Manca circa un mese all’entrata in vigore della direttiva NIS2, che ridefinisce il quadro normativo della sicurezza europea nell’ottica di rafforzare la resilienza dell’unione dalle minacce cyber.
Abbiamo analizzato le caratteristiche della direttiva in questo approfondimento. In questo articolo vogliamo invece approfondire l’impatto che avrà sulle aziende italiane.
L’impatto della direttiva NIS2 sulle aziende italiane
In primo luogo, la NIS2 impone un cambiamento radicale di mentalità nell’ottica di un approccio continuo alla gestione della cyber security.
In secondo luogo, la direttiva amplia sensibilmente la platea di soggetti coinvolti. Si parla di circa 16.000 realtà coinvolte in Italia rispetto alle 400 del precedente quadro normativo. Senza contare la supply chain, come vedremo nei prossimi paragrafi.
Al di là dei numeri, la NIS2 ha un impatto significativo su aziende e organizzazioni, perché introduce l’obbligo di implementare misure di cyber security molto più rigorose e definite rispetto al passato. Particolare enfasi è dedicata alle misure da adottare, come evidenziato dall’articolo 21, paragrafo 1, che recita:
Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
Un ulteriore elemento di analisi è dedicato alla definizione di un approccio multirischio, come definito nel paragrafo 2 dell’articolo 21:
Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informativi e di rete e il loro ambiente fisico da incidenti.
Si configura quindi, in primo luogo, un cambiamento sostanziale nella visione della cyber security in un’ottica di trasformazione continua e proattiva.
Gestione degli incidenti
Un aspetto molto importante della direttiva riguarda la definizione di un recovery plan in caso di incidente significativo. La direttiva considera un incidente come significativo se ha causato o può causare criticità operative dei servizi o perdite finanziarie per l’azienda/organizzazione, oppure se ha avuto conseguenze su altri soggetti fisici o giuridici provocando perdite materiali o immateriali.
Dal punto di vista operativo, in caso di incidente significativo è previsto un iter di notifica alle autorità competenti basato su tre punti:
- Un preallarme deve essere inviato alle autorità entro 24 ore da quando si è venuti a conoscenza dell’incidente
- Una notifica di aggiornamento sullo stato dell’incidente deve essere inviata entro le 72 ore successive
- Una relazione finale deve essere inviata alle autorità competenti entro un mese dalla notifica di aggiornamento
In Italia, l’autorità competente è l’Agenzia per la Cybersicurezza Nazionale (ACS).
Il recovery plan deve prevedere inoltre la nomina di un responsabile della sicurezza, la definizione di ruoli e responsabilità delle risorse coinvolte e la definizione delle procedure da seguire in caso di incidente significativo.
Cosa si rischia in caso di violazione della direttiva
In caso di violazione delle regole definite dalla normativa, sono previste sanzioni importanti per aziende e organizzazioni, sanzioni proporzionali alle dimensioni economiche delle aziende coinvolte.
Nello specifico:
- Sono previste multe pari a un massimo di dieci milioni di euro – o il 2% del fatturato – per gli operatori essenziali
- Sono previste sanzioni pari a un massimo di sette milioni – o l’1,4% del fatturato – per gli operatori importanti
Le organizzazioni colpite da incidente significativo hanno inoltre l’obbligo di comunicare pubblicamente sui propri canali tutti i dettagli della violazione registrata. Contestualmente, permane l’obbligo di notifica di violazione dei dati personali – ai sensi del GDPR – al Garante della Privacy.
L’impatto sulla catena di fornitura
Un aspetto di potenziale criticità riguarda la supply chain. Le aziende che rientrano nei soggetti interessati dalla normativa hanno l’obbligo di verificare le politiche di sicurezza dei fornitori, identificando eventuali vulnerabilità che potrebbero portare a incidenti o interruzioni di servizio.
Si tratta di un elemento sensibile, in un contesto come quello italiano caratterizzato dalla presenza di un tessuto fatto di piccole e medie imprese. Se le grandi realtà e le multinazionali devono già oggi confrontarsi con politiche di cyber security complesse e articolate, lo stesso non si può dire per le PMI, dove spesso manca una cultura normativa della sicurezza digitale.
Ciò potrebbe comportare un impatto importante in termini di gestione della catena di fornitura nel suo complesso.
Come conformarsi alla normativa
Le aziende devono seguire un percorso finalizzato alla definizione di una strategia operativa chiara ed efficace. È un percorso olistico alla cyber security, finalizzato a migliorare la resilienza delle infrastrutture.
Questo percorso deve partire da una fotografia dell’attuale piattaforma di sicurezza, per identificare le aree di intervento e le misure da adottare dal punto di vista tecnico, operativo e organizzativo.
Per quanto riguarda le misure, la direttiva definisce alcuni degli interventi chiave che possono essere implementati. Qualche esempio:
- Analisi complessiva del rischio cyber in area IT e (soprattutto) in area OT
- Policy di gestione degli incidenti
- Piani di continuità operativa e gestione dei backup di ripristino
- Procedure di crittografia, anonimizzazione e pseudomizzazione
- Soluzioni di autenticazione a più fattori o autenticazione continua
- Piani di sicurezza della catena di fornitura
- Creazione di best practice e formazione continua
- Strategie di controllo dell’accesso e gestione dei varchi attivi
- Piani di valutazione dell’efficacia delle misure di gestione dei rischi
La NIS2 sottolinea inoltre l’importanza di monitorare continuativamente l’efficacia delle misure di sicurezza, aggiornando le misure messe in atto sulla base delle minacce e delle vulnerabilità.
