APPROFONDIMENTI

Direttiva NIS2: novità sulla cybersecurity nell’UE

05 dic 20245 min read
La Direttiva NIS2, entrata in vigore il 16 gennaio 2023, si configura come l’evoluzione della Direttiva NIS (Network and Information Security), che stabilisce misure minime per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.
Contents

La Direttiva NIS2, recepita con D.LGS. del 4 settembre 2024, n. 138, è concepita come evoluzione della precedente Direttiva NIS, che mirava a rafforzare la sicurezza informatica nei settori critici e nei fornitori di servizi digitali per tutti gli Stati membri dell'Unione europea.

Novità e settori di applicazione

Con l’evoluzione delle minacce cibernetiche e l’aumento della dipendenza dai sistemi informatici, NIS2 (Direttiva UE 2022/2555) estende il campo di applicazione ai settori essenziali dell’energia, dei trasporti, delle banche, delle infrastrutture finanziarie, dell’acqua, della sanità e delle infrastrutture digitali. Inoltre, la nuova Direttiva includerà anche fornitori di servizi digitali nei settori dell’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio. 

Con l'obiettivo di rafforzare le capacità di resilienza e di risposta agli incidenti di sicurezza degli operatori di servizi di importanza vitale per le principali attività sociali ed economiche dell'UE, la Direttiva introduce nuovi obblighi e disposizioni aggiuntive rispetto al passato e prevede, in caso di mancata conformità, sanzioni amministrative (fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente) e l’attribuzione di responsabilità agli organi di amministrazione dei soggetti coinvolti.

Quattro principi chiave della direttiva NIS2

Promuovendo l’adozione di un approccio multirischio, la Direttiva si articola su quattro principi chiave: 

  1.  Gestione del Rischio: le organizzazioni devono adottare misure per minimizzare i rischi informatici. Queste misure includono, ad esempio: la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una migliore sicurezza di rete, un controllo degli accessi più efficace e la crittografia.
  2. Responsabilità Aziendale: NIS 2 richiede che la direzione aziendale supervisioni, approvi e sia formata e responsabile delle misure di cybersicurezza e affronti i rischi informatici. Le violazioni possono comportare sanzioni per la direzione e un potenziale divieto temporaneo di ricoprire ruoli dirigenziali.
  3. Obblighi di Segnalazione: Le entità essenziali e importanti devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura del loro servizio o sui destinatari. Vengono stabilite scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente mentre la notifica ufficiale deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
  4. Business Continuity: Le aziende devono pianificare come intendono garantire la continuità aziendale in caso di gravi incidenti informatici. Questo piano dovrebbe includere considerazioni sul recupero dei sistemi, procedure di emergenza e la creazione di un team di risposta alle crisi.

Misure di sicurezza minime previste dalla direttiva NIS 2 

  • Politica di sicurezza dei sistemi informativi e di rete che definisca l’approccio e gli obiettivi di sicurezza dei soggetti pertinenti alla gestione della sicurezza dei loro sistemi informativi e di rete adeguata alla strategia e agli obiettivi aziendali dei soggetti e complementare a tale strategia.
  • Politica di sicurezza della catena di approvvigionamento che disciplini le relazioni con i loro diretti fornitori e fornitori di servizi al fine di attenuare i rischi individuati per la sicurezza dei sistemi informativi e di rete attraverso l’implementazione di un insieme di strategie per il monitoraggio e la gestione dei rischi derivanti da fornitori di servizi ICT/Cyber di terze parti.
  • Politica di sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete che stabilisca e attui processi per gestire i rischi derivanti dall’acquisizione, dai fornitori o dai fornitori di servizi, di servizi TIC o prodotti TIC per componenti critici per la sicurezza dei loro sistemi informativi e di rete durante tutto il loro ciclo di vita. Devono essere considerati aspetti di gestione configurazione, gestione delle patch, gestione della rete e della sua segmentazione, protezione da software malevoli.
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza attraverso una strategia e delle procedure per valutare se le misure di gestione dei rischi di cibersicurezza da essi adottate siano attuate e mantenute efficacemente.
  • Pratiche di igiene informatica di base e formazione in materia di sicurezza attraverso un programma di sensibilizzazione che deve essere programmato nel corso del tempo e in linea con la politica di sicurezza dei sistemi informativi e di rete e con le politiche specifiche in materia di sicurezza dei sistemi informativi e di rete.
  • Politiche e procedure per l’uso della crittografia e, se del caso, della cifratura, al fine di garantire un uso adeguato ed efficace della crittografia stessa per proteggere la riservatezza, l'autenticità e l'integrità dei dati in linea con la classificazione delle risorse dei soggetti pertinenti e con i risultati della valutazione dei rischi effettuata
  • Sicurezza delle risorse umane, attraverso la predisposizione di meccanismi volti a garantire che tutti gli utenti con accesso amministrativo o privilegiato siano consapevoli dei loro ruoli, delle loro responsabilità. Devono essere considerate anche le procedure in caso di cessazione o modifica del rapporto di lavoro.
  • Controllo dell’accesso attraverso l’implementazione di strategie di controllo dell’accesso logico e fisico per l'accesso ai sistemi informativi e di rete, sulla base dei requisiti operativi e dei requisiti di sicurezza. Deve essere considerata la gestione dei diritti di accesso, la gestione degli account privilegiati e degli account di amministrazione dei sistemi attraverso sistemi di amministrazione, identificazione e autenticazione, l’autenticazione a più fattori.
  • Gestione delle risorse attraverso la definizione di livelli di classificazione di tutte le risorse, per determinare il livello di protezione richiesto. La politica di gestione risorse deve comprendere l’intero ciclo di vita delle risorse, compresi l’acquisizione, l’uso, la conservazione, il trasporto e lo smaltimento nonché fornire regole in merito all’uso sicuro, alla conservazione sicura, al trasporto sicuro e alla cancellazione e distruzione irreversibili delle risorse.
  • Sicurezza ambientale e fisica per ridurre le conseguenze di eventi derivanti da minacce fisiche e ambientali, quali catastrofi naturali e altre minacce intenzionali o non intenzionali, sulla base dei risultati della valutazione dei rischi effettuata. 

Il decreto di recepimento della Direttiva NIS 2 richiede l’emanazione di ulteriori e successivi atti normativi (a titolo esemplificativo soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato si potranno conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti).

Il nostro team è in grado di sviluppare e implementare un quadro efficace di gestione dei requisiti NIS 2 definendo un assessment efficace da cui costruire il framework di resilienza più adatto al contesto aziendale. Inoltre, possiamo garantire una visione olistica grazie alla propria multidisciplinarietà, avendo a disposizione tutte le competenze specialistiche necessarie

TAGS