La Direttiva UE 2022/2555 meglio conosciuta come NIS 2 (Network and Information Security 2), è stata pubblicata sulla Gazzetta Ufficiale UE a fine Dicembre 2022, nell’ottica di modernizzare la precedente Direttiva NIS 2016/1148, e la scadenza per il recepimento da parte di ciscun governo nazionale è fissata per il 18 Ottobre 2024.
L’intento della NIS 2 è quello di voler rafforzare il livello globale di cybersicurezza all’interno degli stati membri, attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione dei rischi e degli incidenti informatici, dalla prevenzione fino alla capacità di minimizzare l’impatto che tali incidenti possono causare.
A chi si rivolge la Direttiva NIS2
La platea di destinatari della Direttiva NIS 2 è più ampia rispetto a quanto stabilito dalla precedente Direttiva NIS, e si compone ora di soggetti c.d. “essenziali” e “importanti”, indicati rispettivamente negli Allegati 1 e 2, con specifici dettagli tra loro, ma senza che venga fatta alcuna distinzione, in termini di applicazione, tra soggetti pubblici o privati.
Tra gli operatori “essenziali” rientrano anche le pubbliche amministrazioni ma, in particolare, le imprese del settore energetico, di servizi ICT, dei trasporti e del settore sanitario, intendendo sia imprese che prestino servizi di assistenza sanitaria ma anche quelle che fabbricano prodotti farmaceutici o dispositivi medici considerati critici.
Tra gli operatori considerati “importanti” si elencano invece le imprese che si occupano ad esempio di fabbricazione di macchine ed apparecchiature elettriche-elettroniche, della gestione dei rifiuti, di sostanze chimiche e della produzione, trasformazione e distribuzione degli alimenti.
Da un punto di vista della dimensione, i destinatari sono medie e grandi imprese che operano nei settori individuati dagli Allegati della NIS2, ma in taluni casi vengono ricomprese anche le micro e piccole, operanti in comparti economico-sociali chiave, come la fornitura di servizi e reti di comunicazione elettronica.
Tali soggetti saranno chiamati a valutare e attuare le necessarie misure tecniche e organizzative, e dovranno necessariamente adottare una governance in tema di cyber security che può prevedere, ad esempio, misure per la gestione dei rischi informatici, la formazione periodica su questi temi sia ai dipendenti ma anche ad altri attori lungo la catena di fornitura, fino alla gestione della continuità operativa e alla segnalazione degli incidenti nei confronti degli organi preposti alla raccolta delle segnalazioni, nonché norme in materia di vigilanza ed esecuzione.
Oltre a garantire la resilienza e il ripristino in casi di disastro, le imprese cd. “essenziali” e “importanti” avranno quindi il dovere di notificare ai rispettivi CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente, qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi, comunicando senza indebito ritardo e comunque entro 24 ore, l’incidente del quale l’impresa è venuta a conoscenza e che possa essere il risultato di atti illegittimi o malevoli.
Quale impatto avrà sulle PMI
Le PMI, che di fatto erano rimaste ben al di fuori della portata della precedente Direttiva del 2016 potrebbero ora ritrovarsi coinvolte, nella situazione di dover rispondere in solido nel caso in cui si verifichino delle violazioni dei dati e dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura.
In altri termini, nella malaugurata ipotesi in cui dovesse verificarsi un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri soggetti che intervengono lungo la supply chain.
In via provvisoria e al netto del recepimento che dovranno effettuare i singoli paesi membri, in particolare in Italia, la nuova Direttiva NIS 2 prevede il coinvolgimento dei seguenti settori:
• infrastrutture digitali e digital provider
• finanza
• salute
• reti idriche
• energia
• oil & gas
• trasporti
• pubblica amministrazione
• reti e servizi per la comunicazione elettronica pubblica
• servizi postali
• aerospace
• prodotti medicali, prodotti chimici, prodotti farmaceutici e dispositivi medicali
• rifiuti
• filiera agro-alimentare
• data center, social network e via dicendo
I requisiti minimi previsti dalla Direttiva NIS2
Oltre a definire i settori di attività da disciplinare, la NIS2 prevede l’elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a garantire:
• analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.;
• gestire gli incidenti di sicurezza informatici con un piano e un’attività di monitoraggio continuo e incident response;
• dotarsi di un piano di continuità di business e gestione delle crisi
• testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
• assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza;
È evidente come l’obiettivo del legislatore sia mirato, seppur con molta gradualità, ad estendere la cultura e gli obblighi in materia di sicurezza informatica a tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici.
Conclusioni
AL netto di quando e come verrà recepita la Direttiva NIS2 in Italia, è opportuno rilevare come molte delle disposizioni in essa contenute coincidano di fatto con quelle attività di cyber security che la maggior parte delle organizzazioni oggi dovrebbe attivare al fine di garantire la sicurezza del proprio business e la protezione sia dei propri dati che quelli dei propri clienti.
La direzione a cui si dovrebbe progressivamente tendere non dipende quindi strettamente dai termini che la legge stabilirà, anche tardivamente, ma dovrebbe essere saggiamente orientata a favorire l’aumento dei requisiti minimi in materia di sicurezza informatica, con il relativo stanziamento di risorse economiche e di competenze necessarie.
L’obbligo dovrebbe essere innanzitutto interpretato come un buon consiglio, che vede l’esigenza di associare ad una condotta reattiva anche una componente proattiva e preventiva, soprattutto nell’ottica che sarà sempre più difficile rimanere immuni rispetto all’offensiva dei cyber criminali.
Saper identificare in tempi brevi la natura di un attacco e adottare le misure efficaci per mitigarlo costituisce un valore che va associato all’efficacia dei sistemi di cyber security e all’organizzazione dei propri dipendenti, che andrebbero continuamente formati affinché sviluppino e migliorino nel tempo un adeguato atteggiamento di igiene informatica.
LINK CORRELATI:
SICUREZZA NAZIONALE
https://www.sicurezzanazionale.gov.it/normativa/sicurezzacibernetica/europea
CSIRT ITALIA
https://www.csirt.gov.it/
PORTALE DELLE LEGGI DELL’UNIONE EUROPEA
https://eur-lex.europa.eu
DIRETTIVA NIS2 IN FORMATO PDF E LINGUA ITALIANA
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555