NIS2: tutto quello che devi sapere per essere compliant

Lo scorso 18 ottobre 2024 è entrata ufficialmente in vigore in Italia la Direttiva NIS2. Dopo mesi di teoria, è arrivato il momento di agire. Quali sono le azioni da intraprendere? Quali sono gli obblighi imposti? Come migliorare la propria Cyber Resilience? Rispondiamo a queste domande ripercorrendo insieme tutto quello che bisogna sapere sulla NIS2.

Direttiva NIS2: un pilastro per la cybersecurity europea

La Direttiva NIS2(Network and Information Systems Directive 2) è l'aggiornamento della Direttiva sulla sicurezza delle reti e dei sistemi informativi, mirata a rafforzare la cyber resiliencedelle infrastrutture critiche in tutta l'UE per garantire un livello comune elevato di cybersicurezzae migliorare il funzionamento del mercato interno.

Da NIS a NIS2: perché una revisione?

La Direttiva NIS del 2016, inizialmente focalizzata su settori specifici come energia e sanità, si evolve con la NIS2 in una normativa a più ampio raggio, introducendo una serie di novità importanti rispetto alla normativa precedente:

• Ambito di applicazione più ampio: la NIS2 estende l'ambito di applicazione a un numero maggiore di settori, tra cui i fornitori di servizi digitali e le organizzazioni che producono prodotti con funzionalità digitali.

• Obblighi più stringenti: la NIS2 introduce obblighi più dettagliati e specifici per le imprese, come la gestione dei rischi, la resilienza dei sistemi, la comunicazione degli incidenti e la cooperazione con le autorità competenti.

• Maggiore cooperazione tra gli Stati membri: la NIS2 prevede un meccanismo di coordinamento più efficace tra gli Stati membri, al fine di condividere le informazioni sulle minacce e le migliori pratiche.

L'obiettivo strategico è rafforzare la sicurezza lungo l'intera catena del valore, garantendo una protezione più capillare. Questa estensione normativa non si limita alle grandi aziende, ma abbraccia anche le PMI riconoscendone il ruolo fondamentale nell'infrastruttura critica.

NIS2: l'importanza della Supply Chain Security

Essere resilienti e avere un forte postura di sicurezzanon riguarda solo le grandi aziende ma tutta la loro filiera produttivae di fornitura.

Un singolo fornitore con vulnerabilità potrebbe compromettere l'intera sicurezza di un'organizzazione diventando unpunto di accesso per attacchi che possono propagarsi a cascatalungo l'intera filiera produttiva, mettendo a repentaglio un'ampia fetta del tessuto economico europeo e italiano.

Per questo, valutare attentamente i fornitori, monitorare le loro pratiche di sicurezzae stabilire contratti che includano clausole specifichesulla cybersecurity è diventato un imperativo per garantire la conformità alla NIS2 e proteggere i propri asset digitali.

Direttiva NIS2: quali sono gli step per la compliance?

Possiamo individuare tre step fondamentali per la compliance aziendale:

1. Implementare misure di sicurezza adeguate

È fondamentale adottare un approccio proattivoper proteggere i sistemi e i dati aziendali. Ciò significa implementare misure di sicurezza adeguate che vadano oltre la mera conformità normativa. Le aziende dovrebbero valutare attentamente i rischi a cui sono esposte e adottare tecnologie e processi che garantiscano la sicurezza dei propri sistemi e dati. Questo potrebbe includere l'implementazione di controlli di accesso, la crittografia dei dati sensibili, la gestione delle vulnerabilità e la formazione del personale sulla sicurezza informatica.

2. Conoscere gli obblighi

Per garantire la conformità alla direttiva NIS2, le organizzazioni devono studiare in modo approfondito i requisiti normativie valutare come essi si applicano al proprio contesto aziendale. Questo coinvolge la comprensione delle responsabilità e degli obblighi specifici previsti dalla normativa, nonché l'identificazione dei punti deboli e la definizione di piani d'azione per garantire la conformità continua nel lungo periodo. È importante che le aziende mantengano una visione chiara dei propri obblighi normativi e si impegnino attivamente nel monitoraggio e nell'adeguamento alle nuove disposizioni normative.

3. Collaborare con l'autorità nazionale competente

Lavorare a stretto contatto con l'autorità nazionale competenteè essenziale per garantire una corretta applicazione della Direttiva NIS2. Questa collaborazione dovrebbe essere basata su una comunicazione trasparente e continua, in modo da rispondere tempestivamente a eventuali richieste e facilitare lo scambio di informazioni e il coordinamento delle attività di compliance, garantendo un ambiente di sicurezza informatica efficace e resiliente.

Come sapere se la tua azienda è coinvolta?

