Direttiva NIS 2, cosa cambia per le aziende?

La NIS è la “Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione Europea” ed è stata creata per ottenere un livello elevato di cybersicurezza tra gli Stati membri.

In Italia è entrata in vigore con il decreto legislativo dal 26 giugno 2018, inizialmente rivolta agli operatori dei servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD) che operano in settori critici con lo scopo di rafforzare la sicurezza informatica in quei settori che si basano sulla tecnologia dell’informazione per fornire servizi essenziali, come per esempio la fornitura di energia, acqua, infrastrutture per la salute, il mercato bancario (finanziario), le infrastrutture digitali, i trasporti, le piattaforme di commercio elettronico, i servizi di cloud computing e i motori di ricerca. 

Le aziende interessate dalla Direttiva devono essere conformi e ogni Stato membro ha specificato le sanzioni amministrative per chi non rispetta gli obblighi. Una delle richieste primarie è quella di implementare le difese di cybersicurezza e gli strumenti per gestire e segnalare le violazioni dei dati.

Una nuova direttiva

La crescita esponenziale della digitalizzazione, così come i sempre maggiori rischi per la cybersicurezza (drammaticamente aumentati negli ultimi anni), oltre a un non perfetto allineamento con gli obiettivi del documento originale, ha spinto le istituzioni a dare un pesante giro di vite alla precedete direttiva, ora indicata come NIS 1, introducendo la sua naturale evoluzione chiamata NIS 2, approvata dal Parlamento europeo alla fine del 2022. L’abrogazione della Direttiva NIS 1 e il recepimento della NIS 2 saranno efficaci a partire dal 18 ottobre 2024. Sulla carta c’è ancora tempo per preparasi ma dato che la nuova Direttiva amplia le aziende coinvolte e gli obblighi da rispettare è necessaria un’attenta valutazione per non arrivare impreparati all’appuntamento.

Fra i punti critici individuati nella NIS 1, sono indicati il livello troppo basso di cyber resilienza di alcune imprese UE e, ancora più grave, i diversi livelli di resilienza tra Stati, oltre alla mancanza di efficaci risposte comuni alle crisi. Lo scopo della nuova direttiva è chiaro: forzare la cooperazione non solo tra gli stati ma anche tra le imprese (come vedremo più avanti nel testo), facendo diventare la cybersicurezza obiettivo “partecipato”.

Cosa cambia con la NIS 2?

Se la direttiva originale si applica alle medie e grandi imprese, la NIS 2 comprende anche le piccole se operano in settori chiave per la società. Anche la tipologia delle aziende e degli enti è stata ampliata e oltre ai settori già compresi nel testo originale troviamo: P.A., reti e servizi per la comunicazione elettronica pubblica, servizi postali, aziende del settore aerospaziale, infrastrutture digitali, digital provider (compresi i fornitori di servizi di data center), social network, provider di servizi ICT (business-to-business), produttori farmaceutici e di dispositivi medicali, produttori di materiali chimici, produttori di beni agro-alimentari, gestori di rifiuti e delle acque reflue.

I punti indicati per essere conformi prevedono dei requisiti minimi che le aziende coinvolte nella direttiva saranno chiamate a garantire. Per prima cosa l’obbligo di notifica al CSIRT e alle autorità competenti (24 ore), di qualsiasi incidente nell’infrastruttura generi un impatto significativo per la fornitura. 

Oltre a dotarsi di un efficace sistema di cybersicurezza, enti ed aziende saranno tenute a: 
► analizzare e valutare i rischi di sicurezza dei sistemi informativi (valutazioni di vulnerability assessment e penetration test) per testare l’eventuale debolezza dell’infrastruttura. 
► dotarsi di un piano di continuità di business e gestione delle crisi.
► gestire attività di monitoraggio continuo e di incident response. 
► valutazione delle vulnerabilità della supply chain.

Quest’ultima è sicuramente una delle parti più “critiche” della direttiva che, con buona probabilità, coinvolgerà anche le imprese che di fatto non erano comprese nel testo originale. Infatti, la NIS 2 estende il “concetto di gestione del rischio e di valutazione delle vulnerabilità” alla supply chain. 
Questa soluzione, come scritto precedentemente, avrà l’effetto di creare una cybersecurity più partecipata coinvolgendo un maggior numero di società (o gruppi di società) coinvolte con un ampliamento delle responsabilità. 
Per fare un esempio: se dovesse verificarsi un incidente di sicurezza informatica con violazione e furto dei dati, a risponderne potrebbe non essere soltanto l’azienda titolare del servizio (o del contratto di fornitura), ma anche altri soggetti che intervengono lungo la supply chain. Di conseguenza, l’unica soluzione per mettersi al riparo da eventuali problemi, sarà quella di eseguire una valutazione del livello di sicurezza della supply chain, controllando che i propri fornitori dispongano di adeguati requisiti di cybersicurezza e che siano conformi agli standard richiesti e, se necessario, lavorare per rafforzare le misure contrattuali in modo da ottenere il livello di efficacia concordato. 

Fino ai primi mesi del 2024 sarà molto difficile valutare il reale impatto che la nuova direttiva avrà sulle aziende. Ma vista la portata del cambiamento è essenziale valutare con un certo anticipo le verifiche del caso. Un documento introduttivo relativo alla NIS 2 può essere scaricato sul sito ufficiale dell’Unione Europea al seguente indirizzo: https://digital-strategy.ec.europa.eu/en/node/10361/printable/pdf
Altre informazioni possono essere trovate sul sito della Commissione Europea https://commission.europa.eu/index_it eseguendo una ricerca con il termine NIS 2

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica