NIS2, cosa cambia in materia di sicurezza dei dati

Data di pubblicazione: 9 Agosto 2022

In arrivo la direttiva NIS2. Ad oggi, in Italia, la normativa di riferimento in materia di sicurezza dei dati è rappresentata dalla Legge 4 agosto 2021, n. 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

Tale normativa ha recepito a livello nazionale la direttiva NIS 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le basi necessarie per normare e disciplinare gli aspetti essenziali della sicurezza informatica, con particolare riferimento alle aziende operanti nei servizi fondamentali e nelle infrastrutture critiche, da cui dipendono le sorti socioeconomiche di intere nazioni.

I tempi di formazione e recepimento delle direttive comunitarie sono estremamente lunghi, soprattutto quando prendono in esame gli aspetti tecnologici, che variano molto più rapidamente rispetto alle leggi che dovrebbero inquadrarne l’implementazione.

La pandemia Covid-19 e le dinamiche di accelerazione della trasformazione digitale che si sono alternate fino all’attuale “new normal” hanno per certi versi reso la Direttiva NIS superata nel momento stesso in cui è entrata a tutti gli effetti in vigore.

Per tali ragioni, la Commissione europea ha già aperto i lavori per il suo naturale successore: la Direttiva NIS2.

Indice dei contenuti

Sicurezza dei dati: nel new normal uno scenario in perenne evoluzione

La Direttiva NIS, al netto delle complessità legate al recepimento nella normativa nazionale, risulta per certi versi uno strumento incompleto, ma ha avuto oggettivamente un grande merito: imporre un cambiamento a livello di mentalità nei confronti della sicurezza informatica, capace di andare oltre i concetti legati alla protezione dei dati, già ben noti per via della normativa GDPR.

La Direttiva NIS2, sulla base delle prime anticipazioni, pare decisamente orientata ad operare lungo una direzione di continuità con lo strumento di prima generazione.

In primo luogo, è chiamata a reinterpretare le disposizioni per adeguarsi ai flussi digitali post pandemia Covid-19, che hanno visto il considerevole aumento di traffico nella rete e delle relative superfici di attacco. In secondo luogo, facendo tesoro dei primi anni di dibattito e applicazione della NIS, i nuovi provvedimenti mirano ad ampliare i settori di attività, finendo per coinvolgere un numero e una varietà sempre maggiore di organizzazioni.

Tra i capisaldi che verranno implementati nella Direttiva NIS2 possiamo al momento citare:

Rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati
Potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri
Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici
Estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di stakeholder coinvolti

Cosa cambia dalla NIS alla NIS2

Al momento i dettagli della nuova Direttiva NIS2 non sono ancora noti, né tantomeno definitivi, in quanto lo strumento è ancora nella sua fase di formazione. I punti anticipati nel precedente paragrafo evidenziano tuttavia come i framework che verranno presentati tenderanno a superare alcune delle criticità che hanno contraddistinto il percorso di adozione della NIS di prima generazione, a cominciare da una certa disomogeneità applicativa tra i vari paesi membri dell’Unione.

Tale aspetto è già stato precisato nella volontà di sostenere una rete europea di organizzazioni (EU-CyCLONe) finalizzata a condividere le informazioni sugli incidenti e favorire un’azione di intelligence impostata sulla collaborazione su larga scala.

È infatti evidente come le organizzazioni cybercriminali siano in grado di colpire ovunque, grazie a strumenti e strategie sempre più sofisticate, il che rende oltremodo limitante ragionare per logiche di bandiera. Gli attaccanti conoscono molto bene i limiti della burocrazia e sono straordinariamente bravi a sfruttarli a proprio vantaggio.

A livello comunitario si prevede inoltre la formazione di un Gruppo di Cooperazione, in grado di coinvolgere e rendere sinergica l’attività dei vari enti attivi in fatto di protezione e sicurezza dei dati informatici, tra cui l’ENISA, a cui è stato affidato un ruolo di supervisione, che prevede peraltro il rilascio di relazioni periodiche sullo stato della cybersecurity a livello europeo.

Il Gruppo di Cooperazione ha come obiettivo far lavorare insieme i vari CSIRT (Computer Security Incident Response Team) nazionali. Oltre alla già citata azione di intelligence comune, l’obiettivo è quello di favorire la collaborazione con le forze dell’ordine a livello internazionale, indispensabile per riuscire a contrastare l’azione dei gruppi cybercriminali, attivi nella rete in varie giurisdizioni.

