Secondo il Rapporto Clusit 2023, il 2022 è stato un anno record per gli attacchi informatici a danno delle imprese italiane, con una crescita del +169% rispetto all’anno precedente. La ragione di questi dati in crescita, stando ai ricercatori Clusit, è semplice: nonostante l’aumento delle minacce cyber, non vi è stato il giusto incremento delle contromisure. Non a caso, l’80% degli attacchi ha avuto conseguenze gravi causando, oltre a significativi danni ai business, anche conseguenze dirette sugli utenti.
Con l’obiettivo di porre fine a questa situazione, il legislatore europeo ha deciso di riprendere in mano la Direttiva UE 2016/1138 del 2016, la cosiddetta NIS o NIS 1, per implementare una serie di significative modifiche e miglioramenti per armonizzare, tra le altre cose, le modalità di gestione della sicurezza delle reti e dei sistemi informatici a livello europeo. Entrata in vigore il 17 gennaio 2023, la NIS 2 (Direttiva UE 2022/2055) si propone di affrontare con maggior rigore e preparazione le sfide emergenti in materia di sicurezza informatica diventando un tassello chiave all’interno dell’attuale strategia cyber dell’Unione Europea.
La prima direttiva NIS
Prima di passare a considerare le novità introdotte da NIS 2 è necessario aprire questo articolo con un capitolo dedicato alla precedente direttiva NIS, acronimo di Network and Information Security.
Considerata unanimemente il primo vero e proprio atto della strategia legislativa dell’Unione Europea in materia di sicurezza informativa, la NIS 1, o Direttiva 2016/1148, aveva quale obiettivo primario quello di gettare le basi per un mercato interno per la cyber security, identificando e rafforzando misure che consentissero appunto il ravvicinamento delle normative nazionali. Dopo la conquista della terra, del mare e dello spazio, la conquista del digitale ha insomma reso necessario al Legislatore individuare una serie di obblighi per la sicurezza informatica da applicarsi a tutti quei soggetti che forniscono servizi o svolgono attività economicamente “rilevanti”. La direttiva NIS, che rimarrà in vigore fino al 18 ottobre 2024 quando verrà soppiantata dalla NIS 2, si applica infatti a 7 settori strategici:
- Assistenza sanitaria
- Infrastrutture digitali
- Trasporti
- Fornitura di acqua
- Fornitori di servizi digitali
- Infrastrutture bancarie e del mercato finanziario
- Energia
A tutti questi settori la Direttiva impone regole atte a limitare il rischio informatico, a migliorare il livello di sicurezza dei sistemi informatici e delle reti e garantire una veloce ed efficace risoluzione in caso di breach o incidente.
Alle origini della Direttiva Europea UE 2022/2055
Per quanto la Direttiva NIS abbia portato gli Stati membri europei ad una maggior sensibilità e consapevolezza rispetto alla cyber security e ai rischi del crimine informatico, il diffondersi dei progetti di digitalizzazione aziendale, unite all’impressionante numero di soluzioni nate per supportare lo smart working durante l’emergenza pandemica da Covid-19, hanno reso evidente la necessità di riconsiderare quanto fatto per assicurarsi maggiori misure preventive contro le minacce alla sicurezza informatica. D’altronde, la Direttiva NIS 1 ha ben presto messo in luce la difficoltà, da parte dei Parlamenti nazionali, nel recepire le norme e armonizzarle al proprio contesto legislativo.
Il risultato è stato insomma un primo tentativo che, se non altro, ha permesso di cogliere l’importanza di un maggior rigore normativo a livello comunitario. Purtroppo infatti, l’ampio spazio di autonomia concesso a ogni paese da parte di NIS 1, a proposito delle misure di sicurezza e delle regole per lo scambio di informazioni da adottare, si è tradotto di frequente in difficoltà di attuazione.
Cos’è la Direttiva NIS 2
La NIS 2, definita sul sito ufficiale dell’Unione Europea come la “direttiva sulle misure per un livello comune elevato di cybersicurezza in tutta l’Unione” ha dunque l’obiettivo di eliminare queste divergenze e promuovere un maggior livello di cooperazione tra gli Stati, trovando soluzione alle imprecisioni della direttiva precedente.
