La Digital Transformation, ormai pervasiva in ogni settore, porta con sé grandi opportunità, ma allo stesso tempo espone le aziende a nuovi e più complessi rischi in materia di cyber sicurezza.
Il Report Clusit 2024 segnala, infatti, un netto peggioramento in termini di numero di incidenti globali, rispetto all’anno precedente preso in esame, con una media di 232 attacchi hacker mensili. Di questi, l’81% risulta di gravità elevata o critica. E l’Italia risulta, oggi, in una posizione di sempre maggiore vulnerabilità. Appare chiaro, dunque, come il tema della sicurezza informatica e della protezione dei dati sia ormai prioritario sia a livello mondiale che nazionale. Che si tratti di PMI, grandi corporazioni, pubblica amministrazione o enti governativi, la cronaca insegna che nessuno è davvero al sicuro dai cyber criminali.
È in questo scenario che si inserisce la nuova Direttiva NIS2, che va a sostituire la precedente NIS per quel che riguarda la regolamentazione europea in materia di sicurezza dei servizi digitali.
La Direttiva NIS2 è una normativa dell’Unione Europea, entrata in vigore il 17 gennaio 2023. Il motivo per cui se ne parla adesso è perché il 17 ottobre 2024 scadrà il termine ultimo per la ricezione e l’adeguamento obbligatorio da parte degli Stati membri e, dunque, delle aziende coinvolte.
La NIS2 nasce come integrazione e superamento della Direttiva NIS, emanata nel 2016 allo scopo di facilitare il raggiungimento di un livello elevato di sicurezza digitale, comune agli Stati dell’UE. Un’attività di revisione ha rilevato, infatti, carenze e limiti nella norma originaria, che hanno, di fatto, impedito di raggiungere l’obiettivo prefissato.
Adesso l’Unione Europea si prefigge di:
Inoltre, la Direttiva NIS2 si inserisce all’interno di un più ampio contesto fatto di norme, regolamenti e linee guida, che l’Europa ha varato in materia di data protection, privacy e sicurezza. Tra questi, il Regolamento DORA, focalizzato sulla resilienza operativa digitale delle entità finanziarie e dei loro fornitori terzi.
Tra le più importanti novità introdotte da NIS2 vi è certamente l’ampiezza del numero dei settori e delle tipologie di aziende coinvolte. La Direttiva si applica ad aziende pubbliche e private che gestiscono servizi ritenuti “essenziali” per la società (OSE - Operatori Servizi Essenziali) e ai fornitori di servizi digitali, che includono le piattaforme online (DSP - Fornitori di Servizi Digitali).
Dalle realtà finanziarie al manufacturing, passando per l’Energy, i trasporti, la Pubblica Amministrazione e il sanitario, le industry coinvolte sono, dunque, numerose e articolate.
Nello specifico, dovranno adeguarsi alla direttiva le aziende operanti in settori definiti ad Alta Criticità e in Altri Settori Critici indicati nel testo ufficiale e che rispettano determinati criteri di dimensione e fatturato.
Queste organizzazioni sono chiamate ad alzare il livello della propria cyber security, adottando misure e tecniche, sia operative che organizzative, adeguate e proporzionate, per garantire una gestione efficace dei rischi connessi alle reti e ai sistemi informatici. Devono, inoltre, impegnarsi a prevenire e ridurre l’impatto di eventuali incidenti sugli utenti e utilizzatori dei servizi, preservando e garantendo la business continuity.
Intanto, in Italia, il 10 giugno, il Consiglio dei Ministri ha approvato in via preliminare il decreto che recepisce la NIS2 e introdotto la direttiva CER (Critical Entities Resilience), volta ad individuare i settori critici e a garantirne la sicurezza e resilienza operativa.
La CER stabilisce che i soggetti considerati critici dovranno effettuare un risk assessment e adottare misure adeguate a garantire la propria resilienza e disaster recovery. Saranno, inoltre, obbligati a inviare notifiche tempestive alle autorità preposte in caso di incidenti che possano impattare in modo significativo la fornitura di servizi essenziali.
Lo schema di decreto regola anche l’individuazione dei soggetti critici con particolare rilevanza europea, contiene misure da seguire per una risposta tempestiva agli incidenti e stabilisce procedure condivise di comunicazione e collaborazione per l’applicazione della direttiva CER in maniera coordinata con la direttiva NIS2.
I punti salienti dello schema sono:
Tra i punti ancora aperti, i tempi concessi per l’adeguamento.
Si tratta, chiaramente, di un tema caldo e di massima rilevanza per gli Stati; nei prossimi mesi sono previste ulteriori evoluzioni, sulle quali le aziende sono chiamate ad aggiornarsi, al fine di arrivare preparate all’autunno.
A partire dal 17 ottobre 2024, gli Stati recepiranno la normativa e avranno modo di definire con maggior precisione gli obblighi per i soggetti coinvolti, tenendo conto anche delle peculiarità dei diversi contesti nazionali. È bene specificare, però, che molti ambiti sui quali le imprese saranno chiamate a intervenire sono chiari già oggi, per cui varrebbe la pena giocare d’anticipo con: Gap Analysis, Risk Management e definizione di un Data Breach Recovery Plan che rispettino quanto previsto da NIS2 e ne introducano le novità in modo graduale e funzionale.
Una volta capito se si rientra nell’insieme dei settori e attività interessati, è consigliabile, quindi, valutare il proprio livello di compliance e pianificare eventuali azioni per l’adeguamento, attraverso una roadmap ben precisa e affidandosi, se necessario, ad un partner esperto e con competenze di dominio.