A cura di Davide Giribaldi
Quarantasei articoli, tre allegati, centoquarantaquattro considerando.
È questa l’estrema sintesi della nuova Direttiva NIS-2 (Dir. UE 2022/2555) che stabilisce misure volte a garantire un livello comune elevato di #cybersecurity nell’Unione Europea per migliorare il funzionamento del mercato interno.
Ha tre obiettivi:
- Aumentare il livello di resilienza informatica di tutti i soggetti pubblici e privati che rientrano in perimetro.
- Ridurre le incoerenze nei settori già coperti dalla direttiva attuale.
- Migliorare il livello di consapevolezza comune e la capacità collettiva di preparazione e risposta agli incidenti.
È parte di un pacchetto più ampio di misure strategiche a livello europeo a tutela dei principali aspetti che regolano la sicurezza delle informazioni a livello complessivo e che comprende tra gli altri il GDPR, il Cybersecurity Act, il Regolamento DORA per la gestione dei rischi informatici degli operatori del mercato finanziario e la Direttiva CER sulla resilienza delle Infrastrutture critiche.
È applicata a tutte le entità pubbliche e private di “medie dimensioni” che rientrino negli undici settori di mercato definiti ad “alta criticità” e nei sette considerati come “critici”.
Per comprendere l’estensione dei soggetti a cui la Direttiva è rivolta, è opportuno chiarire che le “medie dimensioni” sono quelle definite dall’art.2 par.1 dell’allegato alla Raccomandazione 2003/361/CE, ovvero tutte le organizzazioni private con meno di 250 dipendenti, fatturato annuo non superiore ai 50 milioni di Euro, bilancio annuo non superiore ai 43 milioni di Euro.
La NIS-2 inoltre, distingue tra operatori di servizi “essenziali” e “importanti”.
Tra i primi sono ricomprese le Pubbliche Amministrazioni, e le aziende dei settori energetico, delle infrastrutture digitali, sanitario, bancario, dei trasporti e delle acque.
Tra gli operatori di servizi “importanti” ci sono quelli legati ai servizi postali e i corrieri, quelli relativi alla gestione dei rifiuti, al settore chimico, agroalimentare e produttivo in genere.
Prima di pensare che la vostra organizzazione si collochi al di fuori del perimetro di applicazione della Direttiva, è bene sapere che la NIS 2 pone una forte attenzione alla cosiddetta supply chain, prevedendo il monitoraggio della sicurezza della catena dei fornitori.
Per questo motivo è probabile, che nel caso vi troviate ad operare per aziende pubbliche o private che rientrino in uno di questi settori, i vostri clienti possano richiedervi il rispetto di requisiti minimi di sicurezza, piuttosto che sottoporre la vostra organizzazione ad audit di conformità normativa.
Nel caso non lo foste già, potrete farvi trovare pronti adottando un framework che vi consenta di realizzare (anche senza certificarlo formalmente) un sistema di gestione per la sicurezza delle informazioni.
Qualche esempio?
Il più semplice in assoluto è il Framework per la Cybersecurity Nazionale, che offre un set minimo di controlli a cui adeguarsi, senza necessariamente sconvolgere le procedure aziendali.
Se invece cercate qualcosa di più strutturato, potete guardare la versione 8 dei Controlli CIS, piuttosto che il Framework NIST sulla cybersecurity. Al di sopra di tutto c’è poi la possibilità di adottare un sistema di gestione in conformità alla norma ISO/IEC 27001:2022 che rappresenta il più ampio elemento di garanzia tanto per voi quanto per i vostri clienti.
La novità più importante introdotta dalla NIS-2 è l’obbligo di segnalazione degli incidenti da parte di entrambe le categorie di operatori (essenziali e importanti) che senza indugio e comunque nel termine massimo di 72 ore (GDPR docet!) dalla venuta a conoscenza di una violazione, dovranno procedere alla notifica ai CSIRT designati dagli Stati Membri, che dovranno agire da intermediari fidati e dovranno facilitare l’interazione tra i soggetti segnalanti e i produttori/fornitori di prodotti e servizi TLC, sotto l’egida di ENISA, l’Agenzia Europea per la Cybersecurity che dovrà creare e mantenere un registro europeo delle vulnerabilità individuate.
A tale proposito la Direttiva dedica un intero Capo di sei capitoli (20-25) alle misure di gestione del rischio cybersecurity e ai relativi obblighi di segnalazione.
Lo fa ad altissimo livello, introducendo con chiarezza le misure “minime” che chiunque ricada nel perimetro deve adottare con un approccio multirischio.
Tra queste, oltre alla già citata sicurezza della catena di approvvigionamento (che dovrà comprendere tutti gli aspetti di cybersecurity riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi), ci sono le politiche di analisi dei rischi e di sicurezza dei sistemi informatici, la continuità operativa e la gestione delle crisi.
La Direttiva NIS-2 dovrà essere accompagnata da norme di recepimento a livello nazionale e sarà operativa a partire dal 17 ottobre 2024.
Un lasso di tempo relativamente breve, per comprendere a fondo la trasformazione a cui dovremmo sottoporre le nostre aziende. Un tempo comunque sufficiente per formare ed informare tutto il personale coinvolto, per fare le opportune valutazioni e perché no, predisporre piani di mitigazione dei rischi e di risposta agli incidenti, sui quali almeno in linea teorica, dovremmo essere già tutti preparati.