Stabilire con certezza se la tua azienda ricada nell'ambito di applicazione della NIS2 richiede un'attenta analisi delle proprie attività e del settore di appartenenza. La direttiva identifica specifici settori (energia, trasporti, salute, etc.) e soglie dimensionali (numero di dipendenti, fatturato) che determinano l'obbligo di conformità.

Un'analisi approfondita, con l'ausilio di esperti legali o consulenti specializzati, è fondamentale per determinare con precisione se la tua organizzazione è soggetta ai requisiti della NIS2.

I rischi e le sanzioni

La Direttiva NIS2si applica a un ampio spettro di aziende e organizzazioni, suddivise in due categorie: essenziali e importanti. Le aziende essenziali offrono servizi cruciali per la società e l'economia, mentre le aziende importanti, pur non fornendo servizi essenziali, sono rilevanti per il contesto economico e sociale.

• Per le aziende essenziali, le sanzioni in caso di non conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo precedente.

• Per le aziende importanti le sanzioni possono raggiungere i 7 milioni di euro o un massimo di almeno l'1,4% del fatturato annuo globale.

Indipendentemente dal settore, è prevista una sanzione fino allo 0,1% del fatturato globaledell'anno precedente in caso di mancata registrazioneal portale.

Deadline nazionali e attività annuali

Per garantire la conformità alla Direttiva NIS2, le imprese italiane devono rispettare una tabella di marcia ben precisa. Vediamola insieme.

• Tra il 1° gennaio e il 28 febbraio di ogni anno: i soggetti previsti si devono registrare o aggiornare la propria registrazione sulla piattaforma digitale dell'autorità nazionale competente ACN (Agenzia per la Cybersicurezza Nazionale).

• Entro il 31 marzo di ogni anno: l'autorità redige l'elenco dei soggetti essenziali e importanti sulla base delle registrazioni ricevute attraverso la piattaforma.

• Tra il 1° aprile e il 15 aprile di ogni anno: attraverso la piattaforma, l'ACN comunica ai soggetti registrati l'inserimento, la permanenza o l'espulsione nell'elenco dei soggetti importanti o essenziali.

• Tra il 15 aprile e il 31 maggio di ogni anno: le aziende notificate devono aggiornare le informazioni su: IP pubblici, nomi di dominio, stati membri di distribuzione e responsabili della sicurezza.

• A partire dal 1° gennaio 2026: si dovrà adempire all'obbligo di notifica degli incidenti. Questo richiede come minimo di stabilire il processo di gestione degli incidenti.

• Entro il 1° ottobre 2026: le aziende coinvolte dovranno adempiere agli obblighi degli organi di amministrazione e direttivi: in materia di misure di sicurezza, raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.​

Le aziende già soggette alla NIS saranno iscritte in automatico?

Le aziende designate come essenziali ai sensi della NIS1 non saranno automaticamente iscritte nell'ambito della NIS2.

La nuova direttiva prevede un processo di designazione aggiornato e specifico; pertanto, le organizzazioni precedentemente identificate come essenziali dovranno rivalutare la propria situazione e, se necessario,registrarsi nuovamente secondo le nuove procedure e criteri definiti dalla NIS2.

È fondamentale monitorare le indicazioni delle autorità nazionali competenti per comprendere le modalità di registrazione e le tempistiche previste.

Obbligo di notifica degli incidenti

La tempestiva notificadegli incidenti di sicurezza è un pilastro fondamentale della NIS2. Analizziamo gli obblighi di notificadelle entità essenziali e importanti previsti dalla direttiva, specificando le tempistiche e le informazioni da comunicare alle autorità competenti.

• Entro 24 ore - inviare una prenotifica, per comunicare che i soggetti sono venuti a conoscenza dell'incidente significativo, inoltre entro 24 ore si dovrà effettuare la comunicazione dell'incidente a ACN

• Entro 72 ore - inviare una notifica dell'avvenimento

• Un'eventuale relazione intermedia, in caso di richiesta da CSIRT Italia dopo la notifica dell'avvenimento

• Entro un mese dalla trasmissione della notifica - una relazione finale.

Organigramma per la sicurezza informatica

La NIS2 non prescrive un organigrammaspecifico, ma richiede una chiara definizionedi ruoli e responsabilità per la sicurezza informatica.

Un organigramma efficace dovrebbe includere unresponsabile della sicurezza(CSO o figura equivalente) con ampia autorità e risorse, che supervisioni la strategia e la conformità. Sotto di lui, potrebbero essere presenti team specializzatiin aree come la gestione delle vulnerabilità, la sicurezza delle applicazioni, la risposta agli incidenti (CSIRT), la gestione delle identità e degli accessi (IAM) e la formazione sulla sicurezza.

