
In arrivo la direttiva NIS2. Ad oggi, in Italia, la normativa di riferimento in materia di sicurezza dei dati è rappresentata dalla Legge 4 agosto 2021, n. 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.
Tale normativa ha recepito a livello nazionale la direttiva NIS 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le basi necessarie per normare e disciplinare gli aspetti essenziali della sicurezza informatica, con particolare riferimento alle aziende operanti nei servizi fondamentali e nelle infrastrutture critiche, da cui dipendono le sorti socioeconomiche di intere nazioni.
I tempi di formazione e recepimento delle direttive comunitarie sono estremamente lunghi, soprattutto quando prendono in esame gli aspetti tecnologici, che variano molto più rapidamente rispetto alle leggi che dovrebbero inquadrarne l’implementazione.
La pandemia Covid-19 e le dinamiche di accelerazione della trasformazione digitale che si sono alternate fino all’attuale “new normal” hanno per certi versi reso la Direttiva NIS superata nel momento stesso in cui è entrata a tutti gli effetti in vigore.
Per tali ragioni, la Commissione europea ha già aperto i lavori per il suo naturale successore: la Direttiva NIS2.
Indice dei contenuti
Sicurezza dei dati: nel new normal uno scenario in perenne evoluzione
La Direttiva NIS, al netto delle complessità legate al recepimento nella normativa nazionale, risulta per certi versi uno strumento incompleto, ma ha avuto oggettivamente un grande merito: imporre un cambiamento a livello di mentalità nei confronti della sicurezza informatica, capace di andare oltre i concetti legati alla protezione dei dati, già ben noti per via della normativa GDPR.
La Direttiva NIS2, sulla base delle prime anticipazioni, pare decisamente orientata ad operare lungo una direzione di continuità con lo strumento di prima generazione.
In primo luogo, è chiamata a reinterpretare le disposizioni per adeguarsi ai flussi digitali post pandemia Covid-19, che hanno visto il considerevole aumento di traffico nella rete e delle relative superfici di attacco. In secondo luogo, facendo tesoro dei primi anni di dibattito e applicazione della NIS, i nuovi provvedimenti mirano ad ampliare i settori di attività, finendo per coinvolgere un numero e una varietà sempre maggiore di organizzazioni.
Tra i capisaldi che verranno implementati nella Direttiva NIS2 possiamo al momento citare:
- Rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati
- Potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri
- Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici
- Estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di stakeholder coinvolti
Cosa cambia dalla NIS alla NIS2
Al momento i dettagli della nuova Direttiva NIS2 non sono ancora noti, né tantomeno definitivi, in quanto lo strumento è ancora nella sua fase di formazione. I punti anticipati nel precedente paragrafo evidenziano tuttavia come i framework che verranno presentati tenderanno a superare alcune delle criticità che hanno contraddistinto il percorso di adozione della NIS di prima generazione, a cominciare da una certa disomogeneità applicativa tra i vari paesi membri dell’Unione.
Tale aspetto è già stato precisato nella volontà di sostenere una rete europea di organizzazioni (EU-CyCLONe) finalizzata a condividere le informazioni sugli incidenti e favorire un’azione di intelligence impostata sulla collaborazione su larga scala.
È infatti evidente come le organizzazioni cybercriminali siano in grado di colpire ovunque, grazie a strumenti e strategie sempre più sofisticate, il che rende oltremodo limitante ragionare per logiche di bandiera. Gli attaccanti conoscono molto bene i limiti della burocrazia e sono straordinariamente bravi a sfruttarli a proprio vantaggio.
A livello comunitario si prevede inoltre la formazione di un Gruppo di Cooperazione, in grado di coinvolgere e rendere sinergica l’attività dei vari enti attivi in fatto di protezione e sicurezza dei dati informatici, tra cui l’ENISA, a cui è stato affidato un ruolo di supervisione, che prevede peraltro il rilascio di relazioni periodiche sullo stato della cybersecurity a livello europeo.
Il Gruppo di Cooperazione ha come obiettivo far lavorare insieme i vari CSIRT (Computer Security Incident Response Team) nazionali. Oltre alla già citata azione di intelligence comune, l’obiettivo è quello di favorire la collaborazione con le forze dell’ordine a livello internazionale, indispensabile per riuscire a contrastare l’azione dei gruppi cybercriminali, attivi nella rete in varie giurisdizioni.
