Dalla Comunità Europea arrivano direttive rispetto all’adeguamento dei sistemi di sicurezza digitali. Una di queste è la NIS2, normativa in materia di sicurezza dei dati secondo la Legge 4 agosto 2021, n. 109:
“Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.
Ciò si definisce per recepire la direttiva NIS 2016/1148 sulla sicurezza delle reti e dei sistemi informativi. Perché? La Commissione Europea ha posto le basi per disciplinare la sicurezza informatica, con riferimento alle aziende operanti nei servizi e nelle infrastrutture critiche, da cui dipendono le sorti delle nazioni.
Nazioni che devono essere tutelate nel miglior modo possibile. Le trasformazioni digitali hanno preso la Direttiva NIS superata nel momento stesso in cui è entrata in vigore. Ecco perché oggi parliamo di adeguamento delle aziende al nuovo modello: NIS2. Di cosa si tratta? Quali sono i punti da approfondire?
Indice dei contenuti
Cos’è il NIS2 e a cosa serve, definizione
NIS2 è l’acronimo di Network and Information Security Directive 2, direttiva dell’Unione Europea che aggiorna la precedente NIS del 2016 con lo scopo di raggiungere un livello di cybersicurezza elevato per tutti gli stati membri. Infatti, il NIS2 supera il prodotto precedente e si impone di raggiungere alcuni risultati:
- Ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati.
- Potenziamento degli organi e delle attività di supervisione a livello comunitario.
- Migliorare la collaborazione per contrastare la minaccia informatica globale.
- Aumento della condivisione delle esperienze tra gli stati membri.
- Razionalizzazione dei requisiti minimi di sicurezza.
- Ottimizzazione delle procedure di notifica obbligatoria degli incidenti informatici.
A tutto ciò si aggiunge l’estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo un maggior numero di stakeholder. Obiettivo principale?
Il NIS2 – pubblicato nella Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato in vigore il 16 gennaio 2023 – rafforza la sicurezza delle reti e dei sistemi informativi delle aziende che operano in Europa. Questo si rende necessario per contrastare le minacce informatiche e tutelare le infrastrutture critiche.
Cosa cambia dalla NIS alla NIS2
Dal 18 ottobre 2024, la direttiva NIS sarà definitivamente abrogata a favore della NIS2 che tende a superare alcune delle criticità che hanno contraddistinto il percorso di adozione della NIS di prima generazione.
Questo a cominciare dalla disomogeneità tra i paesi dell’Unione. Tale aspetto è già precisato nella volontà di sostenere una rete europea di organizzazioni (EU-CyCLONe) finalizzata a condividere le informazioni sugli incidenti e favorire un’azione di intelligence impostata sulla collaborazione su larga scala.
Inoltre, rispetto alla soluzione precedente, con il modello NIS2 si tende ad ampliare il campo di applicazione includendo un maggior numero di aziende che devono rispettare la direttiva.
Oltre alla già citata azione di intelligence comune, l’obiettivo è quello di favorire la collaborazione con le forze dell’ordine a livello internazionale, indispensabile per riuscire a contrastare l’azione dei gruppi cybercriminali.
Come si raggiunge l’obiettivo? Come suggerito dalle direttive ufficiali, dal NIS si eredita la formazione di un Gruppo di Cooperazione, in grado di coinvolgere e rendere sinergica l’attività dei vari enti attivi in fatto di protezione e sicurezza dei dati informatici. Il Gruppo di Cooperazione ha come obiettivo far lavorare insieme i vari CSIRT (Computer Security Incident Response Team) nazionali.
Quali sono le misure di vigilanza del NIS2?
Per affrontare questo punto dobbiamo prendere in considerazione l’articolo 32 della Direttiva NIS2 del 4 agosto 2021, n.109. In questo passaggio scopriamo che i paesi dell’UE devono garantire alle autorità competenti la possibilità di esercitare i propri compiti di vigilanza. Questo significa, in buona sostanza, garantire:
- Ispezioni in loco e supervisione remota, compresi controlli casuali.
- Audit di sicurezza condotti da ente indipendente o autorità competente.