Il rafforzamento del livello globale di cyber sicurezza all’interno degli stati membri dell’Unione Europea mira a garantire l’adozione di misure tecniche e organizzative adeguate contro gli attuali e futuri rischi cyber attraverso la promozione di un approccio risk-based che porti le imprese a riconoscere e gestire i rischi così da poter prevenire e minimizzare le conseguenze di eventuali incidenti.
Rispetto alla NIS 1, la NIS 2 amplia i settori e i servizi soggetti alle norme aggiungendo ai 7 settori già coinvolti dalla Direttiva:
- Fornitori di reti o servizi pubblici di comunicazione elettronica
- Gestione delle acque reflue e dei rifiuti
- Produzione di alcuni prodotti critici
- Prodotti alimentari
- Servizi digitali (e-commerce, motori di ricerca, piattaforme di social networking),
- Spazio
Naturalmente, per garantire chiarezza giuridica e coerenza, la NIS 2 è stata allineata con altre normative europee settoriali specifiche come la Direttiva DORA sulla resilienza operativa digitale per il settore finanziario e la Direttiva CER sulla resilienza delle entità critiche.
Le nuove regole per la cyber security europea
Tra le regole degne di nota all’interno della Direttiva NIS 2 vi è certamente quella che assegna agli Stati membri la facoltà di designare o istituire una o più autorità nazionali competenti, responsabili della cyber security e con ruolo di supervisori.
Per comprendere appieno le novità introdotte dalla Direttiva è utile ricordare che la normativa si basa su un approccio multirischio e spinge le imprese ad adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei loro sistemi informatici e delle reti utilizzati nelle loro attività o per la fornitura dei loro servizi, in modo da prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi (art.21). La Direttiva prosegue poi identificando le misure di gestione del rischio, ovvero:
- Politiche di analisi dei rischi e della sicurezza dei sistemi informatici
- Sistemi di gestione degli incidenti
- Soluzioni di business continuity capaci di garantire la continuità operativa e la gestione della crisi, dai backup al disaster recovery
- Misure di sicurezza dell’intera supply chain, a comprendere perciò i rapporti tra ogni soggetto e i suoi fornitori
- Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la divulgazione delle vulnerabilità
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
- Pratiche di igiene informatica basilari e formazione in materia di sicurezza informatica
- Procedure relativa all’uso della crittografia e, se necessario, della cifratura
- Misure per la sicurezza delle risorse umane grazie a strategie e politiche di controllo degli accessi (log management) e gestione degli asset
- Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
Come già previsto dalla Direttiva NIS 1, anche NIS 2 prevede l’obbligo di notifica al CSIRT e alle autorità competenti (oltre che ai destinatari stessi del servizio) entro 24 ore dalla conoscenza di qualsiasi incidente informatico capace di impattare sulla fornitura del servizio. Entro 72 ore, sarà necessario presentare una analisi dettagliata dell’incidente.
A chi si applica la Direttiva NIS 2
La Direttiva, agli Allegati 1 e 2, elenca i soggetti interessati dall’applicazione della disciplina.
A differenza di NIS 1, NIS 2 amplia le categorie di soggetti operando una distinzione tra “soggetti essenziali” e “soggetti importanti”. Oltre dunque ai settori dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali citate in precedenza, la nuova Direttiva si applicherà anche ad altri “settori critici” e ai fornitori di servizi digitali. Nello specifico:
- i servizi postali e di corriere;
- la gestione dei rifiuti;
- la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- la produzione, la trasformazione e la distribuzione di alimenti;
- la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- la fabbricazione di computer e prodotti di elettronica e ottica;
- la fabbricazione di apparecchiature elettriche;
- la fabbricazione di macchinari e apparecchiature n.c.a.;
- la fabbricazione di autoveicoli, rimorchi e semirimorchi;
- la fabbricazione di altri specifici mezzi di trasporto;
- i fornitori di servizi digitali;
- le organizzazioni di ricerca.
