Negli ultimi decenni, l’Unione Europea ha assistito a una trasformazione radicale nel panorama della cybersecurity. L’avvento delle tecnologie digitali ha portato con sé non solo opportunità senza precedenti, ma anche sfide significative legate alla protezione delle infrastrutture critiche e alla gestione dei rischi cibernetici. In risposta a questa evoluzione, l’UE ha adottato la Direttiva sulla Sicurezza delle Reti e dei Sistemi Informatici (Network and Information Systems – NIS), che recentemente è stata riveduta e rilanciata come “NIS 2”. Il nuovo quadro normativo rappresenta un passo significativo per rafforzare la sicurezza cibernetica in Europa, garantendo alle aziende un’elevata protezione contro le minacce digitali sempre più sofisticate e pervasive.
Contesto e Obiettivi della Direttiva NIS 2
La Direttiva NIS 2 si inserisce in un contesto di crescente digitalizzazione e interconnessione delle economie europee. Questa evoluzione ha reso le reti e i sistemi informatici cruciali per il funzionamento di settori chiave quali energia, trasporti, servizi finanziari, sanità e molti altri. Tuttavia, l’aumentata dipendenza da tali sistemi ha anche esposto le società europee a rischi sempre più complessi e diversificati, tra cui attacchi cibernetici mirati, violazioni della privacy e interruzioni dei servizi essenziali.
La NIS 2 è stata progettata per affrontare queste sfide in modo più efficace rispetto alla sua predecessora, la NIS originale. La direttiva si propone di migliorare la sicurezza cibernetica nell’UE attraverso una serie di misure volte a rafforzare la resilienza delle reti e dei sistemi informatici, migliorare la cooperazione tra gli Stati membri e garantire un livello elevato e uniforme di cybersecurity in tutta l’Unione. Gli obiettivi principali della NIS 2 includono la protezione delle infrastrutture critiche, la cooperazione tra Stati membri dell’UE e altre nazioni per il coordinamento delle risposte agli attacchi informatici, e l’adozione di un approccio più proattivo e coordinato nella gestione dei rischi e delle minacce cibernetiche.
Ampliamento della Portata e Categorizzazione dei Soggetti
Una delle innovazioni principali introdotte dalla NIS 2 è l’ampliamento della portata dei soggetti coinvolti nella sicurezza cibernetica. Mentre la NIS originale si concentrava principalmente sugli operatori di servizi essenziali, la NIS 2 include ora anche i cosiddetti “soggetti importanti”. Questa nuova categorizzazione mira a coprire un’ampia gamma di attori che svolgono un ruolo critico nell’economia digitale europea, compresi i fornitori di servizi digitali come , motori di ricerca e provider di servizi cloud.
Il nuovo testo normativo introduce inoltre indicazioni circa le dimensioni delle società. Rientrano nel campo di applicazione della Direttiva NIS 2 le società dei settori sopra richiamati che siano di medie e grandi dimensioni. Tuttavia, è importante notare che anche potrebbero rientrare nel perimetro della direttiva se operano in settori chiave per la società, come la sanità, l’energia, i trasporti, e indipendentemente dalle dimensioni, i fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica. Questa estensione della portata mira a garantire che tutte le entità che gestiscono informazioni sensibili o che forniscono servizi essenziali siano adeguatamente protette dalle minacce cibernetiche emergenti.
La distinzione tra soggetti essenziali e importanti è progettata per garantire che tutte le parti critiche dell’economia europea siano protette in modo appropriato. I soggetti essenziali includono settori come l’energia, i trasporti, le banche, le infrastrutture dei mercati finanziari, la sanità, la fornitura e distribuzione di acqua potabile, e le infrastrutture digitali. I soggetti importanti, invece, comprendono settori quali i servizi postali e delle consegne, i rifiuti, la chimica, la produzione alimentare, il manifatturiero e i fornitori di servizi digitali. Questa ampia copertura assicura che tutte le parti critiche dell’economia europea siano protette in modo appropriato.
Governance e Responsabilità degli Organi di Gestione
Uno dei cambiamenti più significativi introdotti dalla NIS 2 riguarda la responsabilità degli organi di gestione aziendale nella sicurezza cibernetica. Gli organi di gestione, come i Consigli di Amministrazione delle aziende, sono ora chiamati non solo a supervisionare le politiche di sicurezza cibernetica, ma anche a definirle attivamente e a garantirne l’attuazione. Questo segna un chiaro spostamento rispetto al passato, dove la gestione della cybersecurity era spesso delegata esclusivamente alla funzione IT.
