La Digital Transformation, ormai pervasiva in ogni settore, porta con sé grandi opportunità, ma allo stesso tempo espone le aziende a nuovi e più complessi rischi in materia di cyber sicurezza.
Il Report Clusit 2024 segnala, infatti, un netto peggioramento in termini di numero di incidenti globali, rispetto all’anno precedente preso in esame, con una media di 232 attacchi hacker mensili. Di questi, l’81% risulta di gravità elevata o critica. E l’Italia risulta, oggi, in una posizione di sempre maggiore vulnerabilità. Appare chiaro, dunque, come il tema della sicurezza informatica e della protezione dei dati sia ormai prioritario sia a livello mondiale che nazionale. Che si tratti di PMI, grandi corporazioni, pubblica amministrazione o enti governativi, la cronaca insegna che nessuno è davvero al sicuro dai cyber criminali.
È in questo scenario che si inserisce la nuova Direttiva NIS2, che va a sostituire la precedente NIS per quel che riguarda la regolamentazione europea in materia di sicurezza dei servizi digitali.
NIS2: cos’è e quando entrerà in vigore
La Direttiva NIS2 è una normativa dell’Unione Europea, entrata in vigore il 17 gennaio 2023. Il motivo per cui se ne parla adesso è perché il 17 ottobre 2024 scadrà il termine ultimo per la ricezione e l’adeguamento obbligatorio da parte degli Stati membri e, dunque, delle aziende coinvolte.
La NIS2 nasce come integrazione e superamento della Direttiva NIS, emanata nel 2016 allo scopo di facilitare il raggiungimento di un livello elevato di sicurezza digitale, comune agli Stati dell’UE. Un’attività di revisione ha rilevato, infatti, carenze e limiti nella norma originaria, che hanno, di fatto, impedito di raggiungere l’obiettivo prefissato.
Adesso l’Unione Europea si prefigge di:
- garantire uniformità di applicazione della normativa all’interno degli Stati;
- rispondere efficacemente alle nuove e sempre maggiori minacce in termini di cyber security;
- proteggere gli interessi politico-economici dei Paesi membri, attraverso la protezione di settori cardine come l’Energy, il Finance e la logistica.
Inoltre, la Direttiva NIS2 si inserisce all’interno di un più ampio contesto fatto di norme, regolamenti e linee guida, che l’Europa ha varato in materia di data protection, privacy e sicurezza. Tra questi, il Regolamento DORA, focalizzato sulla resilienza operativa digitale delle entità finanziarie e dei loro fornitori terzi.
I settori che dovranno adeguarsi alla Direttiva NIS2
Tra le più importanti novità introdotte da NIS2 vi è certamente l’ampiezza del numero dei settori e delle tipologie di aziende coinvolte. La Direttiva si applica ad aziende pubbliche e private che gestiscono servizi ritenuti “essenziali” per la società (OSE - Operatori Servizi Essenziali) e ai fornitori di servizi digitali, che includono le piattaforme online (DSP - Fornitori di Servizi Digitali).
Dalle realtà finanziarie al manufacturing, passando per l’Energy, i trasporti, la Pubblica Amministrazione e il sanitario, le industry coinvolte sono, dunque, numerose e articolate.
Nello specifico, dovranno adeguarsi alla direttiva le aziende operanti in settori definiti ad Alta Criticità e in Altri Settori Critici indicati nel testo ufficiale e che rispettano determinati criteri di dimensione e fatturato.
Queste organizzazioni sono chiamate ad alzare il livello della propria cyber security, adottando misure e tecniche, sia operative che organizzative, adeguate e proporzionate, per garantire una gestione efficace dei rischi connessi alle reti e ai sistemi informatici. Devono, inoltre, impegnarsi a prevenire e ridurre l’impatto di eventuali incidenti sugli utenti e utilizzatori dei servizi, preservando e garantendo la business continuity.