Per semplificare la categorizzazione degli operatori, NIS 2 introduce il criterio della dimensione del soggetto da ritenersi essenziale o importante. In effetti, la Direttiva si applicherà a tutti quei soggetti, pubblici o privati, compresi nelle tipologie viste sopra considerati medie imprese ai sensi dell’art.2, all’allegato alla Raccomandazione 2003/361/CE, ovvero a tutte quelle realtà con un numero di dipendenti inferiore ai 250, un fatturato annuo non superiore ai 50milioni di euro e un bilancio annuo non maggiore ai 43milioni di euro.
Ma attenzione, NIS 2 potrebbe applicarsi anche a piccole e microimprese se operanti in settori chiave per la società e a tutti i fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica.
Che cosa significa per le imprese coinvolte
Per le aziende pubbliche e private interessante dall’applicazione delle normative è necessario cominciare a considerare seriamente l’adozione di misure tecnico-organizzative adeguate a mitigare i rischi che, d’altro canto, saranno obbligatorie a partire dal 17 ottobre 2024.
L’obiettivo primario della NIS 2 è quello di favorire la diffusione di un approccio di gestione basato sull’identificazione, valutazione e mitigazione del rischio di attacco informatico. È solo infatti valutando e riconoscendo la presenza del rischio che diventa possibile definire un piano di azione e prevenzione in grado di proteggere il business e i suoi utenti in caso di incidente. Dunque, per le imprese si tratta di adottare un processo di risk assessment che comprenda:
- l’individuazione degli eventi cyber potenzialmente disastrosi che meritano un approfondimento accurato
- la valutazione di tali eventi per stimarne il livello di rischio e la gravità che rappresenterebbe per l’attività del business. In questo caso, operazioni di vulnerability assessment e penetration test sono ideali
- La predisposizione delle misure di prevenzione e protezione, ovvero la pianificazione di un incident response per gestire gli eventuali incidenti informatici
- L’implementazione delle misure di prevenzione e protezione individuate, cioè la predisposizione di un piano di continuità di business e gestione della crisi.
- Il monitoraggio periodico e revisione delle misure adottate tenendo presente che la NIS 2, al fine di responsabilizzare tutti gli attori coinvolti nella supply chain, impone a tutti i fornitori di disporre di adeguati requisiti in termini di sicurezza.
Con la nuova Direttiva NIS 2, insomma, entra in gioco il concetto di Accountability. Non a caso, NIS 2 impone anche nuove e più stringenti regole per quanto riguarda la notifica in caso di incidente informatico. Infatti, in caso di incidente le comunicazioni al Computer Security Incident Response Team (CSIRT) dovranno infatti avvenire:
- Entro 24 ore dalla conoscenza dell’incidente con una notifica di preallarme
- Entro 72 ore dalla conoscenza dell’incidente con aggiornamenti rispetto alle informazioni fornite con il preallarme
- Entro 1 mese dalla conoscenza dell’incidente con una relazione finale a completamento del processo di segnalazione.
Le sanzioni previste dalla Direttiva NIS 2
Come sarà ormai chiaro, la Direttiva NIS 2 pone particolare attenzione a quelli che sono i rischi della supply chain e alla compliance dell’intera catena di fornitura.
Non a caso, la Direttiva concede maggiori poteri alle autorità competenti, che potranno occuparsi del monitoraggio delle entità essenziali e che potranno sanzionare fino a 10 milioni di euro, o 2% del fatturato, gli operatori di servizi essenziali e fino a 7 milioni di euro, o 1,4% del fatturato, i soggetti “importanti”.
Insomma, per le attività coinvolte da questa nuova Direttiva non resta che mettere in atto tutte le misure di gestione del rischio per essere poi pronte alla fatidica data dell’ottobre 2024. Se hai bisogno di una piattaforma in Cloud capace di semplificare l’implementazione di un approccio risk based in azienda, o sei un MSP o un distributore di soluzioni digitali, Intrusa potrebbe fare al caso tuo! Scopri i vantaggi di questa soluzione semplice da usare e efficace per la gestione dei log management e l’analisi del rischio e inizia a mettere in sicurezza la tua impresa sin da subito. Contattaci.