NIS2: misure, controlli e sanzioni previste dalla Direttiva Europea. E uno spunto di 7Layers

La cybersecurity non è più solo una questione tecnica: al contrario, è ormai diventata una componente critica della sicurezza comune e oggetto di normazione nazionale e internazionale.

Da diversi anni, l’Unione Europea ha promosso provvedimenti volti ad armonizzare il quadro normativo per costruire uno spazio digitale Europa sicuro e resiliente, in grado di reggere la competizione globale.

La recente direttiva NIS2 (Network and Information Security), che aggiorna la precedente NIS del 2016 (di seguito per comodità NIS1), rappresenta un passo significativo in tale direzione.

Vediamo in dettaglio quali sono i requisiti della normativa e come implementare le misure di sicurezza necessarie, nonché quali siano i controlli e le sanzioni previste in caso di inadempienze.

Cos’è la NIS2?

La NIS2 è una Direttiva comunitaria che mira a migliorare il livello di sicurezza delle reti e dei sistemi informativi dei soggetti ritenuti critici che operano sul territorio dell’UE. Definendo requisiti più rigorosi rispetto alla NIS1 e ampliando in modo significativo il campo di applicazione, la NIS2 si propone di uniformare a un livello elevato le capacità di resilienza e di gestione degli incidenti che potrebbero compromettere sistemi e reti dei soggetti pubblici e privati che sorreggono alla vita della comunità europea.

Approvata nel 2022 ed entrata in vigore nel 2023, la direttiva prevede come termine ultimo per la sua adozione da parte degli Stati membri entro il 17 ottobre 2024.

Settori Interessati dalla NIS2

In ragione delle crescenti e allarmanti minacce informatiche, NIS2 allarga il raggio d’azione previsto da NIS1 con l’obiettivo di mettere in sicurezza tutti quei settori i cui sistemi e le cui reti, se seriamente compromessi, potrebbero portare a impatti rilevanti sul tessuto sociale a livello nazionale e transfrontaliero.

In particolare, la direttiva include nel perimetro di applicazione 18 settori suddivisi fra soggetti altamente critici e ulteriori soggetti critici.

Fra i soggetti altamente critici troviamo gli operatori del settore energetico, sanitario, spaziale, bancario (ambito in cui la NIS2 cederà il passo al regolamento DORA), dei trasporti, delle infrastrutture digitali, della distribuzione dell’acqua unitamente a enti della pubblica amministrazione. Le grandi aziende che operano nei settori altamente critici sono considerate soggette essenziali mentre le medie imprese sono considerate soggetti importanti.

Operatori postali, produttori e distributori alimentari, gestori di rifiuti, enti di ricerca, aziende di manufacturing sono alcune delle categorie incluse fra gli ulteriori soggetti critici. In questo caso le medie e grandi imprese che operano in tali settori sono considerate soggetti importanti.

Salvo eccezioni, legate ad ambiti specifici (e.g. infrastrutture digitali), le piccole imprese al momento sono escluse (al netto delle ricadute in termini di supply chain).

Implementazione delle Misure di Sicurezza Necessarie

NIS2 definisce una serie di requisiti con cui le realtà coinvolte dovranno confrontarsi. È opportuno precisare che le prescrizioni normative riguardano sia i soggetti essenziali, sia i soggetti importanti, che differiscono invece per controlli previsti e valori massimi delle sanzioni applicabili.

Le misure richieste dalla direttiva dovranno essere in ogni caso attuate in virtù di un criterio di proporzionalità valutato in funzione della criticità dei servizi supportati e quindi in ultima analisi dei rischi effettivi che potrebbero inficiarne l’erogazione.

1. Valutazione e Gestione del Rischio

La valutazione del rischio è il primo passo per implementare le misure di sicurezza richieste dalla direttiva in esame. Gli enti convolti sono tenuti a definire politiche e procedure per identificare le risorse critiche, analizzare le minacce che potrebbero comprometterne la sicurezza, identificarne le vulnerabilità che potrebbero essere sfruttate. Grazie a questo processo, le organizzazioni coinvolte potranno individuare le misure di sicurezza da mettere in campo e il livello di implementazione più opportuno di ognuna.

2. Gestione degli incidenti

La NIS2 dedica particolare attenzione al processo di gestione degli incidenti, invitando de facto i soggetti in scope ad adottare misure proattive e reattive. Alla luce delle tempistiche stringenti previste per le notifiche verso lo CSIRT in caso di incidenti rilevanti (gli incidenti c.d. significativi) si rende inevitabile lo sviluppo di piani di IR (Incident Response), che definiscano le procedure per identificare e contenere le minacce, nonché garantire un rapido recupero della piena operatività a fronte di un evento critico.

3 Misure di sicurezza tecniche e organizzative

I soggetti in scope dovranno adottare una serie di misure tecniche e organizzative per mitigare i rischi identificati:

  • gestione della continuità operative, definendo politiche di backup, piani di ripristino (DRP, Disaster Recovery Plan) per fronteggiare scenari di crisi;
  • sicurezza della supply chain, garantendo la sicurezza dei propri fornitori di servizi definendo misure contrattuali adeguate e verifiche periodiche (e.g., assessment, analisi della superficie di attacco, etc.);
  • politiche per la sicurezza applicata nelle attività di sviluppo, acquisizione e maintenance di reti, sistemi e, inevitabilmente, applicazioni;
  • verifica dell’efficacia delle misure adottate per mitigare i rischi per la cybersecurity, ricorrendo, ad esempio, a simulazioni periodiche di attacchi informatici e incidenti di sicurezza;
  • sicurezza nella gestione delle risorse umane, di cui garantire training & awareness, definendo piani di formazione estesi a tutto il personale: pillole di cybersecurity e campagne di phishing potrebbero essere strumenti utili per aumentare la consapevolezza in materia di rischi e sicurezza informatica;
  • controllo degli accessi fisici e logici, da gestire in ottica multi-rischio: a tal fine si possono considerare, ad esempio, soluzioni IAM (Indentity Access Management) e PAM (Priviliged Access Management) e ricorrendo alla MFA (Multi-Factor Authentication) per proteggere il patrimonio informativo aziendale;
  • gestione degli asset, indispensabile per avere il pieno controllo del perimetro da mettere al riparo dalle minacce più rilevanti;
  • protezione dei dati a riposo e in transito attraverso politiche di crittografia e cifratura che garantiscano la sicurezza delle comunicazioni interne ed esterne.

Appare immediatamente evidente la necessità di incrementare la propria capacità di evitare o, quanto meno, di intercettare e gestire tempestivamente eventi critici. Si rendono allora raccomandabili misure per la protezione delle reti, quali

  • implementazione di firewall avanzati;
  • sistemi di rilevamento delle intrusioni (IDS);
  • soluzioni di prevenzione delle intrusioni (IPS).

Unitamente a soluzioni per il monitoraggio continuo di reti e sistemi, cruciale per rilevare e rispondere prontamente a possibili incidenti di sicurezza, quali:

  • Security Information and Event Management (SIEM) – impiego di soluzioni SIEM per aggregare, analizzare e correlare i dati di sicurezza in tempo reale;
  • Threat Intelligence – integrazione di fonti di intelligence sulle minacce per migliorare la propria gestione del rischio e la capacità di rilevamento e risposta agli attacchi.

Governance, controlli e sanzioni in caso di inadempienza

La NIS2 riconosce un ruolo fondamentale alla governance aziendale: gli organi direttivi dovranno mantenersi aggiornati e dunque seguire percorsi formativi in materia di cybersecurity, assicurando al contempo analoga formazione al personale, in modo da incrementare la capacità di intercettare i rischi per l’Organizzazione. Non solo: gli organi di gestione hanno l’onere di valutare, approvare e supervisionare l’attuazione delle misure individuate per affrontare le minacce che potrebbero compromettere sistemi e reti. A conferma del grado di responsabilità, la direttiva prevede interventi sulle funzioni dirigenziali in caso di inadempimenti.

Controlli previsti dalla NIS2

Una volta che la Direttiva sarà stata recepita dai singoli Stati UE, spetterà alle autorità competenti a livello nazionale il compito di garantire che le aziende ne rispettino i requisiti.

Ecco come potrebbero avvenire i controlli:

  • Ispezioni e Audit – per verificare la conformità delle aziende alla normativa europea è prevista la possibilità di condurre ispezioni e svolgere audit, che potranno essere condotti ex-ante per i soggetti essenziali ed ex-post sui soggetti importanti, a fronte di segnalazioni che li vedano coinvolti;
  • Valutazioni di conformità – per assicurarsi che le organizzazioni rispettino i requisiti della direttiva, le autorità nazionali potranno eseguire valutazioni periodiche di conformità;
  • Test di Sicurezza – si prevede l’esecuzione di test per valutare l’efficacia in concreto delle misure di protezione implementate dalle aziende;
  • Monitoraggio continuo – gli enti preposti, infine, dovranno monitorare costantemente le reti e i sistemi informativi per individuare eventuali vulnerabilità o potenziali incidenti di sicurezza.