Per quanto riguarda l’estensione dei provvedimenti introdotti nel 2016 dalla prima Direttiva NIS, la NIS2 amplia sia la lista dei requisiti minimi che le aziende devono garantire, sia il loro livello di coinvolgimento, estendendo di fatto la platea dei soggetti coinvolti, nella logica di rendere più sicure le intere supply chain.

Un concetto fondamentale in materia di sicurezza è dato dal fatto che la robustezza di una catena equivale a quella del suo anello più debole. Dal punto di vista della cybersecurity si rende necessario scongiurare che un’infrastruttura critica possa essere messa in pericolo a causa delle vulnerabilità di un fornitore terzo che non garantisce la necessaria affidabilità, pur avendo accesso alla catena principale.

La NIS2 potrebbe responsabilizzare anche le PMI

L’ampliamento delle responsabilità a cui abbiamo fatto accenno in chiusura del precedente paragrafo costituisce una delle novità più importanti che la Direttiva NIS2 dovrebbe portare sui tavoli normativi dei paesi membri.

Le PMI, che di fatto erano rimaste ben al di fuori della portata della NIS originale potrebbero ora ritrovarsi coinvolte, nella situazione di dover rispondere in solido nel caso in cui si verifichino delle violazioni dei dati e dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura. In altri termini, nella malaugurata ipotesi in cui dovesse verificarsi un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri stakeholder che intervengono lungo la supply chain.

In via provvisoria e al netto del recepimento che dovranno effettuare i singoli paesi membri, vediamo quali sono le differenze tra la NIS e la NIS2 per quanto riguarda il perimetro di applicabilità. La direttiva NIS originale prevedeva i seguenti settori di attività:

Infrastrutture digitali e provider di servizi digitali
Finanza
Salute
Reti idriche
Energia
Oil and Gas
Trasporti

La direttiva NIS2 dovrebbe estendere la disciplina della normativa anche ai seguenti settori:

Pubblica Amministrazione
Reti e servizi per la comunicazione elettronica pubblica
Servizi postali
Aerospace
Prodotti medicali, prodotti chimici, prodotti farmaceutici e dispositivi medicali
Rifiuti
Filiera agro-alimentare
Data center, social network, ecc.

A prescindere dal settore di attività la Direttiva NIS2 prevederà una distinzione tra aziende essenziali e aziende importanti. Due termini che sostituiranno gli attuali operatori di servizi essenziali e fornitori di servizi digitali.

Al momento non è ancora noto quale sia la distinzione tra azienda essenziale e azienda importante, né quali siano i settori di attività coinvolti da tale disciplina, su cui, con ogni probabilità, verrà lascia ampia iniziativa ai paesi membri in fase di recepimento.

In questo contesto andrà disciplinato anche il ruolo delle PMI, che di fatto dovrebbero continuare a non essere assoggettate alla stringente disciplina della NIS, fatto salvo il loro coinvolgimento nelle supply chain dei settori di attività in cui rientrano le aziende essenziali.

I requisiti minimi in materia di sicurezza dei dati previsti dalla Direttiva NIS2

Oltre a definire i settori di attività da disciplinare, la Direttiva NIS2 dovrà prevedere l’elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a garantire. Le aziende essenziali ed importanti dovrebbero infatti assicurare almeno le seguenti attività:

Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.
Gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response
Dotarsi di un piano di continuità di business e gestione delle crisi
Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate
Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.

È evidente come l’obiettivo del legislatore sia mirato, pur con molta gradualità, ad estendere la cultura e gli obblighi in materia di sicurezza informatica a tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici.

Non dobbiamo infatti dimenticare che, per quanto concerne la protezione dei dati, tutte le organizzazioni sono già soggette al rispetto della normativa GDPR, ormai recepita in tutto lo spazio economico europeo, che prevede l’obbligatorietà di adottare tutte le misure tecniche ed organizzative utili per prevenire e rimediare una violazione di dati (data breach).

GDPR e NIS2: il continuum normativo per la protezione e la sicurezza dei dati informatici, lo spauracchio dell’obbligo di notifica

GDPR e NIS costituiscono due facce della stessa medaglia. Protezione e sicurezza dei dati viaggiano infatti di pari passo nella definizione di sistemi che possano ritenersi realmente robusti nel prevenire e rimediare i sempre più diffusi attacchi di natura informatica.

Per semplificare il concetto, basti pensare che quando si subisce un attacco di sicurezza informatico, se interviene una palese violazione dei dati, cosa che ormai avviene nella quasi totalità dei casi, si è automaticamente soggetti ai provvedimenti della normativa GDPR.

La sovrapposizione degli effetti è senza dubbio auspicabile e non avrebbe alcun senso agire per compartimenti stagni in aree di applicabilità che di fatto si sovrappongono. Tuttavia, la buona condotta in fatto di cybersecurity, come il rispetto dell’obbliga di notifica dell’incidente informatico, costituisce di fatto un’auto denuncia dal punto di vista del GDPR.