- Audit ad hoc, in caso di incidenti significativi o violazioni della direttiva.
- Scansioni trasparenti di sicurezza, basate su criteri di valutazione del rischio.
- Richieste di informazioni per valutare le misure di gestione del rischio informatico.
Serve supporto sulla NIS2 ?
Sempre più importante, inoltre, è l’accesso ai dati e documenti necessari per svolgere i compiti di vigilanza. Poi bisogna rispettare le richieste di prove dell’implementazione delle politiche di sicurezza, come i risultati degli audit di sicurezza.
I soggetti coinvolti nella NIS2
Le regole del NIS2 coprono settori e servizi critici esclusi dalla direttiva NIS originale, includendo nuove categorie di entità essenziali e importanti. Puoi trovare la lista di tutti i soggetti interessati dalle direttive negli Allegati 1 e 2. Ecco l’elenco dei soggetti considerati essenziali e importanti e relativi settori:
Settori ad Alta Criticità
| SETTORE | SOTTO-SETTORE | GRANDI IMPRESE | MEDIE IMPRESE | PICCOLE E MICRO IMPRESE |
| ENERGIA | Energia elettrica; Teleriscaldamento e raffreddamento; Petrolio Gas; Idrogeno; Compresi i fornitori di servizi di ricarica agli utenti finali. | ESSENZIALE | IMPORTANTE | N.A. |
| TRASPORTI | Trasporto aereo (vettori commerciali; aeroporti; controllo del traffico aereo [ATC]); Trasporto ferroviario (infrastrutture e imprese); Trasporto per vie d’acqua (compagnie di trasporto; porti; servizi di traffico navale [VTSI]); Trasporto su strada (Autorità stradali, STI). | ESSENZIALE | IMPORTANTE | N.A. |
| Caso speciale: trasporto pubblico: se identificato come CER | ESSENZIALE | IMPORTANTE | N.A. | |
| BANCARIO | Istituti di credito (attenzione: DORA lex specialis) | ESSENZIALE | IMPORTANTE | N.A. |
| INFRASTRUTTURE DEL MERCATO FINANZIARIO | Sedi di negoziazione, controparti centrali | ESSENZIALE | IMPORTANTE | N.A. |
| SALUTE | Fornitori di assistenza sanitaria; Laboratori di riferimento dell’UE; Ricerca e sviluppo di prodotti medicinali; Produzione di prodotti e preparati farmaceutici di base; Produzione di dispositivi medici critici durante le emergenze sanitarie. | ESSENZIALE | IMPORTANTE | N.A. |
| Caso speciale: soggetti titolari di un’autorizzazione alla distribuzione di prodotti medicinali: se identificati come CER | ESSENZIALE | IMPORTANTE | N.A. | |
| ACQUA POTABILE | Fornitori e distributori di acque destinate al consumo umano, | ESSENZIALE | IMPORTANTE | N.A. |
| ACQUE REFLUE | Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali (Solo se è una parte essenziale della loro attività generale) | ESSENZIALE | IMPORTANTE | N.A. |
| INFRASTRUTTURE DIGITALI | Fornitori di servizi fiduciari qualificati Fornitori di servizi DNS (esclusi i root name server) Registri di nomi TLD | ESSENZIALE | ESSENZIALE | ESSENZIALE |
| Fornitori di reti pubbliche di comunicazione elettronica | ESSENZIALE | ESSENZIALE | IMPORTANTE | |
| Fornitori di servizi fiduciari non qualificati | ESSENZIALE | IMPORTANTE | IMPORTANTE | |
| Fornitori di punti di scambio Internet Fornitori di servizi di cloud computing Fornitori di servizi di data center Fornitori di reti di distribuzione di contenuti | ESSENZIALE | IMPORTANTE | N.A. | |
| GESTIONE DEI SERVIZI ICT (B2B) | Fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti | ESSENZIALE | IMPORTANTE | N.A. |
| ENTI DELLA PUBBLICA AMMINISTRAZIONE | Di amministrazioni centrali (esclusi magistratura, parlamenti, banche centrali; difesa, sicurezza nazionale o pubblica), | ESSENZIALE | ESSENZIALE | ESSENZIALE |
| Di governi regionali: in base al rischio (facoltativo per gli Stati membri: di governi locali). | IMPORTANTE | IMPORTANTE | IMPORTANTE | |
