Come prepararsi alla direttiva NIS 2

Lo scenario attuale vede un aumentare esponenziale dei rischi cyber. L’Unione Europea ha quindi deciso di aumentare la capacità di resistenza, resilienza e risposta per alcuni settori ritenuti critici ed essenziali sia dell’Unione che dei singoli Stati membri, comprendendo sia le aziende private che la PA, maggiormente esposta.

Non è la prima direttiva in questo senso, in quanto già nel 2016 era stata emanata la direttiva NIS non avendo però un impatto mediatico come questa revisione, partita nel 2020. Forse era ancora troppo presto per capire le problematiche cyber e probabilmente era ancora carente nelle sue implementazioni.

Nel 2020, come dicevamo, è partita la revisione della precedente e il 27 dicembre 2022 la direttiva NIS 2 è stata pubblica nella gazzetta ufficiale dell’Unione Europea ed entrata in vigore il 16 Gennaio 2023 (qui il link alla direttiva). La nuova direttiva sostituirà quella precedente a decorrere dal 18 Ottobre 2024

Chi è soggetto alla Direttiva NIS2? La Direttiva si applica a un’ampia gamma di organizzazioni, indicati nel dettaglio negli allegati 1 e 2 della direttiva, tra cui:

• Operatori di infrastrutture critiche: energia, trasporti, acqua, sanità, telecomunicazioni, finanza.
• Fornitori di servizi essenziali: motori di ricerca, social media, servizi di cloud computing, piattaforme di e-commerce.
• Pubblica Amministrazione

Le organizzazioni che rientrano nell’ambito di applicazione della NIS 2 dovranno adempiere a una serie di obblighi, tra cui:

1. Effettuare regolarmente valutazioni dei rischi di sicurezza informatica:

• Le organizzazioni dovranno identificare e valutare i rischi di sicurezza informatica che potrebbero avere un impatto significativo sui loro sistemi e servizi.
• Le valutazioni dei rischi dovranno essere condotte regolarmente e tenute aggiornate.

2. Implementare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica:

• Le organizzazioni dovranno implementare misure di sicurezza adeguate per proteggere i loro sistemi e servizi da minacce informatiche, come ad esempio:
  • Controlli di accesso
  • Crittografia
  • Sicurezza delle reti
  • Gestione delle vulnerabilità
  • Formazione sulla sicurezza informatica

3. Notificare alle autorità competenti gli incidenti di sicurezza informatica significativi:

• Le organizzazioni dovranno notificare alle autorità competenti gli incidenti di sicurezza informatica che potrebbero avere un impatto significativo sui loro sistemi e servizi.
• Le notifiche dovranno essere effettuate entro 24 ore dall’identificazione dell’incidente.

4. Designare un responsabile della sicurezza informatica:

• Le organizzazioni dovranno designare un responsabile della sicurezza informatica che avrà la responsabilità di garantire la conformità della NIS 2.

5. Implementare un sistema di gestione delle vulnerabilità:

• Le organizzazioni dovranno implementare un sistema per identificare, correggere e monitorare le vulnerabilità nei loro sistemi e servizi.

6. Effettuare test di penetrazione regolari:

• Le organizzazioni dovranno effettuare test di penetrazione regolari per valutare la sicurezza dei loro sistemi e servizi.

7. Fornire formazione sulla sicurezza informatica al personale:

• Le organizzazioni dovranno fornire formazione sulla sicurezza informatica al loro personale per aumentare la consapevolezza dei rischi informatici e delle best practices di sicurezza.

8. Cooperare con le autorità competenti:

• Le organizzazioni dovranno cooperare con le autorità competenti in caso di incidente di sicurezza informatica o di ispezione.

9. Tenere traccia degli sviluppi:

• Le organizzazioni dovranno tenere traccia degli sviluppi della NIS 2 e aggiornare la propria strategia di sicurezza informatica di conseguenza.

10. Pubblicare un rapporto sulla sicurezza informatica:

• Le organizzazioni dovranno pubblicare un rapporto annuale sulla sicurezza informatica che descrive le misure di sicurezza adottate e i rischi di sicurezza informatica identificati.

Ma quanti sono i soggetti interessati in questo momento in Italia?

Secondo le stime presentate dalla Commissione Europea in fase di valutazione di impatto, saranno coinvolte direttamente circa 110.000 entità, suddivise, indicativamente, tra 67.000 soggetti essenziali e 43.000 soggetti importanti. A livello italiano, il numero potrebbe aggirarsi in un intorno di 15.000 soggetti complessivamente. Importanti naturalmente anche le ricadute sulla catena di fornitura. Ed è proprio la catena di fornitura (o supply chain se vogliamo utilizzare i termini in inglese) che rappresenta l’anello debole della direttiva. Molte di queste aziende sono piccole o medio piccole (in Italia) ma comunque dovranno adeguarsi

Riassumendo:

Entro il 18 Ottobre 2024 le aziende interessate, con la loro supply chain, dovranno essere pronte per essere conformi alla Direttiva NIS 2.

E’ un processo lungo e difficoltoso. Ci sono molti ambiti di valutazione, bisogna effettuare delle verifiche dello stato attuale dell’azienda o della PA utilizzando un modello di risk assessment, riorganizzare la struttura, mettere in pratica un modello di formazione e valutarne i risultati.

La data è vicina e le aziende o le PA che iniziano prima saranno sicuramente avvantaggiate e potranno evitare eventuali sanzioni (sanzione pecuniaria massima pari ad almeno 7 milioni di euro o almeno all’1,4 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore).

Se avete bisogno di maggiori informazioni, contattateci.

Buon Lavoro.