NIS2: lo stato dell’arte in Italia
Intanto, in Italia, il 10 giugno, il Consiglio dei Ministri ha approvato in via preliminare il decreto che recepisce la NIS2 e introdotto la direttiva CER (Critical Entities Resilience), volta ad individuare i settori critici e a garantirne la sicurezza e resilienza operativa.
La CER stabilisce che i soggetti considerati critici dovranno effettuare un risk assessment e adottare misure adeguate a garantire la propria resilienza e disaster recovery. Saranno, inoltre, obbligati a inviare notifiche tempestive alle autorità preposte in caso di incidenti che possano impattare in modo significativo la fornitura di servizi essenziali.
Lo schema di decreto regola anche l’individuazione dei soggetti critici con particolare rilevanza europea, contiene misure da seguire per una risposta tempestiva agli incidenti e stabilisce procedure condivise di comunicazione e collaborazione per l’applicazione della direttiva CER in maniera coordinata con la direttiva NIS2.
I punti salienti dello schema sono:
- ruolo centrale dell’ACN: l’Agenzia per la Cybersicurezza Nazionale (ACN) viene confermata come Autorità Nazionale Competente NIS, e le vengono attribuiti dei poteri per l’implementazione e attuazione del decreto;
- Ministero della Difesa: ha un ruolo specifico nella gestione delle crisi informatiche che coinvolgono la sicurezza militare;
- tavolo permanente: creazione di un tavolo permanente per l’attuazione della Direttiva NIS2;
- registrazione dei soggetti: obbligo di registrazione per i soggetti inclusi nel perimetro NIS2. A questo proposito vale la pena osservare che lo schema di decreto propone anche l'introduzione di criteri supplementari per determinare la sfera di applicazione delle norme, quali il coinvolgimento nella catena di approvvigionamento di un ente vitale o rilevante. Questi requisiti aggiuntivi non sono chiaramente specificati nella Direttiva NIS 2, e questo potrebbe risultare in una più ampia inclusione di soggetti rispetto a quanto stabilito dalla Direttiva;
- supporto e responsabilità: definizione delle responsabilità e del supporto per i soggetti inclusi nel perimetro. CSIRT e ACN;
- misure di mitigazione dei rischi: implementazione di misure per mitigare i rischi informatici;
- eccezione per le Pubbliche Amministrazioni: alcune eccezioni specifiche per le Pubbliche Amministrazioni;
- cooperazione tra autorità: rafforzamento della cooperazione tra le autorità competenti;
- sanzioni e responsabilità: introduzione di sanzioni per il mancato rispetto degli obblighi di sicurezza;
- strategia nazionale di cybersicurezza: Coordinamento con la strategia nazionale ed europea di cybersicurezza.
Tra i punti ancora aperti, i tempi concessi per l’adeguamento.
Si tratta, chiaramente, di un tema caldo e di massima rilevanza per gli Stati; nei prossimi mesi sono previste ulteriori evoluzioni, sulle quali le aziende sono chiamate ad aggiornarsi, al fine di arrivare preparate all’autunno.
NIS2: come prepararsi al meglio
A partire dal 17 ottobre 2024, gli Stati recepiranno la normativa e avranno modo di definire con maggior precisione gli obblighi per i soggetti coinvolti, tenendo conto anche delle peculiarità dei diversi contesti nazionali. È bene specificare, però, che molti ambiti sui quali le imprese saranno chiamate a intervenire sono chiari già oggi, per cui varrebbe la pena giocare d’anticipo con: Gap Analysis, Risk Management e definizione di un Data Breach Recovery Plan che rispettino quanto previsto da NIS2 e ne introducano le novità in modo graduale e funzionale.
Una volta capito se si rientra nell’insieme dei settori e attività interessati, è consigliabile, quindi, valutare il proprio livello di compliance e pianificare eventuali azioni per l’adeguamento, attraverso una roadmap ben precisa e affidandosi, se necessario, ad un partner esperto e con competenze di dominio.
