NIS2, cos'è, come funziona, obblighi per le imprese e come prepararsi

La direttiva NIS2 dell'Unione Europea ridefinisce la cybersecurity, imponendo nuovi obblighi alle organizzazioni per migliorare la sicurezza informatica. Scopri i dettagli e come prepararti.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

La direttiva NIS2 è un'importante normativa europea sulla cybersecurity, che impone obblighi e adempimenti alle aziende. Come tutte le regole a cui bisogna adeguarsi, è una nuova difficoltà da gestire ma anche un’eccellente occasione per rinnovarsi. 

Nelle prossime righe vedremo i requisiti principali, le tempistiche di attuazione e le categorie di organizzazioni coinvolte. Inoltre, verranno esaminati i punti di intersezione con il regolamento DORA e lo standard ISO 27001, fornendo indicazioni su come le aziende possono prepararsi per conformarsi alla direttiva.

NIS2: Cos'è e perché è importante

La direttiva NIS2 (Network and Information Security Directive 2) rappresenta un aggiornamento significativo alla normativa sulla sicurezza delle reti e delle informazioni nell'Unione Europea. Questa normativa, entrata in vigore il 16 gennaio 2023, amplia e rafforza il quadro legale precedente, con l'obiettivo di armonizzare le misure di sicurezza informatica tra gli Stati membri e di proteggere le infrastrutture critiche da minacce sempre più sofisticate.

NIS2 si applica a una vasta gamma di settori, tra cui l'energia, i trasporti, la sanità, le telecomunicazioni e i servizi digitali. L'importanza della direttiva risiede nella sua capacità di standardizzare la risposta a incidenti informatici e nella sua enfasi sulla resilienza operativa. L'obiettivo è ridurre i rischi associati alla crescente digitalizzazione delle infrastrutture essenziali e garantire che le organizzazioni adottino un approccio proattivo alla cybersecurity (Yogosha).

L'impatto della direttiva NIS2 sulle aziende è significativo, poiché introduce nuovi obblighi e requisiti di sicurezza informatica che molte organizzazioni dovranno soddisfare per rimanere conformi. Tutte le aziende dovranno quindi attivarsi per mettersi in regola con NIS2, creando procedure e dotandosi di nuovi sistemi. E questo significa anche che molti fornitori avranno l’occasione di entrare in un nuovo mercato - potenzialmente molto grande. 

Tempistiche di attuazione della NIS2

Il Consiglio dell'Unione Europea ha fissato il 17 ottobre 2024 come data entro cui gli Stati membri devono recepire la direttiva NIS2 nei rispettivi ordinamenti nazionali. Questo termine rappresenta una scadenza critica, poiché da quel momento tutte le organizzazioni soggette alla direttiva avranno l'obbligo di conformarsi ai nuovi requisiti normativi. L’obbligo di conformità non sarà immediato, ma dovrà essere raggiunto entro tempi prestabiliti, con il 17 aprile 2025 come data chiave per la registrazione delle "entità essenziali" e "importanti" presso le autorità competenti.

L'obiettivo è ridurre i rischi associati alla crescente digitalizzazione delle infrastrutture essenziali

Questa tempistica impone un senso di urgenza per le aziende, che devono agire rapidamente per valutare il loro stato di preparazione e sviluppare piani di conformità. Le imprese devono considerare l'adeguamento ai requisiti della NIS2 come una priorità strategica, poiché il mancato rispetto delle scadenze potrebbe comportare sanzioni significative, che vanno da multe fino al 2% del fatturato annuo globale per le entità essenziali.

123RF/designsells
Immagine id 30693

La necessità di conformarsi entro una scadenza così ravvicinata potrebbe mettere sotto pressione le risorse aziendali, richiedendo investimenti significativi in termini di tempo, personale e tecnologia. Le organizzazioni dovranno rivedere e aggiornare i propri sistemi di sicurezza, implementare nuove misure di governance, e formare il personale su nuovi protocolli di sicurezza. Questo può comportare costi considerevoli, soprattutto per le aziende che non hanno ancora sviluppato un'infrastruttura di cybersecurity robusta.

Inoltre, le tempistiche della NIS2 impongono alle aziende di coordinarsi strettamente con i loro partner e fornitori per garantire che l'intera catena di approvvigionamento sia conforme. Questa necessità di collaborazione aggiunge un ulteriore livello di complessità alla conformità, poiché le aziende dovranno monitorare non solo le proprie operazioni ma anche quelle dei loro partner.

