Esaminiamo NIS2: Modifiche, requisiti e preparazione

Che cos'è NIS2?

NIS2 è la seconda versione della Direttiva sulle reti e sui sistemi informativi. Questa storica legislazione sulla sicurezza informatica mira a stabilire un livello più elevato di resilienza informatica all'interno delle organizzazioni di tutta l'Unione europea (UE), in particolare degli operatori di infrastrutture critiche e di servizi essenziali.

In particolare, il nome corretto della legislazione è “NIS2”. Tuttavia, nei documenti ufficiali potresti vedere riferimenti alla “conformità NIS2” o alla “Direttiva NIS2”. Entrambi sono accettabili, ma la prima denominazione è quella pubblicata nella Gazzetta Ufficiale dell’Unione Europea.

Essendo un regolamento a livello UE, ogni Stato membro deve recepire la direttiva NIS nella rispettiva legislazione nazionale entro il 17 ottobre 2024: a quel punto, tutte le entità interessate saranno legalmente obbligate a conformarsi ai suoi requisiti di sicurezza. Più semplicemente, ciò significa che tutte le nazioni della UE dovranno rendere il regolamento legalmente vincolante, in modo da poterlo applicare nei rispettivi paesi.

A livello nazionale, NIS2 mira a rafforzare la sicurezza informatica complessiva nei seguenti modi:

1. A ogni Stato membro dell’UE si richiede di essere preparato per un’eventuale minaccia informatica con un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi.
2. Si deve aumentare la collaborazione tra gli Stati membri creando un gruppo di cooperazione per lo scambio di informazioni. 
3. Si deve promuovere una cultura della cybersicurezza nei settori delle infrastrutture critiche che si affidano pesantemente sulle tecnologie dell’informazione e della comunicazione (TIC).

In breve, NIS2 è progettato per garantire che le entità pertinenti in tutta la UE siano pronte a mitigare le minacce con adeguate misure di sicurezza, intelligence sulle minacce e pratiche ottimali.

Perché NIS2 è importante? 

NIS2 rappresenta un netto miglioramento rispetto alla direttiva NIS originale. Da un punto di vista storico, la NIS1 è stata la prima legislazione europea in materia di sicurezza informatica e mirava anche a migliorare la resilienza informatica in tutta la regione. 

Sebbene sia riuscita a innescare un cambiamento di mentalità e a migliorare la protezione dei dati, ha comunque dovuto affrontare delle sfide. Subito dopo l’implementazione, ci sono stati diversi livelli di adozione in tutta l’Unione Europea. Alcune aziende erano considerate essenziali in alcuni paesi, ma non in altri. Queste incoerenze hanno dato luogo a un panorama di conformità confuso e frammentato. 

Allo stesso tempo, dal 2016 il contesto di rischio si è notevolmente evoluto. A livello globale, la criminalità informatica sta crescendo così rapidamente che, se fosse misurata come paese, sarebbe la terza economia più grande del mondo. Nuovi e sempre più sofisticati vettori di attacco stanno mettendo a dura prova le organizzazioni in modi mai visti prima, incluso l'uso dell'intelligenza artificiale (AI). 

Le truffe di phishing basate sull’intelligenza artificiale, ad esempio, stanno imparando come ingannare utenti ignari e rubare facilmente le loro credenziali di accesso. Inoltre, con l’avvento dell’informatica quantistica, è solo questione di tempo prima che gli hacker riescano a decrittografare molti degli algoritmi crittografici attualmente in uso. 

Naturalmente, la geopolitica non fa altro che aumentare la complessità. La guerra russo-ucraina ha dato origine ad attacchi informatici ispirati politicamente e sponsorizzati dallo stato. Secondo l'Agenzia dell'Unione europea per la sicurezza informatica (ENISA), nel 2022 la stragrande maggioranza di questi attacchi ha preso di mira la pubblica amministrazione e i governi, i fornitori di servizi digitali e le infrastrutture critiche. 

Considerati questi problemi, la Commissione Europea ha deciso di rivedere la Direttiva NIS. La seconda versione non solo affronta l’implementazione unificata, ma alza anche il livello della resilienza informatica, in linea con il mutevole panorama delle minacce informatiche.