Sanzioni per inadempienza previste dalla Direttiva

Come si è visto, la NIS2 irrobustisce il quadro normativo vigente per garantire un elevato livello di sicurezza delle reti e dei sistemi che supportano lo spazio digitale europeo.

Tra le conseguenze per l’inadempienza alle nuove regole figurano multe dagli importi potenzialmente rilevanti e misure correttive: diviene essenziale per i soggetti a perimetro uno scrupoloso confronto con la norma, seguito dalla definizione di un percorso di adeguamento ai suoi requisiti, al duplice fine di evitare sanzioni e di garantire la migliore protezione dei propri sistemi.

I valori massimi delle sanzioni amministrative previste dalla NIS2 variano a seconda della tipologia del soggetto inadempiente:

  • Multe fino a 10 milioni di euro o, se superiore, al 2% del fatturato mondiale annuo totale dell’azienda per i soggetti essenziali;
  • Multe fino a 7 milioni di euro o, se superiore, al 1,4% del fatturato mondiale annuo totale dell’azienda per i soggetti importanti.

Conformità ed opportunità

La compliance alla NIS2 è certamente un percorso di adeguamento alle disposizioni normative introdotte dalla direttiva, ma rappresenta anche una non trascurabile opportunità per migliorare la security posture e, più in generale, la resilienza informatica aziendale.

Per raggiungere simili obiettivi, le aziende dovranno definire strategie di investimento in tecnologie di sicurezza avanzate, aggiornare le proprie politiche di sicurezza e formare adeguatamente tutto il personale: per quanto impegnative, tali misure contribuiranno a proteggere le organizzazioni da potenziali attacchi che potrebbero portare a conseguenze devastanti sul piano economico, reputazionale e sociale.

Implementare le misure di sicurezza necessarie: una guida pratica

Implementare le numerose misure di sicurezza richieste dalla Direttiva NIS2 richiede un approccio strutturato e metodico, di seguito esemplificato in una breve guida step-by-step.

1. Valutazione del rischio

La prima fase richiesta inizia con un’analisi dettagliata delle reti e dei sistemi informativi dell’organizzazione con un approccio multi-rischio, che non si limiti al solo ambito digitale, ma esplori anche gli aspetti fisici e ambientali, al fine di identificare tutte le potenziali minacce, determinare il proprio livello di esposizione e dare priorità alle aree che necessitano di interventi immediati.

2. Pianificazione delle misure di sicurezza

Per mitigare i rischi identificati, le organizzazioni dovranno sviluppare un piano di sicurezza che includa politiche, procedure e controlli specifici allineati con i requisiti della Direttiva e in grado di coprire in primis le aree critiche dell’infrastruttura IT. Raggiungere un simile risultato significa in primo luogo comprendere la propria security posture e individuare i gap da colmare per essere nelle condizioni di fronteggiare le minacce individuate.

3. Implementazione dei controlli di sicurezza

Le organizzazioni dovranno quindi adottare strumenti di controllo come firewall, sistemi di rilevamento delle intrusioni, autenticazione multifattoriale (MFA) e crittografia. Dovranno inoltre integrare controlli di tipo organizzativo, tra cui adeguate politiche di segregazione dei compiti, di gestione degli accessi alle informazioni, di change e patch management e, naturalmente, regolari backup del proprio patrimonio informativo.

4. Formazione e consapevolezza del personale

Sono auspicabili sessioni di formazione regolari per il personale (inclusi gli organi direttivi), dando particolare rilievo a temi quali la gestione delle password, il riconoscimento delle e-mail di phishing e le procedure di risposta agli incidenti: la formazione continua è strumento essenziale per mantenere alta la consapevolezza rispetto alle minacce e la propensione alla valutazione dei rischi.

5. Monitoraggio e revisione continui

Potrebbe risultare necessario implementare un sistema di monitoraggio continuo e automatizzato, per rilevare e rispondere rapidamente agli incidenti di sicurezza. Sono del resto da considerarsi indispensabili la gestione delle vulnerabilità e la revisioni periodiche di tutte le politiche e procedure di sicurezza, per appurarne l’efficacia e procedere laddove opportuno con gli aggiornamenti necessari all’emergere di nuove minacce.