La struttura ottimale varia in base alle dimensioni e alla complessità dell'azienda, ma la priorità è garantire una chiara catena di comando, una definizione precisa dei compiti e una efficace collaborazione tra i team per una risposta rapidaed efficace alle minacce.

Cooperazione tra gli stati membri dell'UE

La crescente interconnessione globale rende le minacce cibernetiche un problema transnazionaleche richiede una risposta coordinata. La cooperazione tra gli Stati membri UEè quindi fondamentale per una efficace gestione della sicurezza cibernetica.

A tal fine, la NIS2 promuove la collaborazione attraverso diverse iniziative:

• EU-CyCLONe, per la gestione coordinata degli incidenti e lo scambio di informazioni tra i CSIRT nazionali

• Una rete di CSIRT, per la condivisione di informazioni e l'assistenza reciproca; e report periodici, sia da parte della rete CSIRT (ogni 24 mesi) che da parte dell'ENISA (ogni due anni) sulla situazione della sicurezza UE.

• Inoltre, la direttiva prevede la possibilità per gli Stati membri di richiedere la certificazione di prodotti, servizi e processi ICT specifici alle Entità essenziali e importanti.

Strategie per elevare le misure di sicurezza aziendale​

Concentriamoci ora sulle strategie chiaveda adottare per elevare il livello di sicurezza aziendale, garantendo la conformità alla NIS2 e proteggendo efficacemente i dati e le infrastrutture critiche.

1. Disporre di sistemi di monitoraggio e risposta H24: è essenziale avere in atto un sistema di monitoraggio attivo 24 ore su 24 per individuare qualsiasi attività sospetta in tempo reale. Questo processo continuo non solo aiuta a rilevare potenziali minacce in modo tempestivo ma consente anche di rispondere prontamente per mitigare gli impatti negativi sulla sicurezza dei dati e dei sistemi.

2. Analizzare i rischi e politiche di sicurezza dei sistemi informativi: è fondamentale condurre un'analisi approfondita dei rischi e delle politiche di sicurezza dei sistemi informativi. Questo coinvolge l'esame dettagliato dei processi, delle tecnologie e dei potenziali rischi per identificare vulnerabilità e punti critici. Implementare una strategia di cybersecurity solida e mirata è cruciale per proteggere le risorse digitali dell'organizzazione da minacce interne ed esterne.

3. Gestire prontamente gli incidenti: avere un piano di risposta agli incidentiben definito è cruciale per affrontare le minacce in modo rapido ed efficace. Questo piano dovrebbe essere proattivo, prevedendo non solo la risposta agli attacchi ma anche misure preventive e sistemi di rilevamento per individuare le minacce in fase iniziale. La capacità di prevenire, individuare e rispondere prontamente agli incidenti è fondamentale per limitare danni e ripristinare la sicurezza informatica.

4. Avere un piano di continuità e gestione delle crisi: definire procedure chiare e dettagliate per gestire situazioni di crisi e incidenti è fondamentale per garantire la continuità operativa dell'organizzazione. Un piano di continuità aziendale ben strutturato e testato consente di riprendere le attività nel minor tempo possibile dopo un evento critico, riducendo al minimo l'impatto negativo sull'azienda e sui suoi stakeholder.

CYBEROO a supporto della Direttiva NIS2

Per garantire la piena conformità alla Direttiva NIS2, offriamo un supporto completo attraverso otto attività principali, progettate per guidare le organizzazioni verso una solida postura di sicurezza informatica. Di seguito, elenchiamo le otto aree chiave del nostro intervento:

1. Analisi dei rischi e politiche di sicurezza dei sistemi informativi

2. Gestione degli incidenti(prevenzione, individuazione e risposta agli incidenti)

3. Continuità operativae gestione delle crisi

4. Sicurezza della catena di approvvigionamento

5. Sicurezza della rete e dei sistemi, compresa la gestione e la divulgazione delle vulnerabilità

6. Politiche e procedureper valutare l'efficacia della gestione dei rischi

7. Sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi

8. Comunicazione a fornitori e clienti quando l'incidente è in corso.

In conclusione, la NIS2 rappresenta una sfida significativama necessaria per garantire la sicurezza cibernetica in Europa. Non si è quasi mai pronti ad una normativa che sta per entrare in vigore. Entra in vigore proprio perché il sistema non è pronto. Se si autotutelasse, non servirebbero le direttive.

La NIS2, quindi, non è solo un obbligo normativo, ma stimola anche uncambiamento culturaleverso una maggiore consapevolezza e responsabilità condivisa tra gli Stati membri e le organizzazioni coinvolte.

L'adozione di questa direttiva richiederà investimenti in risorse umane e tecnologiche con l'obiettivo di creare un cyberspazio resiliente e sicuro, capace di affrontare le minacce cibernetiche in continua evoluzione.

Public link

Please use the above public link if you want to share this noodl on another website.