Da poco è entrata in vigore la direttiva NIS2. In che modo le aziende possono allinearsi alle nuove regole di sicurezza europea? Attraverso alcuni “semplici” step. Vediamo come.
Cos’è la direttiva NIS2
La direttiva dell’Unione Europea NIS2 – Network and Information Security – sostituisce la precedente direttiva NIS1, risalente al 2016 ed entrata in vigore in Italia nel 2018. Comprende misure per rafforzare il perimetro di sicurezza dei Paesi membri unione e la resilienza delle infrastrutture. Particolare attenzione viene dedicata alla business continuity e alla service continuity negli ambienti IT e OT.
La direttiva si applica a due tipologie di soggetti.
Soggetti essenziali
Vengono definiti soggetti essenziali i soggetti – elencati nell’allegato I del decreto-legge 138 – che superano i 250 dipendenti, con un fatturato annuo superiore ai 50 milioni di euro o con un bilancio totale annuo superiore ai 43 milioni di euro.
In questa definizione rientrano anche:
- I soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la direttiva UE 2022/2557, indipendentemente dalle dimensioni
- I fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico, considerati come medie imprese in base all’articolo 2 dell’allegato alla raccomandazione 2003/361/CE
- I prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi di sistema dei nomi di dominio, indipendentemente dalle dimensioni
- Le pubbliche amministrazioni centrali – elencate nell’allegato III – indipendentemente dalle dimensioni
Soggetti importanti
Vengono definiti soggetti importanti i soggetti che superano i 50 dipendenti e con un fatturato superiore ai 10 milioni di euro. Sono compresi in questa categoria – indipendentemente dalle dimensioni – i soggetti che rientrano negli allegati III e IV e i soggetti identificati come critici in base al decreto legislativo che recepisce la direttiva UE 2022/2557.
Esistono inoltre casi speciali di applicazione della direttiva, vi rimandiamo per tutti i dettagli a questo articolo dedicato.
Caratteristiche operative
La direttiva NIS2 è entrata in vigore il 17 gennaio ed è stata recepita dagli stati membri lo scorso 17 ottobre. Rispetto alla NIS1, la NIS2 amplia in maniera sensibile l’elenco dei settori critici e ad alta criticità. Di conseguenza, le aziende che dovranno adeguarsi alla direttiva sono incrementate sostanzialmente. Se la NIS1 riguardava in Italia circa 400 realtà, con la nuova direttiva, da un calcolo basata sui settori merceologici, sembra che le aziende coinvolte siano ben più di 16.000.
Rientrano infatti nella nuova direttiva alcune entità che precedentemente non erano state considerate quali, a titolo di esempio:
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Fabbricazione, produzione e distribuzione di alimenti
- Settore sanitario (laboratori, ricerca, produzione e farmaci, dispositivi medici)
- Fabbricazione di computer, macchinari e apparecchiature NCA
- Fabbricazione di autoveicoli
A questi ambiti produttivi si aggiungono i settori già considerati critici nella prima versione della direttiva.
Con l’entrata in vigore della NIS2, le aziende devono registrarsi su una piattaforma online resa disponibile dall’Agenzia per la Cybersicurezza Nazionale (ACN). Entro un anno – a partire dal 17 ottobre – l’agenzia dovrà definire un elenco dei soggetti essenziali e dei soggetti importanti sulla base dei dati raccolti.
Dal primo gennaio al 28 febbraio, aziende e organizzazioni devono registrarsi o aggiornare – negli anni successivi – la propria posizione sulla piattaforma dedicata. Entro il 31 marzo l’ACN redige e aggiorna l’elenco dei soggetti essenziali e dei soggetti importanti. Dal 15 aprile al 31 maggio, i soggetti essenziali e importanti devono notificare le informazioni di base all’ACN. I c.d. obblighi organizzativi avranno una durata di 18 mesi a partire dal 31 marzo, data in cui ha inizio anche l’obbligo di notifica incidenti al CSIRT (Computer Security Incident Response Team – Italia).
Attraverso la piattaforma online, infine, l’ACN comunicherà ai soggetti interessati l’inserimento, permanenza o rimozione dall’elenco dei soggetti essenziali o importanti.
È poi delegata alla ACS la definizione di obblighi proporzionati che tengono conto del grado di esposizione dei soggetti a rischio, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
Cosa si rischia
Nel caso aziende e organizzazioni non rispettino gli obblighi della normativa, sono previste sanzioni amministrative. Di seguito uno schema di sintesi.
