La Direttiva NIS2 ha introdotto nuovi adempimenti in materia di sicurezza informatica. Il decreto legislativo 4 settembre 2024 n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre, recepisce la direttiva UE 2022/2555 “relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”.
Dal qualche giorno si è dunque entrati nella fase attuativa, che si traduce in nuovi adempimenti destinati alle imprese: un percorso di conformità che mira a rendere le aziende meno vulnerabili agli attacchi informatici.
Gli adempimenti previsti dalla direttiva NIS 2 nascono infatti con questo obiettivo. Diventa così prioritario – per un numero di imprese sempre più ampio – aumentare il livello di sicurezza con requisiti di governance più stringenti, una più efficace gestione dei rischi e degli incidenti.
La frequenza di attacchi informatici ha visto un aumento negli ultimi anni, e le casistiche continuano ad aumentare in maniera proporzionale al livello di digitalizzazione delle imprese, delle istituzioni e in generale della società. Dati sempre più a rischio, dunque, ed esposti a rischi sempre maggiori.
Non solo i casi registrano un aumento del 65% (secondo il Rapporto Clusit 2024) ma ne aumenta la gravità, considerando che nell’81% delle volte “la gravità degli attacchi è elevata o critica”.
D’altra parte, l’Italia sembra essere sempre più soggetta agli attacchi, e si legge nel rapporto: “[…] il nostro Paese appare sempre più nel mirino dei cyber criminali”. La mappatura dei casi riporta un 11% di casi gravi globali andati a segno (nel 2022 era il 7,6%) e un 56% di casi che hanno comportato conseguenze gravi o molto gravi.
L’attenzione ai temi di sicurezza informatica rientra nelle politiche per aumentare la capacità di resilienza degli Stati Membri – in un periodo caratterizzato da uno scenario geopolitico instabile e ad alto rischio – coinvolgendo in primis le pubbliche amministrazioni e le aziende più esposte, per cui tali minacce comportano maggiori conseguenze.
Cosa prevede la direttiva NIS2?
Il recepimento della direttiva NIS 2 prevede innanzitutto l’individuazione delle imprese soggette ai nuovi adempimenti in materia di cybersecurity. Vengono differenziati i vari soggetti per grado di rischio, così come previsto dalla Legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
Le aziende dovranno effettuare una registrazione su una piattaforma dedicata, predisposta dall’Agenzia per la Cybersicurezza nazionale (ACN), che in qualità di Autorità nazionale competente in materia di NIS riveste il ruolo di organo di valutazione della Strategia nazionale di sicurezza informatica, ed è responsabile del coordinamento tra i soggetti coinvolti.
Rispetto alla precedente direttiva (NIS, recepita in Italia con il Decreto 65/2018) la NIS 2 apporta alcune modifiche che abrogano le precedenti:
- Ampliamento dei soggetti coinvolti
- Previsione di un risk assessment
- Adeguamento delle misure richieste alla capacità di spesa del soggetto
CERCHI IL SUPPORTO DI UN TEAM ESPERTO?
PROSSIAMO AIUTARTI.
E riceverai tutte le informazioni di cui hai bisogno
La valutazione del rischio
La valutazione del rischio diventa dunque obbligatoria, e comprende una serie di rischi che interessano l’azienda su più ambiti e livelli di operatività. Con rischio, specifica l’articolo 24 della direttiva NIS 2, si intende:
- rischio logico
- rischio fisico
- rischio in ambito governance
- lock-in tecnologico
- rischio nell’ambito delle utilities
Per ogni ambito la valutazione definirà l’impatto sociale ed economico del rischio, individuando quale sia il livello di sicurezza più appropriato per ciascuna area. La NIS 2 fornisce inoltre un elenco di minacce da tenere in considerazione: sabotaggi, furti, incendi, inondazioni, impedimenti ai sistemi di telecomunicazione, interruzione della fornitura di energia elettrica, accessi fisici non autorizzati, errori umani, guasti al sistema, azioni criminose, eventi naturali.
NIS 2: quali sono i nuovi adempimenti?
Il focus della direttiva è il rafforzamento della sicurezza informatica al fine di permettere ai soggetti, definiti rilevanti all’interno dell’Unione Europea, di rispondere efficacemente all’eventualità di un attacco informatico, con l’obiettivo di proteggere – in questo modo – il mercato interno.
I soggetti interessati dovranno dunque adottare misure di gestione di tali minacce su tre aree di intervento: la governance, la gestione del rischio, la verifica della supply chain.
Area della governance della cybersecurity
- Coinvolgimento: l’area manager dovrà
- Assicurarsi che amministrazione e management siano coinvolti in maniera attiva nella supervisione delle politiche di cybersecurity adottate;
- Formarsi obbligatoriamente sull’individuazione del rischio informatico e su come adottare misure per minimizzare tale rischio;
- Fornire una reportistica periodica sulla sicurezza informatica destinata all’area management dell’organizzazione.