Per quanto riguarda l’estensione dei provvedimenti introdotti nel 2016 dalla prima Direttiva NIS, la NIS2 amplia sia la lista dei requisiti minimi che le aziende devono garantire, sia il loro livello di coinvolgimento, estendendo di fatto la platea dei soggetti coinvolti, nella logica di rendere più sicure le intere supply chain.
Un concetto fondamentale in materia di sicurezza è dato dal fatto che la robustezza di una catena equivale a quella del suo anello più debole. Dal punto di vista della cybersecurity si rende necessario scongiurare che un’infrastruttura critica possa essere messa in pericolo a causa delle vulnerabilità di un fornitore terzo che non garantisce la necessaria affidabilità, pur avendo accesso alla catena principale.
La NIS2 potrebbe responsabilizzare anche le PMI
L’ampliamento delle responsabilità a cui abbiamo fatto accenno in chiusura del precedente paragrafo costituisce una delle novità più importanti che la Direttiva NIS2 dovrebbe portare sui tavoli normativi dei paesi membri.
Le PMI, che di fatto erano rimaste ben al di fuori della portata della NIS originale potrebbero ora ritrovarsi coinvolte, nella situazione di dover rispondere in solido nel caso in cui si verifichino delle violazioni dei dati e dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura. In altri termini, nella malaugurata ipotesi in cui dovesse verificarsi un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri stakeholder che intervengono lungo la supply chain.
In via provvisoria e al netto del recepimento che dovranno effettuare i singoli paesi membri, vediamo quali sono le differenze tra la NIS e la NIS2 per quanto riguarda il perimetro di applicabilità. La direttiva NIS originale prevedeva i seguenti settori di attività:
- Infrastrutture digitali e provider di servizi digitali
- Finanza
- Salute
- Reti idriche
- Energia
- Oil and Gas
- Trasporti
La direttiva NIS2 dovrebbe estendere la disciplina della normativa anche ai seguenti settori:
- Pubblica Amministrazione
- Reti e servizi per la comunicazione elettronica pubblica
- Servizi postali
- Aerospace
- Prodotti medicali, prodotti chimici, prodotti farmaceutici e dispositivi medicali
- Rifiuti
- Filiera agro-alimentare
- Data center, social network, ecc.
A prescindere dal settore di attività la Direttiva NIS2 prevederà una distinzione tra aziende essenziali e aziende importanti. Due termini che sostituiranno gli attuali operatori di servizi essenziali e fornitori di servizi digitali.
Al momento non è ancora noto quale sia la distinzione tra azienda essenziale e azienda importante, né quali siano i settori di attività coinvolti da tale disciplina, su cui, con ogni probabilità, verrà lascia ampia iniziativa ai paesi membri in fase di recepimento.
In questo contesto andrà disciplinato anche il ruolo delle PMI, che di fatto dovrebbero continuare a non essere assoggettate alla stringente disciplina della NIS, fatto salvo il loro coinvolgimento nelle supply chain dei settori di attività in cui rientrano le aziende essenziali.
I requisiti minimi in materia di sicurezza dei dati previsti dalla Direttiva NIS2
Oltre a definire i settori di attività da disciplinare, la Direttiva NIS2 dovrà prevedere l’elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a garantire. Le aziende essenziali ed importanti dovrebbero infatti assicurare almeno le seguenti attività:
- Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.
- Gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response
- Dotarsi di un piano di continuità di business e gestione delle crisi
- Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate
- Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
È evidente come l’obiettivo del legislatore sia mirato, pur con molta gradualità, ad estendere la cultura e gli obblighi in materia di sicurezza informatica a tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici.
Non dobbiamo infatti dimenticare che, per quanto concerne la protezione dei dati, tutte le organizzazioni sono già soggette al rispetto della normativa GDPR, ormai recepita in tutto lo spazio economico europeo, che prevede l’obbligatorietà di adottare tutte le misure tecniche ed organizzative utili per prevenire e rimediare una violazione di dati (data breach).