La NIS 2 richiede che gli organi di gestione aziendale siano direttamente coinvolti nell’approvazione delle misure per la gestione del rischio legato alla cybersecurity. Questo include la supervisione sull’implementazione di tali misure e la partecipazione a formazioni specifiche su tematiche di sicurezza cibernetica. Estendendo questa formazione anche ai loro collaboratori, le aziende possono valutare l’efficacia e l’adeguatezza delle misure di sicurezza adottate. Inoltre, gli organi di gestione possono essere ritenuti responsabili in caso di violazioni, sottolineando così l’importanza del loro ruolo nella prevenzione e gestione dei rischi.
Questo approccio richiede un impegno condiviso e una gestione oculata a tutti i livelli organizzativi, per garantire la sicurezza delle informazioni e la resilienza dei sistemi di fronte alle minacce informatiche. La direttiva manda un messaggio chiaro alle organizzazioni: la cybersecurity non è più un problema limitato all’ambito IT, ma è una questione che riguarda l’intera organizzazione e deve essere trattata come tale.
Misure di Sicurezza e Gestione dei Rischi
L’articolo 21 della NIS 2 dettaglia le misure di sicurezza che i soggetti in perimetro devono adottare per proteggere le loro reti e i loro sistemi informativi. Queste misure includono:
- politiche per l’analisi dei rischi: come, ad esempio, lo svolgimento di una valutazione del rischio per identificare e mitigare potenziali minacce ai suoi sistemi informativi;
- strategie per la gestione degli incidenti: come, ad esempio, lo sviluppo di un piano di risposta agli incidenti che include procedure specifiche per rilevare, analizzare e risolvere rapidamente eventuali attacchi informatici;
- piani di continuità operativa: come, ad esempio, la creazione di un piano di emergenza che garantisca il mantenimento delle operazioni essenziali durante e dopo un incidente informatico;
- sicurezza della catena di approvvigionamento: come, ad esempio, la gestione dei rischi associati ai fornitori di servizi e prodotti ICT per garantire che l’intera catena di fornitura sia sicura;
- pratiche di igiene informatica: come, ad esempio, l’adozione di una politica per gli aggiornamenti, per la gestione delle password e per il backup.
È fondamentale che tali misure siano proporzionate ai rischi identificati e regolarmente aggiornate per affrontare le minacce cibernetiche in continua evoluzione.
La direttiva promuove un approccio multirischio, che richiede alle organizzazioni di valutare e gestire una vasta gamma di rischi, inclusi quelli fisici, umani e procedurali. Questo significa che ogni soggetto deve valutare attentamente il proprio contesto operativo, comprese le dimensioni, il grado di esposizione ai rischi e la probabilità e gravità potenziale degli incidenti. In seguito all’analisi dei rischi, le misure adottate, operative e organizzative, devono essere adeguate e proporzionate ai rischi identificati, e mirare a proteggere i sistemi informatici e di rete da attacchi, prevenire o ridurre al minimo l’impatto degli incidenti e garantire la continuità servizi.
Ad esempio, un ospedale deve proteggere i propri sistemi informatici per garantire la continuità dei servizi medici essenziali. I rischi devono essere valutati considerando le dimensioni, la complessità dei sistemi IT, il numero di pazienti e personale e la criticità servizi offerti.
I rischi identificati potrebbero includere: rischi fisici come, ad esempio, incendi e allagamenti; rischi umani come errori di configurazione o selezione di link malevoli; rischi procedurali come la mancanza di aggiornamenti software.
Tra le possibili misure da adottare ci sono l’implementazione di firewall e software antivirus, backup regolari dei dati, aggiornamenti software, formazione del personale, elaborazione di procedure di risposta agli incidenti e implementazione di rigorosi controlli di accesso ai sistemi informatici.
È fondamentale che queste misure siano regolarmente riviste e aggiornate per riflettere l’evoluzione del panorama delle minacce cibernetiche.
Sanzioni e Conformità
Un elemento cruciale della NIS 2 è il quadro sanzionatorio dettagliato previsto dall’articolo 34. A differenza della NIS originale, che delegava agli Stati membri la definizione delle sanzioni, la NIS 2 stabilisce un perimetro sanzionatorio chiaro e uniforme per le violazioni delle disposizioni della direttiva. I soggetti essenziali e importanti che non rispettano gli obblighi di sicurezza cibernetica possono essere soggetti a sanzioni amministrative pecuniarie significative.
I soggetti essenziali possono essere sottoposti a sanzioni amministrative pecuniarie pari a un massimo di almeno 10.000.000 di euro o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore. I soggetti importanti, invece, possono essere sottoposti a sanzioni amministrative pecuniarie pari a un massimo di almeno 7.000.000 di euro o a un massimo di almeno l’1,4% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.