6. Collaborazione e condivisione delle informazioni

Un aspetto spesso sottovalutato della direttiva è l’invito alla collaborazione inteso a diffondere informazioni rilevanti per aiutare la comunità europea a fronteggiare minacce cibernetiche. Le organizzazioni potranno stabilire canali di comunicazione con altre aziende, con le autorità competenti ed enti di settore per condividere e acquisire informazioni circa le minacce e le migliori pratiche di sicurezza: la collaborazione è fondamentale per poter dare una risposta efficace e coordinata agli incidenti informatici.

7.NIS2 e ISO/IEC 27001

Se la NIS2 definisce con un certo grado di precisione cosa aspettarsi dai soggetti coinvolti, certamente nulla dice su come le organizzazioni dovrebbero concretizzarne i requisiti. Il considerando 79 della direttiva ci viene tuttavia in soccorso, con un richiamo diretto alla famiglia di standard ISO/IEC 27000. In particolare, confrontando il testo della direttiva con le clausole e i controlli della ISO/IEC 27001:2022 appaiono evidenti le corrispondenze. Lo standard internazionale fornisce del resto preziose indicazioni su come affrontare, in un’ottica di sistema di gestione, il tema della sicurezza e può costituire un riferimento illuminante nel perseguimento e nel mantenimento della conformità alla direttiva europea.

La NIS2 – ci dice Guido Arrigoni, Cybersecurity compliance manager di 7Layers – definisce requisiti stringenti la cui attuazione dovrà essere commisurata alla criticità dei sistemi e quindi agli scenari di rischio che i soggetti interessati dovranno affrontare. L’ultima versione della ISO/IEC 27001, particolarmente attenta alle tematiche di cybersecurity, offre gli strumenti metodologici per progettare e implementare un sistema a supporto della governance della sicurezza aziendale coerente con le disposizioni normative, a prescindere dal raggiungimento della certificazione”.

Benefici dell’implementazione della Direttiva NIS2

Conformarsi alla Direttiva NIS2 offre alle aziende numerosi vantaggi, tra cui:

  • Maggiore resilienza, poiché migliora le capacità di prevenire, rilevare e rispondere agli incidenti di sicurezza;
  • Fiducia dei clienti, in quanto sapere che la loro sicurezza è ritenuta una priorità rende più fiduciosi clienti, partner e collaboratori;
  • Protezione finanziaria, grazie alla riduzione dei costi associati agli incidenti di sicurezza (come perdita di dati, interruzione del servizio e danni reputazionali);
  • Vantaggio competitivo, perché garantire la conformità alle normative di sicurezza può trasformarsi in un vantaggio strategico rispetto agli altri competitor sul mercato.

La NIS2 in Italia

È di recente approvazione da parte del Consiglio dei Ministri lo schema del decreto di recepimento della NIS2 in Italia. Dalle informazioni attualmente disponibili non risultano significative variazioni sui requisiti tecnici e organizzativi, mentre vengono accuratamente definiti i compiti dell’autorità nazionale competente NIS, individuata nella Agenzia di Cybersicurezza Nazionale (ACN), che sarà supportata nella sua attività dai Ministeri quali autorità di settore. Le aziende potenzialmente coinvolte dalla Direttiva dovranno auto-segnalarsi nei primi mesi del prossimo anno sul portale digitale che sarà messo a loro disposizione (e che costituirà il principale anale di comunicazioni con le autorità). Sulla base delle informazioni raccolte, la ACN provvederà a comunicare l’inserimento, la permanenza o l’eliminazione dall’elenco dei soggetti essenziali o importanti.

Conclusioni

I soggetti che ritengono di rientrare nel perimetro di applicabilità della NIS2 dovranno inevitabilmente valutare la propria security posture e colmare l’eventuale gap che le separa da quanto richiesto dalla norma europea e, presto, nazionale. Riteniamo tuttavia che, nel panorama odierno, le aziende debbano in ogni caso prepararsi adeguatamente per proteggere i propri sistemi da minacce informatiche sempre più sofisticate: pianificare mirati investimenti in materia di cybersecurity, ancor prima che l’esito dell’applicazione di una norma, è da considerarsi una strategia vincente per garantire la propria continuità operativa, preservare la propria posizione sul mercato e assicurarsi la fiducia dei clienti.

Per ulteriori informazioni sulla Direttiva NIS2 e su come implementare le misure di sicurezza necessarie, puoi consultare le linee guida ufficiali della Commissione Europea e le informazioni offerte dalla Agenzia Nazionale di Cybersecurity, ACN.

Condividi sui Social Network:

Ultimi Articoli