Le sanzioni si riferiscono alle seguenti violazioni:
- Mancata registrazione, comunicazione o aggiornamento delle informazioni all’autorità nazionale competente
- Inosservanza delle modalità stabilite dall’autorità nazionale competente
- Mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione
- Mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche
- Mancata collaborazione con il CSIRT Italia
Come adeguarsi alla direttiva NIS2?
Vediamo insieme alcuni passi pratici che le aziende possono effettuare per adeguarsi alla direttiva.
L’importanza dell’Assessment
Adeguarsi alle normative internazionali – e farlo in tempi molto stretti, come nel caso della direttiva NIS2 – richiede uno sforzo importante per le aziende. In questa prospettiva, collaborare con realtà esterne per la realizzazione di un Assessment di cyber sicurezza esteso ai reparti produttivi può essere una scelta vincente per diverse ragioni. In primo luogo, una consulenza di professionisti esterni alla realtà aziendale permette di avere una prospettiva “fresca” e inedita sulla struttura di difesa dell’azienda. In questo modo è possibile individuare elementi migliorativi e aree di intervento. Il punto di vista di una realtà esterna all’azienda, inoltre, permette di creare una roadmap efficace e resiliente in grado di accompagnare l’azienda verso il quadro operativo richiesto dalla direttiva NIS2.
L’importanza della catena di comando
Il primo passo è definire una catena di comando dedicata, in grado di gestire il coordinamento di tutte le azioni necessarie ad adeguare la politica di sicurezza dell’azienda alla nuova direttiva. È inoltre utile creare un team ad hoc, composto da risorse provenienti da unità diverse, dalla sicurezza all’ufficio legale. In questo modo il processo di adeguamento alla normativa e alla sua applicazione nel lavoro di ogni giorno sarà più efficiente ed efficace.
L’importanza dei processi
L’adeguamento dell’azienda alla nuova normativa dipende naturalmente dal livello di partenza dell’azienda in termini di policy di sicurezza. In tutti i casi, comunque, è importante definire al meglio una roadmap di tutte le operazioni necessarie a raggiungere la conformità. Questo processo deve prevedere il coinvolgimento di tutte le unità dell’azienda, per creare un flusso di lavoro coerente. In questo modo sarà possibile raggiungere la conformità a step progressivi e affrontare eventuali criticità in maniera sistemica.
L’importanza dell’aggiornamento
Gli attacchi informatici, come sappiamo, si evolvono a una velocità importante. Ogni giorno nascono nuove minacce e inedite modalità di attacco. Per questo motivo è importante l’aggiornamento costante e continuativo dei sistemi e delle tecnologie informative e di rete. Questo vale sia per le reti IT che per le reti OT. Inoltre, la verifica continuativa delle policy di sicurezza è un modo per adeguarsi agli scenari definiti dalla normativa NIS2 rafforzando allo stesso tempo il perimetro di sicurezza.
È importante sottolineare che la direttiva assegna all’Autorità nazionale competente la possibilità di imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti, servizi e processi TIC che siano certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza. L’autorità nazionale competente, inoltre, può promuovere l’utilizzo di servizi fiduciari qualificati da parte dei soggetti essenziali e dei soggetti importanti.
L’importanza dell’inventario
Le aziende sono strutture complesse, dove spesso non c’è una visione completa di tutti gli asset disponibili. Per questo motivo è importante effettuare una revisione completa dell’inventario, con l’obiettivo di individuare debolezze e potenziali criticità. In questo modo sarà possibile definire un profilo di rischio in linea con i requisiti della direttiva NIS2. Questo aspetto è ancora più strategico quando si parla di aziende manifatturiere, dove la componente digitale della produzione ricopre un ruolo essenziale in ottica di sicurezza. La corretta mappatura e analisi dei possibili punti di ingresso di attacchi malevoli si riflette in maniera positiva sulla stabilità dell’intera architettura di fabbrica.
Conclusioni
I tempi per adeguarsi alla direttiva NIS2, come abbiamo visto, sono piuttosto stringenti. Ciò impone alle aziende di lavorare in maniera lucida e focalizzata per allineare i parametri di sicurezza al nuovo quadro normativo. È un investimento importante, ma è un investimento che rende le aziende più forti e in grado di affrontare i mutevoli scenari della cybersecurity.