Segnalazione degli Incidenti
La NIS 2 rafforza gli obblighi di segnalazione degli incidenti cibernetici. L’articolo 23 impone ai soggetti in perimetro di notificare senza indebiti ritardi, e comunque entro 24 ore dalla conoscenza dell’incidente, all’autorità competente o al CSIRT (Computer Security Incident Response Team) nazionale gli incidenti che hanno un impatto significativo sulla continuità dei servizi essenziali. La segnalazione iniziale deve essere seguita da una relazione più dettagliata entro 72 ore, contenente ulteriori informazioni sull’incidente, le sue cause e le misure adottate per mitigarne gli effetti.
L’ obbligo di segnalazione tempestiva è cruciale per garantire una risposta coordinata e rapida agli incidenti cibernetici, riducendo al minimo il loro impatto e prevenendo la diffusione di danni. Inoltre, facilita la condivisione delle informazioni e delle migliori pratiche tra gli Stati membri, migliorando la resilienza complessiva dell’UE alle minacce cibernetiche.
Formazione e Sensibilizzazione
Un altro aspetto chiave della NIS 2 riguarda la formazione e la sensibilizzazione sulla cybersecurity. La direttiva riconosce che una delle principali vulnerabilità delle organizzazioni è rappresentata dalla mancanza di consapevolezza e competenze in materia di sicurezza cibernetica. Pertanto, promuove iniziative di formazione continua per tutti i livelli dell’organizzazione, dagli organi di gestione ai dipendenti operativi.
Tale formazione deve coprire una vasta gamma di argomenti, tra cui l’identificazione e la gestione dei rischi cibernetici, le tecniche di cybersecurity, la risposta agli incidenti, e le normative e politiche pertinenti. Inoltre, la sensibilizzazione deve essere estesa ai partner commerciali e ai fornitori di servizi, garantendo che tutta la catena di approvvigionamento sia adeguatamente preparata a fronteggiare le minacce cibernetiche.
Formazione e sensibilizzazione sono fondamentali per costruire una cultura della cybersecurity all’interno delle organizzazioni. Questo non solo migliora la capacità delle aziende di prevenire e rispondere agli incidenti cibernetici, ma aiuta anche a diffondere una maggiore consapevolezza delle minacce e delle vulnerabilità, riducendo il rischio di attacchi riusciti.
Cooperazione Internazionale e Sviluppo di Capacità
La cooperazione internazionale è un elemento centrale della NIS 2. La direttiva incoraggia la collaborazione tra gli Stati membri e con i partner internazionali per affrontare le minacce cibernetiche globali. Questo include la condivisione di informazioni sulle minacce, le vulnerabilità e gli incidenti, nonché l’impegno nella ricerca e sviluppo di nuove tecnologie di sicurezza.
Inoltre, la Direttiva sostiene lo sviluppo di capacità nazionali in materia di sicurezza cibernetica. Gli Stati membri sono incoraggiati a investire in infrastrutture di sicurezza, formazione e ricerca per migliorare le capacità di prevenzione, rilevazione e risposta agli incidenti cibernetici. Questo sviluppo di capacità è fondamentale per garantire che tutti gli Stati membri siano adeguatamente preparati a fronteggiare le minacce cibernetiche, indipendentemente dalla loro dimensione o livello di sviluppo tecnologico.
Conclusioni e Prospettive Future
In conclusione, la Direttiva NIS 2 rappresenta un impegno deciso dell’Unione Europea per affrontare le sfide emergenti della sicurezza cibernetica. Con un quadro normativo robusto, la direttiva mira a proteggere le infrastrutture critiche, promuovere una cultura della cybersecurity e garantire la resilienza digitale dell’UE nel lungo periodo.
Tuttavia, per massimizzare l’efficacia della NIS 2, è essenziale un impegno coordinato tra gli Stati membri, le autorità di regolamentazione, le imprese e altri attori chiave. Solo attraverso una collaborazione trasversale e un impegno condiviso, l’UE potrà affrontare con successo le sfide della sicurezza cibernetica e prepararsi adeguatamente per un futuro digitale sicuro e prospero.
La NIS 2 non è solo una risposta alle attuali minacce cibernetiche, ma rappresenta anche una visione per il futuro della sicurezza digitale in Europa. Con l’adozione di pratiche innovative, investimenti in tecnologie avanzate e una cooperazione internazionale rafforzata, l’UE può diventare un leader globale nella sicurezza cibernetica, proteggendo non solo le sue infrastrutture critiche ma anche la fiducia e il benessere dei cittadini.
Per sviluppare e potenziare le proprie abilità e conoscenze sulla cybersecurity, Skilla suggerisce due percorsi formativi della Skilla Library: “Cybersecurity” e “Cyber Gym” di recente arricchito con due nuovi moduli sul phone hacking, “Smartphone blindato, phone hacking sventato”, e sulla gestione sicura delle applicazioni, “Le tue app al sicuro”.