- Struttura dell’organizzazione:
- Individuazione del c.d. CISO (Responsabile della sicurezza informatica) e fornire una chiara struttura dei ruoli all’interno dell’organizzazione;
- Creazione di politiche di cybersecurity per le aree aziendali più esposte ai rischi di attacchi informatici.
- Lavorare alla diffusione di una cultura della sicurezza:
- Azioni di sensibilizzazione e formazione che coinvolgano in maniera continuativa tutte le aree e tutti i dipendenti;
- Assicurarsi a tutti i livelli che ciascun dipendente abbia compreso il proprio ruolo e coinvolgimento diretto alla protezione dei dati e dei sistemi informatici a disposizione dell’organizzazione.
Risk management
- Valutazione del rischio:
- Identificazione del rischio attraverso periodiche valutazioni dei processi e dei sistemi più esposti al rischio informatico;
- Definire una priorità dei rischi valutando parametri di probabilità, occorrenza e gravità delle conseguenze derivanti da un eventuale attacco informatico in quell’area;
- Adozione di misure di sicurezza
A un livello tecnico e organizzativo sarà necessario:
- Implementare operazioni di controllo e intraprendere misure di sicurezza ritenute adeguate al sistema e al tipo di rischio, tra cui backup, autenticazione a più fattori, cifratura e gestione delle vulnerabilità;
- Monitorare in maniera continuativa lo stato di sicurezza dell’organizzazione, attraverso sistemi in grado di rilevare in tempo reale rischi imminenti o anomalie che possano rendere l’azienda vulnerabile a un attacco informatico.
- Risposta agli incidenti
- Definizione di un piano di risposta che deve essere non solo sviluppato ma anche mantenuto, e che comprenda procedure di mitigazione dell’incidente, di recupero delle informazioni e di comunicazione dell’incidente stesso;
- Testing e simulazioni di incidente che saranno condotte in maniera regolare al fine di valutare la tenuta e perfezionare il piano di risposta.
Supply Chain: attività di verifica e gestione
- Valutazione dei fornitori
- Effettuare valutazioni di sicurezza (due diligence) sui partner e sui fornitori in maniera preventiva alla stipulazione di contratti di collaborazione;
- Monitoraggio costante del fornitore, attraverso attività di verifica continua che garantiscano standard di sicurezza sufficienti e necessari.
- Clausole:
- Integrazione di clausole contrattuali che vincolino i fornitori a mantenere un livello di sicurezza informatica sufficiente e necessario;
- Verifica dell’adesione alle clausole nel tempo stabilendo procedure che permettano un controllo sul rispetto delle stesse per l’intera durata del contratto.
Gestione degli incidenti a carico della sicurezza informatica
- Rispetto degli obblighi di notifica
- Entro le 24 ore notificare l’autorità competente segnalando l’incidente e fornendo un report iniziale
- Entro le 72 ore fornire un report completo che contenga una analisi dettagliata dell’evento e le rispettive misure correttive da adottare.
- Comunicazione all’Autorità
- Cooperare con le con le autorità al fine di agevolare le indagini, adottando le indicazioni che vengono fornite;
- Documentare l’incidente con una comunicazione esaustiva rispetto a ciascun incidente e rispetto alle misure che vengono adottate in risposta.
Attività di supervisione e rapporti di conformità
- Audit e controlli:
- Prevedere audit interni a cadenza periodica che garantiscano la conformità rispetto alle disposizioni della direttiva NIS 2
- Predisporre rapporti di conformità a dimostrazione della corretta adesione agli adempimenti previsti dalla normativa.
CERCHI INFORMAZIONI SULLA DIRETTIVA NIS 2 O UN SUPPORTO
PERSONALIZZATO ALLA TUA REALTÀ?
Il nostro team di esperti è a tua disposizione
Calendario degli adempimenti da attuare nel corso dell’anno
Per ottemperare agli adempimenti previsti dalla normativa NIS 2 sarà necessario registrarsi e accedere alla piattaforma messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale, e fornire, così come definito dall’ACN stessa, le informazioni necessarie e conformi alle nuove disposizioni. L’iter previsto è il seguente.
Registrazione annuale
Dal 1° gennaio al 28 febbraio procedere con la registrazione annuale, fornendo informazioni (o aggiornare quelle precedentemente fornite se nel corso dell’anno hanno subito variazioni) circa:
- Ragiona sociale
- Indirizzo e contatti
- Ruoli e rispettivi contatti
- Settori pertinenti
Elenco annuale
Entro il 31 marzo di ogni anno l’ACN redige l’elenco dei “soggetti essenziali e importanti”. Successivamente l’Autorità fornirà, sempre tramite piattaforma la comunicazione ai soggetti rispetto al loro inserimento, permanenza o rimozione nell’elenco.
Aggiornamenti annuali
Tra il 15 aprile e il 31 maggio di ogni anno i soggetti che rientrano nell’elenco dei “soggetti essenziali e importanti” dovranno aggiornare la piattaforma con informazioni che includano:
- Indirizzi IP pubblici e nomi di dominio
- Elenco degli Stati membri in cui esercitano la propria attività
- Indicazione dei responsabili e dei loro contatti
- Sostituto del punto di contatto