di una Rete Europea di Organizzazioni di Collegamento per le Crisi Informatiche (European Cyber Crisis Liaison Organization Network EU-CyCLONe) e rafforza il ruolo di ENISA (European Union for Network and Information Security Agency).
• introduce precise disposizioni sul processo e le tempistiche di segnalazione degli incidenti, promuovendo la condivisione di informazioni tra Stati Membri.
• designa autorità nazionali competenti, punti di contatto e i CSIRT (Computer Security Incident Response Team), organi deputati al monitoraggio, rilevamento, gestione e segnalazione internazionale di incidenti di cybersicurezza.

I 5 principi chiave

La NIS2 si basa su una 5 principi fondamentali volti a garantire un elevato livello di sicurezza informatica nell’Unione Europea.

1. Strategia multirischio

La Direttiva NIS2 delinea l’adozione di un approccio multirischio: richiede misure di sicurezza che affrontino un ampio spettro di rischi per la sicurezza delle reti e dei sistemi informativi.
Non è più sufficiente la difesa contro attacchi cibernetici di natura tecnica, ma vanno considerati anche i rischi derivanti da cause fisiche, errori umani, processi interni inefficienti e fattori esterni.

2. Cooperazione e condivisione delle informazioni

La direttiva promuove la cooperazione e lo scambio di informazioni tra gli Stati membri dell’UE, nonché tra le autorità competenti e le parti interessate nel settore privato, al fine di contrastare in modo più efficace le minacce informatiche transnazionali.

3. Principio di proporzionalità

La NIS2 prevede l’applicazione di misure proporzionate al livello di rischio affrontato dalle organizzazioni e allo stato dell’arte della cybersecurity, tenendo conto della natura, dell’ambito e della complessità delle attività svolte. Questo principio è strettamente collegato a quello della sostenibilità delle misure in relazione al business aziendale.

4. Resilienza digitale della catena di fornitura

I requisiti di cybersecurity della Direttiva NIS2 si applicano non solo alle organizzazioni che operano all’interno della sua definizione estesa di “critico” e ai loro dipendenti diretti, ma anche ai subappaltatori e ai fornitori di servizi che collaborano con loro. È quindi fondamentale coinvolgere attivamente, e da subito, l’ecosistema dei partner nel processo di definizione delle misure di sicurezza.

5. Responsabilità del Management

La direttiva richiede una presa di responsabilità da parte delle organizzazioni nel garantire la sicurezza delle proprie infrastrutture digitali e nella gestione degli incidenti informatici.
Prevede che il consiglio di amministrazione delle aziende assuma un ruolo attivo: sarà infatti tenuto a comprendere i nuovi obblighi di gestione del rischio e come implementare la governance in materia di cybersecurity.

Scadenze e sanzioni stabilite dalla NIS2

Entrata in vigore il 16 gennaio 2023, l’UE fissa la scadenza per il recepimento nelle legislazioni nazionali da parte degli Stati membri il 17 ottobre 2024.

Cosa comporta per le aziende?

Entro questa data le organizzazioni saranno obbligate a rispettare stringenti requisiti in materia di gestione dei rischi, continuità operativa, controllo della catena di fornitura e segnalazione degli incidenti.

In caso di non conformità rispetto all’adozione delle misure di gestione dei rischi di cybersicurezza e/o agli obblighi di segnalazione degli incidenti, le autorità di vigilanza istituite dai singoli Stati membri possono imporre sanzioni amministrative e pecuniarie.

Quali tipologie di sanzioni amministrative e pecuniarie?

Queste includono ingenti multe, la revoca della certificazione dell’azienda e la responsabilità personale dei membri del consiglio di amministrazione, con conseguenti impatti sulla reputazione aziendale e la continuità di business, oltre che ricadute economiche negative.

L’importo massimo delle sanzioni è proporzionato al fatturato aziendale.

Le entità essenziali che non rispettano gli obblighi di sicurezza cibernetica possono essere sanzionate fino a un massimo di 10 milioni di euro o il 2% del fatturato, a seconda di quale importo risulti più elevato.

I soggetti considerati “importanti” possono essere soggetti a sanzioni fino a un massimo di 7 milioni di euro o l’1,4% del loro fatturato, a seconda di quale importo risulti più elevato.

Aziende interessate

La direttiva NIS2 indica tre criteri per stabilire quali aziende devono rispettare gli obblighi previsti: settore di appartenenza, dimensione dell’azienda e ruolo che le imprese hanno nel loro settore.