In altri termini, le sanzioni previste dal GDPR in caso di violazioni dei dati attualmente costituiscono un deterrente alla notifica di un incidente di sicurezza informatico. Se da un lato ignorare la legge comporta le sue conseguenze, non avrebbe senso provare a giustificare una mancanza così evidente.

È altresì evidente come il legislatore, se vuole rendere il proprio strumento realmente efficace e costruttivo, dovrebbe cercare di sviluppare un sentimento di empatia con la potenziale vittima di un attacco informatico, per cercare di supportarla in un momento decisamente critico, tutelando al tempo stesso gli interessi dei titolari dei dati trattati.

Si tratta di un compito tutt’altro che semplice, soprattutto quando il fronte della minaccia informatica viaggia ad una velocità decisamente superiore rispetto all’evoluzione dei disposti normativi.

Cosa dovrebbero fare le aziende nell’ottica di risultare conformi

Parlare di attività preparatorie alla NIS2 non ha probabilmente senso. I tempi della sua adozione sono infatti ancora remoti e non si conoscono ancora i dettagli a cui bisognerà effettivamente rispondere.

Da un lato, una prima analisi sulla nuova direttiva lascia presagire un percorso di recepimento più semplice, in quanto il testo dovrebbe contenere un livello di dettaglio superiore rispetto alla versione originale, lasciando meno spazio all’interpretazione.

In attesa di conoscere quindi chi sarà effettivamente tenuto a rispettare i disposti della NIS2, è opportuno rilevare come molte delle sue disposizioni coincidano di fatto con quelle attività di cybersecurity che la maggior parte delle organizzazioni oggi dovrebbe attivare per garantire la sicurezza del proprio business e la protezione dei dati dei propri clienti.

La direzione a cui le aziende dovrebbero progressivamente tendere non dipende quindi strettamente dai termini che la legge stabilirà anche tardivamente, ma dovrebbe essere saggiamente orientata a favorire l’aumento dei requisiti minimi in materia di sicurezza informatica, con il relativo stanziamento di risorse economiche e di competenze necessarie.

L’obbligo, a maggior ragione in questo caso, dovrebbe essere innanzitutto interpretato come un buon consiglio, che vede l’esigenza di associare ad una condotta reattiva anche una componente proattiva, soprattutto nell’ottica che sarà sempre più difficile rimanere immuni rispetto all’offensiva dei cybercriminali.

Saper identificare in tempi brevi la natura di un attacco e adottare le misure efficaci per mitigarlo costituisce un valore che va associato all’efficacia dei sistemi di cybersecurity e all’organizzazione dei propri dipendenti, che andrebbero continuamente formati affinché sviluppino e migliorino nel tempo un adeguato atteggiamento di igiene informatica.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description

Sicurezza dei dati: nel new normal uno scenario in perenne evoluzione

Cosa cambia dalla NIS alla NIS2

La NIS2 potrebbe responsabilizzare anche le PMI

I requisiti minimi in materia di sicurezza dei dati previsti dalla Direttiva NIS2

GDPR e NIS2: il continuum normativo per la protezione e la sicurezza dei dati informatici, lo spauracchio dell’obbligo di notifica

Cosa dovrebbero fare le aziende nell’ottica di risultare conformi

Contattaci

Ultime News Cyber Security

La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

Sicurezza di rete: ecco come proteggersi con efficacia

VPN aziendale: proteggere i dati grazie a reti private

Ransomware, i dati 2021, le cyber assicurazioni e i consigli per le PMI

Cyber Security Manager: chi è, cosa fa e quali competenze ha

ISMS: come gestire le risorse IT (ma non solo) in totale sicurezza

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Virus euristico: come riconoscerlo e come difendersi con efficacia

Cosa sono i tracker: tutto quello che c’è da sapere

Brand reputation e continuità di business: una sinergia imprescindibile

Direttiva NIS2, cosa cambia in materia di sicurezza dei dati

Sicurezza dei dati: nel new normal uno scenario in perenne evoluzione

Cosa cambia dalla NIS alla NIS2

La NIS2 potrebbe responsabilizzare anche le PMI

I requisiti minimi in materia di sicurezza dei dati previsti dalla Direttiva NIS2

GDPR e NIS2: il continuum normativo per la protezione e la sicurezza dei dati informatici, lo spauracchio dell’obbligo di notifica

Cosa dovrebbero fare le aziende nell’ottica di risultare conformi

Contattaci

Ultime News Cyber Security