Cosa prevede la NIS2

La direttiva NIS2 introduce una serie di obblighi rigorosi per le organizzazioni che operano in settori considerati critici o importanti per la sicurezza delle reti e delle informazioni. Questi obblighi mirano a rafforzare la capacità delle aziende di prevenire, gestire e mitigare i rischi informatici. Le misure previste dalla NIS2 sono ampie e coprono diversi aspetti della cybersecurity e della gestione operativa.

Misure tecniche e organizzative

Le aziende devono adottare un insieme di misure tecniche e organizzative per gestire i rischi informatici, garantendo che i loro sistemi siano protetti contro potenziali attacchi. Queste misure includono:

  • Politiche di Sicurezza delle Informazioni: Le organizzazioni devono sviluppare e implementare politiche di sicurezza che coprano l'intero ciclo di vita delle informazioni, dalla raccolta alla conservazione, fino alla distruzione. Queste politiche devono essere riviste e aggiornate regolarmente per rispondere alle nuove minacce.
  • Piani di Gestione degli Incidenti: Le aziende devono disporre di piani dettagliati per la gestione degli incidenti informatici, inclusa la capacità di rilevare, rispondere e recuperare da tali incidenti. Questi piani devono includere protocolli per la segnalazione rapida degli incidenti alle autorità competenti e per la comunicazione interna ed esterna.

il mancato rispetto delle scadenze potrebbe comportare sanzioni significative

  • Strategie di Continuità Operativa: È obbligatorio per le organizzazioni sviluppare piani di continuità operativa che assicurino il mantenimento dei servizi critici anche in caso di incidenti gravi. Questi piani devono prevedere misure per il ripristino rapido delle operazioni e per la minimizzazione dei tempi di inattività.
  • Sicurezza della Supply Chain: La NIS2 impone alle organizzazioni di monitorare e gestire i rischi associati ai fornitori e alle terze parti. Le aziende devono garantire che anche i loro fornitori rispettino standard di sicurezza informatica adeguati, poiché una violazione in un punto della catena di approvvigionamento potrebbe compromettere l'intera organizzazione.

Formazione e sensibilizzazione

123RF/denayunebgt
Working
Working

Un altro elemento cruciale della NIS2 è l'enfasi sulla formazione del personale. Le organizzazioni devono:

  • Formazione Continua del Personale: bisogna garantire che tutti i dipendenti, inclusi i dirigenti, ricevano una formazione continua in materia di sicurezza informatica. Questo aiuta a sviluppare una cultura aziendale attenta ai rischi e alle best practice di cybersecurity.
  • Sicurezza delle Risorse Umane: Implementare misure rigorose per la gestione sicura delle risorse umane, compresi controlli di accesso e la gestione sicura degli asset digitali. È essenziale che solo il personale autorizzato possa accedere a informazioni sensibili, riducendo così il rischio di violazioni interne.

Obblighi per le aziende

Ecco un riepilogo degli obblighi principali previsti dalla NIS2:

  • Identificazione e Gestione dei Rischi: le organizzazioni devono condurre valutazioni regolari dei rischi informatici e implementare misure per mitigare tali rischi.
  • Incident Reporting: le aziende devono segnalare tempestivamente qualsiasi incidente informatico significativo alle autorità competenti, seguendo le tempistiche stabilite dalla direttiva.
  • Testing di Sicurezza: la direttiva richiede che le organizzazioni eseguano test regolari delle loro misure di sicurezza per garantire che siano efficaci e aggiornate.
  • Compliance con le Autorità: le entità soggette alla NIS2 devono essere pronte a collaborare con le autorità competenti, rispondendo a richieste di informazioni, partecipando a verifiche e audit, e implementando eventuali misure correttive (EY US).
  • Accountability del Management: il management è direttamente responsabile della conformità alla NIS2, e può essere ritenuto personalmente responsabile in caso di negligenza grave.

La NIS2 rappresenta un quadro normativo completo e ambizioso che impone alle organizzazioni di adottare un approccio proattivo alla sicurezza informatica. Le misure tecniche e organizzative richieste, insieme all'enfasi sulla formazione del personale e sulla sicurezza della supply chain, mirano a creare un ambiente digitale più sicuro e resiliente in tutta l'Unione Europea. Per le aziende, conformarsi a questi obblighi non solo è essenziale per evitare sanzioni, ma anche per proteggere le proprie operazioni e reputazione in un contesto di minacce informatiche sempre più complesse.

