La Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio, nota come Direttiva NIS 2, rappresenta un passo significativo nella sicurezza delle reti e delle informazioni. Abrogando la precedente Direttiva UE 2016/1148, introduce nuove normative e obblighi rilevanti per i soggetti “essenziali” e “importanti” interessati.

Nello specifico, questo nuovo quadro normativo si propone di creare una strategia di cyber sicurezza comune a tutti gli stati membri, con l’obiettivo di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area dell’Unione Europea.

Poiché si tratta di una direttiva e non di un regolamento come il GDPR, è richiesto che tutti gli Stati Membri la recepiscano entro un determinato periodo di tempo. Nel caso specifico, entro il 17 ottobre 2024, devono sviluppare piani nazionali per la sicurezza e costituire team specializzati per attuare la direttiva.

Le misure di gestione dei rischi di cyber security

In particolare, l’articolo 21 della NIS 2 definisce al paragrafo 1 le linee guida per la gestione dei rischi legati alla sicurezza informatica, delineando una serie di azioni tecniche, operative e organizzative. Queste misure sono attentamente selezionate per essere adeguate e proporzionate, con l’obiettivo di affrontare in modo efficace i potenziali rischi per la sicurezza dei sistemi e delle reti informatiche.

I soggetti “essenziali” e “importanti” dovranno implementare tali misure, integrandole sia nelle loro attività quotidiane che nella fornitura dei servizi.

L’obiettivo primario è quello di prevenire o, quantomeno, ridurre al minimo l’impatto di eventuali incidenti sia sui destinatari diretti dei servizi che su altri servizi correlati.

NIS 2: l’approccio multirischio

Sempre al punto 1 dell’art.21, la Direttiva NIS 2 ci spinge a riflettere su cosa significhi veramente adottare un approccio multirischio. Questo specifico approcciomira a garantire che i soggetti “essenziali” e “importanti” siano preparati ad affrontare un panorama di minacce in continua evoluzione, assicurando così la protezione delle infrastrutture critiche e dei servizi essenziali nell’Unione Europea.

Andare oltre la mera difesa contro gli attacchi cyber di natura tecnica è l’obiettivo.

Si tratta quindi di una visione più ampia che considera l’analisi di alcuni aspetti specifici:

1. Valutazione completa dei rischi
2. Non solo rischi digitali, ma anche legati alle persone, fisici e ambientali
3. Gestione risorse umane e processi interni
4. Gestione della catena di approvvigionamento
5. Preparazione e risposta agli incidenti
6. Adattabilità e resilienza
7. Cooperazione e condivisione delle informazioni

Misure di sicurezza specifiche

Per quanto concerne le misure di sicurezza specifiche, come delineato nell’articolo 21, paragrafo 2, i soggetti inclusi nel perimetro della direttiva devono attuare una serie di politiche e procedure cruciali e comprendono almeno gli elementi seguenti:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. gestione degli incidenti;
3. continuità operativa, gestione del backup ripristino in caso di evento disastroso;
4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
7. best practice di igiene informatica di base e formazione in materia di sicurezza informatica;
8. policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudonimizzazione;
9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

È importante sottolineare che la Commissione europea potrà stabilire requisiti tecnici e metodologici specifici per tali misure, considerando le diversità tra settori, come ad esempio il settore bancario rispetto a quello alimentare.

È interessante notare come le misure sopra riportate trovano riscontro nei vari framework legati alla sicurezza delle informazioni come la ISO 27001 e sue collegate ISO 270xx o il framework del NIST.

Incident Plan: un piano per la gestione degli incidenti

Delineato questo nuovo contesto normativo, risulta di fondamentale importanza per i soggetti interessati la creazione di un Incident Plan.

Infatti, la normativa prevede che, in caso di incidente significativo, si debba rispettare un iter di notifica alle autorità competenti organizzato in più fasi, il quale iter prevede la trasmissione di:

1. un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
2. una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
3. una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.

Inoltre, l’Incident Plan dovrebbe prevedere anche le seguenti misure organizzative:

1. nomina di un responsabile della sicurezza informatica;
2. definizione dei ruoli e delle responsabilità del personale coinvolto nella gestione degli incidenti;
3. definizione delle procedure da seguire in caso di Incident.

Conclusioni

Possiamo dire che adeguarsi alla nuova direttiva NIS 2 non serve solo a mettersi a norma, bensì rappresenta l’occasione per introdurre in azienda una cultura della cyber sicurezza nonché best practice tecniche e organizzative che possono alzare di molto il livello della sicurezza informatica.

A ogni modo, per tutti i soggetti interessati è importante cominciare a predisporre fin da subito un piano di adeguamento al fine di rispondere e uniformare per gradi i vari asset aziendali e formare il personale con opportuni cicli formativi periodici.

Le attività da mettere in campo si dividono su tre livelli:

1. Definire un impianto documentale che sia in grado di dimostrare, con evidenze reali, la creazione di una strategia di cybersicurezza aziendale e dell’analisi e risposta ai vari punti richiesti;
2. Implementare il piano nel tempo per raggiungere obiettivi di sicurezza misurabili e sempre incrementali;

Implementare attività formative di corredo ed istituire un organigramma della sicurezza con funzioni interne/esterne ben definite.