| SPAZIO | Operatori di infrastrutture terrestri (per Stato membro) | ESSENZIALE | IMPORTANTE | N.A. |
Altri settori critici
| SETTORE | SOTTO-SETTORE | GRANDI IMPRESE | MEDIE IMPRESE | PICCOLE E MICRO IMPRESE |
| Servizi postali e di corriere | IMPORTANTE | IMPORTANTE | N.A. | |
| Gestione dei rifiuti | (solo se attività principale) | IMPORTANTE | IMPORTANTE | N.A. |
| Fabbricazione, produzione e distribuzione di sostanze chimiche | Fabbricazione, produzione, distribuzione | IMPORTANTE | IMPORTANTE | N.A. |
| Produzione, trasformazione e distribuzione di alimenti | Produzione all’ingrosso e produzione e lavorazione industriale | IMPORTANTE | IMPORTANTE | N.A. |
| Fabbricazione | Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro Fabbricazione di computer e prodotti di elettronica e ottica Fabbricazione di apparecchiature elettriche Fabbricazione di macchinari e apparecchiature n.c.a. Fabbricazione di autoveicoli, rimorchi e semirimorchi Fabbricazione di altri mezzi di trasporto | IMPORTANTE | IMPORTANTE | N.A. |
| Fornitori di servizi digitali | mercati online, motori di ricerca, piattaforme di social network | IMPORTANTE | IMPORTANTE | N.A. |
| Ricerca | Organizzazioni di ricerca (esclusi gli istituti di istruzione) (facoltativo per gli Stati membri: istituti di istruzione) | IMPORTANTE | IMPORTANTE | N.A. |
I requisiti per essere inclusi: operare nell’UE ed essere considerata una media impresa ai sensi articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE. Vengono considerate le Medie e Grandi imprese (più di 50 dipendenti o fatturato superiore ai 10 Milioni) con eccezioni per PA e alcuni servizi ICT.
La NIS2 amplia sia la lista dei soggetti coinvolti che quella dei requisiti minimi che le aziende devono garantire per rendere più sicure le supply chain. Tutto questo avviene anche eliminando la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) per puntare su una soluzione diversa.
Ovvero, Soggetti Essenziali e Importanti. La robustezza di una catena equivale a quella del suo anello più debole. Nella cyber security si deve scongiurare sicuramente che un’infrastruttura critica possa essere messa in pericolo a causa delle vulnerabilità di un fornitore terzo che non garantisce affidabilità.
Requisiti minimi per sicurezza dei dati
L’obiettivo del legislatore: estendere la cultura e gli obblighi in materia di sicurezza informatica a un maggior numero di attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici.
Questo passaggio avviene rispettando alcuni criteri. In primo luogo devi, come azienda, valutare se fai parte dei soggetti coinvolti negli obblighi del NIS2. Se è così bisogna iniziare con una strategia di protezione risk based. Ciò significa analizzare la sicurezza dei sistemi informativi con operazioni di:
Mentre il GDPR ti indica cosa fare per proteggere i dati ma non le azioni, con il NIS2 si approfondiscono tutti i punti utili per mettere in atto un piano di cyber security aziendale, partendo dall’analisi dei rischi e di sicurezza dei sistemi informatici. Ecco alcuni approfondimenti sui requisiti minimi:
Risk analysis
Nello specifico, parliamo di risk analysis and information system security policies. Ovvero? Sono le politiche di analisi dei rischi e di sicurezza dei sistemi informatici, vale a dire le linee guida che un’organizzazione intraprende per:
- Identificare i rischi.
- Valutare le minacce.
- Migliorare la sicurezza.
Così è possibile mantenere aggiornata la valutazione dei rischi, come ad esempio quelli connessi al ransomware, e adattare le misure di sicurezza per fronteggiare le minacce e le relative vulnerabilità interna.