A chi si applica la NIS2

il management è direttamente responsabile della conformità alla NIS2, e può essere ritenuto personalmente responsabile

La direttiva NIS2 amplia significativamente l'ambito di applicazione rispetto alla precedente NIS, includendo una gamma più ampia di settori e categorie di organizzazioni. Questo ampliamento è cruciale per rafforzare la sicurezza informatica a livello europeo, coprendo non solo le infrastrutture critiche, ma anche settori e servizi che, se compromessi, potrebbero avere un impatto significativo sul funzionamento socioeconomico dell'Unione Europea.

Entità essenziali e importanti

La NIS2 distingue tra due principali categorie di entità: "entità essenziali" e "entità importanti". Questa classificazione determina il livello di obblighi e la severità delle misure di conformità richieste. 

  • Entità Essenziali: queste includono settori e servizi vitali per il funzionamento della società e dell'economia europea. Tra questi settori troviamo:
    • Energia: fornitori di energia elettrica, gas e petrolio.
    • Trasporti: compagnie aeree, ferrovie, trasporti marittimi e su strada.
    • Sanità: ospedali, cliniche e strutture di assistenza sanitaria.
    • Banche: istituti finanziari e banche centrali.
    • Acqua: fornitori di acqua potabile e sistemi di gestione delle acque reflue.

Le entità essenziali sono soggette a regole più severe, con obblighi di segnalazione più rigorosi e sanzioni più elevate in caso di non conformità.

  • Entità Importanti: Questa categoria include entità che, sebbene non siano considerate vitali quanto quelle essenziali, svolgono comunque un ruolo significativo nell'economia e nella società. Esempi di entità importanti sono:
    • Fornitori di Servizi Digitali: come piattaforme di cloud computing, motori di ricerca e marketplace online.
    • Servizi Postali: operatori postali e di logistica.
    • Industrie Manifatturiere: settori che producono beni critici, come farmaceutici e alimentari

Ulteriori dettagli su questa distinzione si possono trovare nei documenti NIS2 allegato 1 e nel NIS2 allegato 2 della normativa. 

Una delle principali innovazioni della NIS2 rispetto alla sua versione precedente è l'eliminazione della distinzione tra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (DSP). Questa distinzione era stata introdotta dalla direttiva NIS originale, ma si è rivelata inadeguata a coprire la complessità e l'interconnessione dei settori attuali. La NIS2 supera questa suddivisione, estendendo gli obblighi di conformità a una gamma più ampia di organizzazioni e settori, garantendo che le misure di sicurezza siano applicate in modo più uniforme e completo.

Inclusione delle PMI

123RF/bilahstudio
Lavoro IT
Lavoro IT

Sebbene la NIS2 sia principalmente rivolta a medie e grandi imprese, ci sono eccezioni che includono anche le piccole e medie imprese (PMI), in particolare quando queste operano in settori considerati critici o quando la loro attività può avere un impatto significativo sulla sicurezza nazionale o europea. Ad esempio, fornitori di servizi di comunicazione pubblica, DNS, e le amministrazioni pubbliche a livello centrale o regionale possono essere incluse indipendentemente dalle dimensioni dell'azienda.

Le politiche di igiene digitale, come l'uso della crittografia e l'autenticazione multifattore, devono essere implementate e rispettate rigorosamente​

Come prepararsi alla NIS2

Prepararsi alla NIS2 richiede un approccio strategico, iniziando con una valutazione approfondita dei rischi informatici specifici per l'organizzazione. Le aziende devono identificare le vulnerabilità nei propri sistemi e implementare misure di mitigazione adeguate. Un elemento chiave è stabilire un solido quadro di governance, definendo chiaramente ruoli e responsabilità per la gestione della sicurezza informatica. Questo include la nomina di un Chief Information Security Officer (CISO) e l'adozione di politiche di sicurezza approvate a livello dirigenziale.

La formazione continua del personale è essenziale per garantire che tutti i dipendenti comprendano i rischi e le best practice in ambito di cybersecurity. Le politiche di igiene digitale, come l'uso della crittografia e l'autenticazione multifattore, devono essere implementate e rispettate rigorosamente.

Un piano di cybersecurity completo è necessario per integrare la sicurezza in tutte le operazioni aziendali. Questo piano dovrebbe includere strategie per la protezione dei dati, la gestione degli incidenti e la continuità operativa. È inoltre cruciale collaborare con fornitori e partner per garantire che anche la catena di approvvigionamento sia conforme agli standard di sicurezza della NIS2.

Tutte azioni che, nella maggior parte dei casi, richiedono l’intervento di un partner esterno che porti in azienda le necessarie competenze. 

