La direttiva NIS 2 e il suo impatto sulla sicurezza aziendale

La Direttiva NIS 2 (Network and Information Security) è un’evoluzione significativa delle normative dell’Unione Europea in materia di sicurezza informatica. Con l’entrata in vigore, si pone l’obiettivo di rafforzare la resilienza delle organizzazioni nei settori essenziali e digitali, garantendo una risposta più coordinata e tempestiva alle minacce cyber. Per le aziende, questo rappresenta sia una sfida sia un’opportunità: la possibilità di migliorare la propria infrastruttura di sicurezza, proteggere i dati sensibili e conformarsi alle nuove regolamentazioni.

Ampliamento del campo d’applicazione
A differenza della precedente Direttiva, la NIS 2 copre un numero più vasto di settori, includendo industrie critiche come la sanità, i trasporti, l’energia, e anche i fornitori di servizi digitali e cloud.
Questo significa che molte aziende, in particolare le PMI che operano in questi settori, dovranno investire in sicurezza informatica e prepararsi ad affrontare le nuove sfide.

Standard comuni di sicurezza informatica
La Direttiva introduce requisiti standardizzati per tutti gli Stati membri, il che assicura una coerenza nelle pratiche di cybersecurity a livello europeo. Le aziende saranno tenute ad adottare politiche di gestione del rischio più robuste, implementando tecnologie avanzate di monitoraggio e protezione delle loro reti e sistemi informativi. Questo comporta anche la necessità di un maggiore controllo sulle forniture IT e di garantire che anche i partner siano conformi ai requisiti di sicurezza.

Maggiore responsabilità e sanzioni
Uno degli aspetti centrali della NIS 2 è l’introduzione di sanzioni severe per le aziende che non rispettano le nuove normative. Le sanzioni finanziarie possono arrivare fino al 2% del fatturato annuo dell’azienda, con l’obbligo di segnalare gli incidenti di sicurezza rilevanti alle autorità competenti entro un breve periodo di tempo. Ciò incentiva le imprese a investire in soluzioni di cybersecurity adeguate per evitare rischi finanziari e di reputazione.

Ruolo dei CSIRT
La Direttiva prevede che ogni Stato membro designi team di risposta agli incidenti di sicurezza informatica (CSIRT), che avranno il compito di monitorare, prevenire e rispondere agli attacchi cyber in maniera coordinata. Questi team lavoreranno a livello nazionale ed europeo per garantire una reazione tempestiva alle minacce informatiche emergenti, contribuendo a un sistema di sicurezza più solido e collaborativo.

COSA CHIEDE LA NIS 2?
La NIS 2 richiede un approccio multirischio per proteggere i sistemi informativi e di rete, includendo:

• Politiche di analisi dei rischi: implementazione di politiche per analizzare e gestire i rischi informatici.
• Gestione degli incidenti: procedure e strumenti per notificare e gestire gli incidenti di sicurezza.
• Continuità Operativa: gestione dei backup, ripristino in caso di disastro e gestione delle crisi.
• Sicurezza della Catena di Approvvigionamento: misure di sicurezza per i rapporti con fornitori e servizi.
• Sicurezza nello Sviluppo e Manutenzione: gestione delle vulnerabilità e sicurezza nello sviluppo dei sistemi.
• Valutazione dell’Efficacia delle Misure: politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi.
• Formazione e Igiene di Base: pratiche di formazione e igiene informatica.
• Uso della Crittografia: politiche relative all’uso della crittografia.
• Sicurezza e Affidabilità del Personale: politiche di controllo dell’accesso e gestione degli asset.

L’ IMPORTANZA DELLA SUPPLY CHAIN
Un aspetto cruciale della NIS 2 è l’attenzione alla sicurezza della supply chain. Le aziende devono garantire che anche i loro fornitori e partner rispettino gli stessi standard di sicurezza. Questo include:

• Valutazione delle vulnerabilità: identificazione delle vulnerabilità specifiche per ogni fornitore e servizio.
• Qualità delle pratiche di sicurezza: verifica delle pratiche di sicurezza informatica dei fornitori, comprese le loro procedure di sviluppo sicuro.
• Gestione dei rischi della supply chain: implementazione di misure adeguate per mitigare i rischi associati alla supply chain.

ADEGUAMENTO DELLA SUPPLY CHAIN
È fondamentale sottolineare che anche i membri della supply chain devono adeguarsi alla Direttiva NIS 2. Ogni fornitore e partner deve implementare le misure di sicurezza richieste per garantire la protezione dei dati e dei sistemi informativi. Questo non solo protegge l’azienda principale, ma anche l’intera rete di fornitori e servizi, creando un ambiente sicuro e resiliente.

STRUTTURA DEL RATING DI SICUREZZA INFORMATICA
Secondo Gartner, entro il 2022 i rating di sicurezza informatica diventeranno cruciali quanto i rating di credito. Il National Institute of Standards and Technology (NIST) ha sviluppato un framework di cybersecurity che fornisce un linguaggio comune per comprendere e gestire il rischio informatico. Questo framework è diviso in sei funzioni principali:

1. Governance
2. Identificazione
3. Protezione
4. Rilevamento
5. Risposta
6. Recupero

Ogni funzione è ulteriormente suddivisa in categorie e subcategorie, con un totale di 106 controlli. Ogni controllo è valutato su una scala di implementazione da TIER 0 (non attuato) a TIER 4 (adaptive).

Cosa fare per adeguarsi
Per le aziende, adeguarsi alla NIS 2 richiede una strategia strutturata che comprenda vari aspetti chiave:

• Valutazione del rischio: è fondamentale che le imprese effettuino una valutazione approfondita dei propri rischi informatici, identificando le vulnerabilità più critiche.
• Formazione e sensibilizzazione: tutti i dipendenti devono essere formati sui rischi della cybersecurity e sulle misure da adottare per proteggere i dati aziendali.
• Soluzioni tecnologiche avanzate: investire in tecnologie di monitoraggio continuo, firewall, crittografia e sistemi di risposta agli incidenti per prevenire e mitigare gli attacchi.
• Collaborazione con partner: le aziende devono assicurarsi che i loro fornitori e partner rispettino anch’essi gli standard di sicurezza richiesti dalla NIS 2.

Sanzioni​
I soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.​
Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.​

La Direttiva NIS 2 segna un importante passo avanti nella creazione di un’Europa più sicura dal punto di vista informatico.
Adeguarsi non significa solo rispettare una normativa, ma investire in sicurezza e protezione per garantire la continuità aziendale in un mondo sempre più digitale e connesso.