Supply chain security e NIS2
Qui si considerano gli aspetti che riguardano la sicurezza della catena di approvvigionamento, i rapporti tra ciascuna entità e i suoi fornitori diretti o meno. Infatti, qui includiamo pratiche, tecnologie e processi per proteggere le fasi della catena di approvvigionamento da minacce fisiche e digitali. L’obiettivo è garantire la continuità, l’integrità e la sicurezza dei prodotti e delle informazioni.
Sicurezza dei sistemi informatici
Bisogna tutelare acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete. Ecco perché esiste la sicurezza dell’acquisizione, dello sviluppo e della manutenzione delle informazioni e dei sistemi di rete, compresa la gestione e la divulgazione delle vulnerabilità. Autenticazione a due fattori, firewall, e crittografia avanzata sono i punti di partenza per lavorare su questo punto decisivo.
Strategie e procedure di sicurezza
In primo luogo, magari con un Chief information security officer, bisogna considerare tutto ciò che permette di valutare l’efficacia delle misure di gestione dei rischi di cybersecurity. Si possono eseguire test interni o con enti esterni per valutare la sicurezza e fare simulazioni di attacco che cercano di violare il sistema.
Servono anche pratiche di igiene digitale di base e formazione in materia di cybersicurezza per chi deve affrontare queste sfide. E gestire aspetti complessi come gestire al meglio implementazione e sicurezza dei sistemi iperconvergenti. Senza dimenticare la già citata crittografia simmetrica e asimmetrica.
La risposta a un incidente per il NIS2
Bisogna gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response. E dotarsi di un piano di continuità di business e gestione delle crisi con una serie di tempistiche per gestire gli allarmi.
Le aziende devono inviare un allarme preventivo al CSIRT entro le 24 ore. La notifica deve arrivare entro 72 ore dall’incidente. Il NIS2 definisce il concetto di incidente significativo rispetto al tema del data breach.
Se la violazione può portare danni a cose o persone si parla di un evento con delle conseguenze specifiche, per questo bisogna istituire un Data Breach Recovery Plan con nomina di un responsabile per la sicurezza che dovrà anche definire i ruoli, testare regolarmente la sicurezza dell’infrastruttura IT.
Bisogna verificare l’efficacia delle misure di gestione del rischio. La catena della fornitura è un passaggio da osservare. L’azienda sarà tenuta a verificare la sicurezza delle supply chain proteggendola da minacce esterne e interne, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
Eventuali sanzioni per chi non rispetta il NIS2
Ci sono dei controlli previsti e delle multe per chi non osserva e ritarda l’allineamento con le direttive NIS2. Nello specifico, la sanzione si stabilisce o su importo minimo o sul fatturato. La situazione cambia in base al fatto di trovarsi di fronte a entità essenziali o soggetti importanti. Stiamo parlando di un massimo di almeno:
- 10 milioni di Euro o il 2 % del totale del fatturato globale annuo per i servizi essenziali.
- 7 milioni di Euro o l’1,4 % del totale del fatturato globale annuo per i servizi importanti.
Certo, sono importi che fanno impallidire una piccola azienda ma bisogna considerare che parliamo di realtà medio/grandi che hanno responsabilità uniche. Inoltre, il NIS2 disegna un percorso di recepimento più semplice, in quanto il testo possiede un livello di dettaglio superiore rispetto alla versione originale.
Come adeguarsi a queste direttive?
Molte delle disposizioni coincidono con quelle attività di computer security che la maggior parte delle organizzazioni oggi dovrebbe attivare a prescindere dalle direttive. Solo per garantire la sicurezza del proprio business e la protezione dei dati relativi ai clienti. Ecco i punti fondamentali da integrare nella tua strategia:
Identificazione e valutazione dei rischi
Per avere essere allineati alle indicazioni sintetizzate nell’articolo 6 della direttiva collegata al NIS2 bisogna lavorare su un punto chiaro: implementare un processo sistematico, continuativo nel tempo, per identificare, valutare e affrontare i rischi informatici. Questo implica diversi aspetti specifici.