Data la complessità e l'estensione dei requisiti della NIS2, infatti, molte aziende potrebbero non disporre delle risorse interne necessarie per soddisfare tutti gli obblighi. Coinvolgere un partner esterno specializzato in cybersecurity può essere una scelta strategica. Un consulente esterno può fornire l'esperienza necessaria per condurre una valutazione dei rischi approfondita, sviluppare piani di conformità personalizzati e garantire che tutte le misure tecniche e organizzative siano implementate correttamente. Inoltre, un partner esperto può offrire formazione specifica e supporto continuo per mantenere la conformità nel tempo, alleviando il carico sulle risorse interne dell'azienda

NIS2 e DORA: intersezioni e influenze reciproche

La direttiva NIS2 e il regolamento DORA (Digital Operational Resilience Act) sono entrambe normative europee concepite per rafforzare la sicurezza informatica, ma si concentrano su ambiti differenti. Mentre la NIS2 si rivolge a una vasta gamma di settori critici che comprendono energia, sanità, trasporti e servizi digitali, il DORA è specificamente mirato al settore finanziario e alle infrastrutture operative digitali che supportano questo settore.

I requisiti del DORA sono particolarmente stringenti in termini di gestione del rischio ICT (Information and Communication Technology) e richiedono alle entità finanziarie di implementare test di resilienza rigorosi, incluse simulazioni di attacchi informatici e verifiche delle capacità di recupero post-incidente. Questi requisiti sono destinati a garantire che le banche, le assicurazioni e altre istituzioni finanziarie possano continuare a operare in sicurezza anche in caso di attacchi su larga scala.

123RF7designsells
Working
Working

Le organizzazioni che operano nel settore finanziario - e per estensione tutto il mondo fintech - , o che sono strettamente connesse con esso, devono quindi considerare entrambi i regolamenti. Dovranno integrare i requisiti di NIS2 con quelli di DORA per garantire una copertura completa e una conformità totale. In particolare, le istituzioni finanziarie dovranno bilanciare gli obblighi più ampi di NIS2 con le richieste specifiche e dettagliate del DORA, assicurandosi che i loro sistemi non solo siano protetti, ma anche resilienti e pronti a resistere e riprendersi da eventuali incidenti.

NIS2 e ISO 27001: convergenze e differenze

La NIS2 e lo standard ISO 27001 condividono diversi principi fondamentali in materia di sicurezza informatica, come l'importanza della gestione del rischio, la protezione delle informazioni e l'implementazione di controlli di sicurezza efficaci. Tuttavia, ci sono anche differenze sostanziali tra i due, che riflettono i loro diversi scopi e applicazioni.

La direttiva NIS2 avrà un impatto profondo su molte aziende in Europa, forzando cambiamenti significativi nella gestione della cybersecurity.

Entrambi i framework mettono al centro la gestione del rischio informatico e la necessità di adottare misure preventive per proteggere le informazioni sensibili. L'ISO 27001, essendo uno standard internazionale volontario, offre un quadro di riferimento ampio e flessibile per la gestione della sicurezza delle informazioni. Esso si basa sul ciclo PDCA (Plan-Do-Check-Act), che guida le organizzazioni nell'implementazione, monitoraggio, revisione e miglioramento continuo delle misure di sicurezza.

La NIS2, pur essendo una normativa obbligatoria, riflette molte delle best practice delineate nell'ISO 27001. Ad esempio, la direttiva richiede alle organizzazioni di identificare e gestire i rischi informatici in modo sistematico, di adottare misure di protezione delle informazioni e di garantire la continuità operativa. Le aziende che hanno già implementato l'ISO 27001 avranno quindi una base solida per adeguarsi ai requisiti della NIS2, poiché molti controlli di sicurezza richiesti dalla direttiva sono già previsti dallo standard.

Le principali differenze tra la NIS2 e l'ISO 27001 risiedono nel loro carattere e ambito di applicazione. Mentre l'ISO 27001 è uno standard volontario che può essere adottato da qualsiasi organizzazione a livello globale, la NIS2 è una normativa obbligatoria che si applica specificamente alle organizzazioni operanti in settori critici all'interno dell'Unione Europea. La conformità alla NIS2 non è facoltativa e comporta l'adozione di misure specifiche imposte dalla direttiva.

Un'altra differenza significativa riguarda la gestione degli incidenti e la segnalazione. La NIS2 impone obblighi rigorosi per la segnalazione tempestiva degli incidenti informatici alle autorità competenti, una pratica che non è esplicitamente richiesta dall'ISO 27001. Inoltre, la NIS2 pone un'enfasi particolare sulla sicurezza della supply chain, richiedendo alle organizzazioni di garantire che anche i loro fornitori adottino misure di sicurezza adeguate. Questo aspetto non è trattato con la stessa specificità nell'ISO 27001.