Le organizzazioni coinvolte sono classificate in “settori altamente critici” e “altri settori critici” come segue:

Settori altamente critici 

• Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno)
• Trasporti (aereo, ferroviario, per vie d’acqua, su strada)
• Finanza
• Pubblica Amministrazione
• Sanitario (prestatori di assistenza, laboratori, ricerca e sviluppo, case farmaceutiche, produttori di dispositivi medici critici)
• Approvvigionamento idrico (acqua potabile e acque reflue)
• Infrastrutture digitali (fornitori di punti di interscambio Internet, di servizi DNS, di servizi di cloud computing, di servizi di data center, di servizi fiduciari, di registri dei nomi di dominio di primo livello (TLD), di content delivery network, di reti pubbliche di comunicazione, di servizi di comunicazione elettronica accessibili al pubblico e gestione dei servizi ICT B2B)
• Aerospaziale

Altri settori critici

• Servizi postali e di corriere
• Gestione dei rifiuti
• Fabbricazione, produzione, distribuzione e smaltimento di sostanze chimiche
• Produzione, trasformazione e distribuzione alimenti
• Industria manifatturiera (dispositivi medici e diagnostici; computer, prodotti di elettronica e ottica, apparecchiature elettriche; autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto)
• Fornitori di servizi digitali (e-commerce, motori di ricerca, social network)
• Ricerca

Le entità essenziali sono costituite da tutte le grandi aziende appartenenti alla prima categoria; i soggetti importanti sono tutte le medie imprese della prima categoria e tutte le medie e grandi imprese della seconda che non risultino anche essenziali

Rispetto alla NIS, la direttiva NIS2 include ulteriori settori considerati critici, come l’aerospaziale, le acque reflue, i fornitori di servizi di data center, i fornitori di servizi fiduciari, le reti di distribuzione di contenuti e le reti e i servizi pubblici di comunicazione elettronica.

Va evidenziato che NIS2 non considera essenziale o importante la singola organizzazione o il fornitore di servizio ma anche tutta la sua supply chain.

NIS2 e ISO 27001

È possibile utilizzare quadri normativi standard per la sicurezza delle informazioni, come ISO 27001 per prepararsi alla Direttiva NIS2, in particolare per affrontare una delle novità più importanti introdotte dalla Direttiva NIS2: la responsabilizzazione dell’organo di gestione dei rischi di cybersecurity.

Le aziende che già implementano i controlli indicati nella ISO 27001, specialmente quelli relativi alla business continuity e disaster recovery, e quelli approfonditi nella ISO 27002, avranno un gap nettamente minore da colmare rispetto alle altre. Riteniamo che i due standard ISO siano un ottimo punto di partenza per raggiungere la conformità a NIS2.

In generale, la direttiva NIS2 rappresenta un grande passo in avanti per la cybersecurity degli Stati membri, fornendo di fatto una baseline tramite delle linee guida tecnologiche e organizzative molto più chiare rispetto a quelle ISO (e anche GDPR).

Cosa fare in pratica: il nostro punto di vista

Dopo aver analizzato la direttiva NIS2, alla luce della nostra esperienza, ci siamo interrogati sulle sue potenziali criticità e, messi nei panni delle aziende, abbiamo esaminato possibili difficoltà di applicazione.
Condividiamo con voi le nostre osservazioni.

Partiamo dal confronto tra lo statuto delle “Direttive” e quello dei “Regolamento”, parlando di legislazione europea.
NIS2 è una direttiva. IL GDPR è un regolamento, vale a dire un atto giuridico vincolante che deve essere applicato da subito in tutti i suoi elementi nell’intera Unione europea.
Prima di essere applicabile la direttiva deve essere recepita nel diritto nazionale dagli Stati Membri, che consiste nell’adozione di misure di portata nazionale. Gli obblighi e, quindi, le sanzioni della NIS2 diverranno effettivi solo dopo il suo recepimento, dal giorno successivo al termine stabilito, vale a dire dal 17 ottobre 2024.

Qui si cela un punto importante. La direttiva promuove la qualità complessiva delle prassi di cybersicurezza sia delle aziende che dei fornitori.
Raccoglie quattro aree di intervento su cui le aziende devono cominciare a muoversi:

• Valutazione del rischio
• Identificazione delle misure di sicurezza
• Gestione degli incidenti
• Miglioramento continuo e attività formative

In ciascuna area, fornisce delle raccomandazioni – si veda l’elenco delle misure dell’articolo 21- ma lascia ampi spazi di incertezza e interpretazione sugli aspetti concreti da seguire. Non fornisce informazioni sulla tipologia di controlli che verranno eseguiti.

La NIS2 è lontana, per sua natura, dall’essere assoluta e ineccepibile. Non è una certificazione e quindi diventa complesso anche dimostrare di avere adempiuto a tutti gli obblighi.

Si fa riferimento ad esempio nell’Art.21, alla richiesta dell’utilizzo di crittografia e, dove appropriato, cifratura, senza però chiarire le diverse tecniche crittografiche da implementare né gli ambiti di applicazione.

Il requisito fondamentale della direttiva è semplice, seppur non facile da ottenere: evitare di essere vulnerabili agli attacchi cyber ed essere in grado di reagire nel caso avvengano. La direttiva fornisce solo un approccio che deve essere interpretato da ogni ente in base alla propria realtà.

Betrusted ha accompagnato decine di aziende nel percorso di adeguamento agli standard e ai regolamenti relativi alla cybersecurity. La nostra competenza e l’esperienza maturata nell’adozione di framework (inter)nazionali, nonché la nostra visione strategica, ci permettono di intraprendere questo percorso in maniera graduale ed efficiente, sicuri di saperci muovere nelle zone grigie della NIS2.

Stay calm, Betrusted!

Per saperne di più e avere supporto sui primi passi da compiere, contattaci.