La NIS2 (Network and Information Security2) è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE stabilendo delle norme minime che tutti gli Stati membri devono rispettare.
La NIS2 dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024 e, a differenza della NIS, dovrà essere applicata a tutte le organizzazioni identificate come soggetti Essenziali o Importanti.
Conseguenza dell’aumento del tasso di digitalizzazione, che ha ampliato la cosiddetta superficie di attacco informatico, e dalla continua interconnessione tra le società, promuove un quadro normativo uniforme e coordinato volto a garantire la tutela delle infrastrutture critiche che possono causare impatti economici e sociali di massa.
Tra le maggiori novità quello del ruolo cruciale per gli organi di gestione aziendale che avranno la responsabilità delle misure di cybersecurity e il controllo della catena di fornitura.
La gestione della cybersicurezza è responsabilità diretta dell’organo di gestione aziendale, come ad esempio il Consiglio di Amministrazione o l’Amministratore Unico, che deve:
- Approvare le misure per la gestione del rischio legato alla cybersecurity;
- Supervisionare l’implementazione di tali misure;
- Partecipare e far partecipare i propri dipendenti e collaboratori a formazioni specifiche su tematiche di cybersecurity.
- Valutare l’efficacia e l’adeguatezza delle misure di sicurezza adottate.
- Controllare la catena dei fornitori che dovranno avere le idonee misure di sicurezza, pena l’impossibilità di proseguire/ottenere il servizio.
- Utilizzare soluzioni di autenticazione a più fattori (ad esempio: multi-factor authentication) o di autenticazione continua, sistemi di comunicazione di emergenza, ecc.
La NIS2 manda un messaggio chiaro: la cybersecurity non è più un problema limitato all’ambito IT o alla singola azienda, ma è una questione che riguarda l’intera organizzazione e l’intera rete di gestione del dato, che deve essere garantita in ogni sua parte.
Il virus, e quindi l’attacco, può colpire più aziende con un unico colpo ed è quindi importante, dopo aver “schermato” la propria azienda, assicurarsi che chi ha la chiave di accesso al vostro sistema e ai vostri dati non possa essere, a sua insaputa, la pedina dell’hacker.
Ad esempio, se erogo servizi per una banca, che è soggetto obbligato, dovrò adeguarmi agli stessi standard.
Con il recepimento della Direttiva le organizzazioni ricomprese tra quelle in allegato e le aziende/enti che svolgono per queste servizi e/o hanno rapporti di collaborazione saranno obbligate a rispettare stringenti requisiti in materia di governance, continuità operativa, segnalazione degli incidenti e, in generale, di gestione dei rischi per la cybersicurezza e presidio della catena di fornitura.
Tra gli enti obbligati ci sono:
- Chi opera nella fabbricazione di prodotti essenziali;
- Fabbricazione di apparecchiature elettriche;
- Fabbricazione di autoveicoli, rimorchi e semirimorchi;
- Fabbricazione di computer e prodotti di elettronica ed ottica;
- Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- Fabbricazione di macchinari e apparecchiature n.c.a;
- Fabbricazione, produzione e distribuzione di sostanze chimiche;
- Fornitori del trattamento delle acque reflue e la gestione dei rifiuti;
- Fornitori di servizi digitali;
- Infrastrutture di comunicazione elettronica;
- Produzione, trasformazione e distribuzione di alimenti;
- Provider di servizi digitali;
- Pubbliche Amministrazioni;
- Service provider pubblici di comunicazione elettronica;
- Servizi bancari e finanziari;
- Servizi postali e di corriere;
- Servizi sanitari;
- Società di produzione e distribuzione energia;
- Trasporti.
Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:
1. Cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
2. Gestione dei rischi: i soggetti sono tenuti ad adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete.
3. Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali: la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
4. Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.
5. Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi ai rispettivi CSIRT (Computer Security Incident Response Team) o autorità nazionali competenti (preallarme entro 24 ore e notifica completa/integrativa entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo).
I rischi da valutare comprendono anche quelli legati alla supply-chain: le organizzazioni in perimetro sono tenute a garantire la sicurezza della propria catena di approvvigionamento, presidiando gli aspetti di sicurezza dei rapporti con i propri fornitori, considerandone le vulnerabilità specifiche nonché la qualità complessiva di prodotti e pratiche di cybersicurezza.
Ai soggetti in perimetro sarà richiesto di tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di Cybersecurity a dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
Non si tratta solo dei fornitori di servizi e prodotti ICT: si tratta di tutti i fornitori per i quali un problema legato alla sicurezza possa portare ad un incidente presso il soggetto, ad esempio l’interruzione del servizio per il quale è stato incluso nel perimetro NIS2.
La logica per l’applicazione delle sanzioni è simile a quella di altre normative: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore.
In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2% del totale del fatturato mondiale annuo.”
Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del totale del fatturato mondiale annuo.”
Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto.
L'innovazione tecnologica richiede cambiamento culturale, organizzativo e l'adozione dell'IA per competere efficacemente.
Pubblicata in G.U. la legge 28/6/24, n. 90, sulla cybersicurezza nazionale e prevenzione dei reati informatici.