Le aziende che hanno già implementato l'ISO 27001 avranno un vantaggio competitivo nell'adeguarsi alla NIS2, poiché molti dei requisiti sono simili. Tuttavia, dovranno comunque effettuare un'analisi dettagliata per assicurarsi che tutti i requisiti specifici della NIS2 siano soddisfatti, soprattutto quelli relativi alla segnalazione degli incidenti e alla gestione della supply chain. La conformità alla NIS2 richiederà quindi un'integrazione e un adattamento delle pratiche esistenti, piuttosto che una semplice applicazione delle politiche ISO 27001.

Impatto sulle aziende

La direttiva NIS2 avrà un impatto profondo su molte aziende in Europa, forzando cambiamenti significativi nella gestione della cybersecurity. Le aziende dovranno adottare misure tecniche e organizzative più avanzate per proteggere le loro infrastrutture digitali. Ciò include l'implementazione di controlli di sicurezza come la cifratura, l'autenticazione multifattore e una gestione accurata delle vulnerabilità. Inoltre, le organizzazioni dovranno sviluppare procedure dettagliate per la gestione degli incidenti, con l'obbligo di segnalare tempestivamente qualsiasi incidente significativo alle autorità competenti.

123RF/pchvector
Security
Security

Un altro aspetto critico riguarda la gestione della supply chain. Le aziende non saranno responsabili solo della propria sicurezza, ma dovranno anche assicurarsi che i loro fornitori adottino standard di cybersecurity adeguati. Questo richiede un monitoraggio continuo e, spesso, la rinegoziazione dei contratti con i fornitori per includere clausole di sicurezza informatica più stringenti.

La NIS2 pone inoltre un forte accento sulla formazione e sensibilizzazione del personale. Non solo i dipendenti, ma anche i dirigenti dovranno ricevere formazione continua sulla sicurezza informatica. Questo è fondamentale per creare una cultura aziendale che sia realmente consapevole dei rischi e delle pratiche necessarie per mitigarli.

bisogna garantire che tutti i dipendenti, inclusi i dirigenti, ricevano una formazione continua

Un cambiamento significativo rispetto alla normativa precedente è la responsabilizzazione diretta del management. I dirigenti aziendali saranno ora tenuti a garantire la conformità alle normative e potrebbero essere ritenuti personalmente responsabili in caso di negligenza. Questo significa che la cybersecurity diventa una priorità a livello dirigenziale.

Infine, le aziende dovranno affrontare sanzioni severe in caso di non conformità. Le multe possono essere estremamente elevate, fino a 10 milioni di euro o al 2% del fatturato annuo per le entità essenziali. Questo rende imperativo per le aziende non solo adottare misure di sicurezza, ma anche assicurarsi che siano continuamente aggiornate e monitorate. La registrazione presso le autorità nazionali competenti e il rispetto dei requisiti di business continuity e resilienza operativa saranno essenziali per evitare tali sanzioni.

L'implementazione dei requisiti della NIS2 comporterà un aumento significativo dei costi per le aziende. Questo include l'acquisto di nuove tecnologie di sicurezza, l'aggiornamento delle infrastrutture IT, la formazione continua del personale e l'eventuale assunzione di nuovi esperti in cybersecurity. Inoltre, anche i costi operativi aumenteranno per mantenere la conformità nel tempo, specialmente per quanto riguarda la gestione della supply chain e le verifiche di conformità regolari. Le piccole e medie imprese potrebbero essere particolarmente colpite, dovendo allocare risorse significative per adeguarsi ai nuovi standard, con il rischio di ridurre gli investimenti in altre aree strategiche. Ma, almeno per il momento, molte PMI non rientrano nelle categorie oggetto di NIS2. 

Mentre l'implementazione della NIS2 rappresenta una sfida per molte aziende, offre anche una grande opportunità per le aziende che forniscono servizi di consulenza in cybersecurity. Con l'aumento della domanda di supporto per la conformità alla NIS2, le aziende di consulenza possono espandere la loro offerta di servizi, fornendo valutazioni del rischio, supporto nella gestione della sicurezza delle informazioni, e soluzioni per la continuità operativa. Inoltre, le aziende di consulenza possono assistere le imprese nel navigare tra le complessità normative e nell'integrare i requisiti della NIS2 con altri standard internazionali come l'ISO 27001. Questo contesto di crescente domanda rappresenta un'opportunità di crescita significativa per il settore della consulenza in sicurezza informatica.

 

Leggi altri articoli