GDPR e NIS2: il continuum normativo per la protezione e la sicurezza dei dati informatici, lo spauracchio dell’obbligo di notifica
GDPR e NIS costituiscono due facce della stessa medaglia. Protezione e sicurezza dei dati viaggiano infatti di pari passo nella definizione di sistemi che possano ritenersi realmente robusti nel prevenire e rimediare i sempre più diffusi attacchi di natura informatica.
Per semplificare il concetto, basti pensare che quando si subisce un attacco di sicurezza informatico, se interviene una palese violazione dei dati, cosa che ormai avviene nella quasi totalità dei casi, si è automaticamente soggetti ai provvedimenti della normativa GDPR.
La sovrapposizione degli effetti è senza dubbio auspicabile e non avrebbe alcun senso agire per compartimenti stagni in aree di applicabilità che di fatto si sovrappongono. Tuttavia, la buona condotta in fatto di cybersecurity, come il rispetto dell’obbliga di notifica dell’incidente informatico, costituisce di fatto un’auto denuncia dal punto di vista del GDPR.
In altri termini, le sanzioni previste dal GDPR in caso di violazioni dei dati attualmente costituiscono un deterrente alla notifica di un incidente di sicurezza informatico. Se da un lato ignorare la legge comporta le sue conseguenze, non avrebbe senso provare a giustificare una mancanza così evidente.
È altresì evidente come il legislatore, se vuole rendere il proprio strumento realmente efficace e costruttivo, dovrebbe cercare di sviluppare un sentimento di empatia con la potenziale vittima di un attacco informatico, per cercare di supportarla in un momento decisamente critico, tutelando al tempo stesso gli interessi dei titolari dei dati trattati.
Si tratta di un compito tutt’altro che semplice, soprattutto quando il fronte della minaccia informatica viaggia ad una velocità decisamente superiore rispetto all’evoluzione dei disposti normativi.
Cosa dovrebbero fare le aziende nell’ottica di risultare conformi
Parlare di attività preparatorie alla NIS2 non ha probabilmente senso. I tempi della sua adozione sono infatti ancora remoti e non si conoscono ancora i dettagli a cui bisognerà effettivamente rispondere.
Da un lato, una prima analisi sulla nuova direttiva lascia presagire un percorso di recepimento più semplice, in quanto il testo dovrebbe contenere un livello di dettaglio superiore rispetto alla versione originale, lasciando meno spazio all’interpretazione.
In attesa di conoscere quindi chi sarà effettivamente tenuto a rispettare i disposti della NIS2, è opportuno rilevare come molte delle sue disposizioni coincidano di fatto con quelle attività di cybersecurity che la maggior parte delle organizzazioni oggi dovrebbe attivare per garantire la sicurezza del proprio business e la protezione dei dati dei propri clienti.
La direzione a cui le aziende dovrebbero progressivamente tendere non dipende quindi strettamente dai termini che la legge stabilirà anche tardivamente, ma dovrebbe essere saggiamente orientata a favorire l’aumento dei requisiti minimi in materia di sicurezza informatica, con il relativo stanziamento di risorse economiche e di competenze necessarie.
L’obbligo, a maggior ragione in questo caso, dovrebbe essere innanzitutto interpretato come un buon consiglio, che vede l’esigenza di associare ad una condotta reattiva anche una componente proattiva, soprattutto nell’ottica che sarà sempre più difficile rimanere immuni rispetto all’offensiva dei cybercriminali.
Saper identificare in tempi brevi la natura di un attacco e adottare le misure efficaci per mitigarlo costituisce un valore che va associato all’efficacia dei sistemi di cybersecurity e all’organizzazione dei propri dipendenti, che andrebbero continuamente formati affinché sviluppino e migliorino nel tempo un adeguato atteggiamento di igiene informatica.
Contattaci
Ultime News Cyber Security
-
-
Cos’è un Ransomware, come si prende e come proteggersi
28 Aprile 2023 -
Che cos’è un malware e come affrontarlo?
24 Aprile 2023 -
-
Purple Team, Red Team e Blue Team: differenze e cosa fanno
15 Aprile 2023 -
-
Zero Day Exploit: Cos’è e Come Proteggersi
3 Aprile 2023 -
-
Smishing: cos’è e come difendersi da questi attacchi informatici
20 Gennaio 2023 -
Dati biometrici: un nuovo concetto di identità e sicurezza
30 Settembre 2022