In primis bisogna analizzare le potenziali vulnerabilità a cui potrebbero essere esposti i sistemi, le reti e i dati. Questo avviene considerando le minacce interne ed esterne, sia accidentali sia malevoli. Viene chiesto di individuare la probabilità che i rischi si concretizzino e di mettere in chiaro l’impatto su integrità e riservatezza dei dati.
Valutazione della Security Posture
Eseguire un’analisi approfondita della sicurezza attuale per identificare punti deboli e vulnerabilità, in particolare per infrastrutture critiche e servizi essenziali. Su quali punti dobbiamo concentrarci? L’azienda ha il dovere di identificare asset critici, applicazioni, infrastrutture IT e servizi che non possono peccare rispetto alla sicurezza informatica.
Monitoraggio della Supply Chain
Stabilire procedure di monitoraggio e valutazione dei fornitori, riconoscendo gli attacchi alla supply chain come uno dei motivi principali alla base della direttiva NIS2. Adottare le misure efficaci per mitigare il problema dipende sempre da come si anticipano i problemi.
Questo è un valore a priori che va associato all’efficacia dei sistemi di cybersecurity e all’organizzazione dei propri dipendenti, che andrebbero formati affinché sviluppino un adeguato atteggiamento di igiene informatica.
Protezione degli account amministrativi
Passaggio successivo: adottare misure rigorose per proteggere gli account con privilegi, come l’uso di autenticazione a più fattori. Questo aspetto è in linea con l’articolo 5 perché i profili in esame sono ad alto rischio, permettono l’accesso a funzioni e dati critici.
Un buon consiglio: gli account amministrativi, se possibile, devono avere accesso solo alle risorse e alle funzioni essenziali per il loro ruolo. E magari per un tempo limitato, utilizzando soluzioni come Privileged Access Management (PAM).
Difese Anti-Ransomware per il NIS2
Bisogna assolutamente implementare strategie e tecnologie avanzate per difendersi dagli attacchi ransomware, rispondendo così alla crescente minaccia nella sicurezza informatica. Qual è il primo punto?
Di sicuro bisogna sensibilizzare il personale sui rischi del ransomware, sul phishing e le altre tecniche di ingegneria sociale utilizzate dagli attaccanti. Poi, come misura precauzionale bisogna puntare su autenticazione a più fattori (MFA), aggiornamento costante dei sistemi operativi e backup frequenti dei dati critici. Questi backup devono essere conservati in cloud sicuri e testati per assicurarsi che siano sempre integri.
Architettura Zero Trust
Fondamentale implementare un approccio Zero Trust Architecture, garantendo che tutti gli accessi siano verificati con misure come l’accesso con privilegio minimo e l’analisi delle minacce. La direttiva NIS2 migliora la sicurezza e la resilienza delle infrastrutture IT, rendendo la Zero Trust Architecture un modello ottimale.
non fidarsi mai, verificare sempre.
Il modello di sicurezza noto come Fiducia Zero ti porta a identificare e classificare tutte le risorse e i dati critici, implementare il principio del Least Privilege (minimo privilegio) per gli utenti, creare segmenti di rete isolati per impedire che un attacco possa diffondersi, implementare sistemi di Identity and Access Management (IAM) e crittografia End-to-End. Sviluppando, ovviamente, un piano di risposta agli incidenti. E assicurando che sia facilmente accessibile e comprensibile.
Tutti pronti per gestire al meglio il NIS2?
Sarà indispensabile investire nella formazione continua del personale per aumentare la consapevolezza sulla sicurezza informatica e assicurare che tutti siano informati delle politiche di sicurezza.
La direzione a cui le aziende dovrebbero tendere non dipende solo dai termini che la legge stabilisce, ma dovrebbe essere orientata a favorire l’aumento dei requisiti minimi in materia di sicurezza informatica.
Il 17 ottobre 2024 è entrato in vigore il NIS2, ci saranno dei tempi di adeguamento? Vedremo, nel frattempo puoi iniziare subito a identificare i punti deboli della sicurezza interna e adottare le misure per identificare in tempi brevi la natura di un attacco. In che modo? Contattaci e richiedi subito un’analisi della tua azienda.