Modifiche principali: NIS2 rispetto alla Direttiva NIS originaria

La direttiva NIS aggiornata corregge le carenze della versione precedente e ne aumenta significativamente le dimensioni e la portata. Nello specifico, rispetto a NIS 1, questa:

• Amplia il campo di applicazione in modo da includere più settori
• Impone sanzioni più severe in caso di inadempienza
• Impone requisiti di sicurezza informatica più rigorosi

Diamo uno sguardo più da vicino alle principali differenze tra la prima e la seconda direttiva NIS.

Ambito ampliato

La Direttiva NIS originale si applicava agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP). Ora questa distinzione non esiste più. 

Le entità rilevanti sono invece classificate per dimensioni e tipologia. In generale, NIS2 ha un impatto su tutte le organizzazioni che forniscono “servizi essenziali o importanti” nell’Unione Europea. Ciò aumenta il numero dei settori coperti da sette a 15, proteggendo quindi gli aspetti più vitali della società nella UE.

Un'entità essenziale è classificata come una grande azienda che opera in un settore critico, come quelli visti di seguito. In questo caso si definisce grande impresa quella con almeno 250 dipendenti, un fatturato annuo di almeno 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro. Secondo NIS2, i servizi essenziali includono:

• Energia
• Trasporti
• Finanza
• Pubblica amministrazione
• Sanità
• Spazio
• Approvvigionamento idrico (acqua potabile e acque reflue)
• Infrastruttura digitale

Un’entità importante, invece, è un’impresa di medie dimensioni che opera in settori ad alta criticità che non rientrano nella categoria dei servizi essenziali. Queste organizzazioni hanno tipicamente almeno 50 dipendenti, un fatturato annuo di almeno 10 milioni di euro o un bilancio di 10 milioni di euro. In base a NIS2, le entità importanti includono:

• Servizi postali
• Gestione dei rifiuti
• Prodotti chimici
• Ricerca
• Alimenti
• Produzione
• Fornitori di servizi digitali

Alcuni dei settori sopra menzionati potrebbero sovrapporsi, come le infrastrutture digitali e i fornitori di servizi digitali. Il primo si riferisce a servizi cloud, operatori di telecomunicazioni, data center, servizi fiduciari e così via. In breve, comprende qualsiasi entità che fornisca un servizio digitale fondamentale per la struttura portante della società.

I fornitori digitali includono servizi più specifici, come motori di ricerca, mercati online e social network. Sono parte integrante del modo in cui le persone comunicano e effettuano transazioni, ma potrebbero non avere implicazioni drammatiche se un incidente informatico li rende inutilizzabili.

Che dire degli operatori con sede al di fuori della UE? Ai sensi dell'articolo 26 di NIS2, le entità essenziali e importanti sono considerate soggette alla giurisdizione dello Stato membro della UE in cui forniscono i propri servizi. Se l'entità fornisce servizi in più di Stati membri, dovrebbe rientrare rispettivamente nella giurisdizione di ciascuno di essi.

Maggiore non conformità

NIS2 stabilisce sanzioni molto più severe per la non conformità, tra cui:

1. Sanzioni non pecuniarie

NIS2 conferisce alle autorità nazionali di vigilanza il potere di imporre:

• Ordinanze di conformità
• Istruzioni vincolanti
• Controlli di sicurezza
• Ordini di notifica di minacce

2. Sanzioni amministrative

Le sanzioni esatte possono variare a seconda dello Stato membro, ma la direttiva NIS stabilisce un elenco di sanzioni minime. 

• Per le entità essenziali, lo Stato membro deve prevedere una sanzione massima di almeno 10.000.000 di euro o il 2% del fatturato annuo globale, a seconda del valore più elevato.
• Se un’entità importante viola la Direttiva, lo Stato membro deve pagare una sanzione massima pari ad almeno 7.000.000 di euro o all’1,4% del fatturato annuo globale, a seconda del valore più elevato.

3. Sanzioni penali contro gli organi amministrativi

Invece di esercitare tutta la pressione sulla conformità NIS2 dei dipartimenti IT, la Direttiva prevede nuove sanzioni per ritenere gli organi di alta dirigenza personalmente responsabili per negligenze gravi nel caso di incidenti relativi alla sicurezza informatica. Ad esempio, un'autorità competente può vietare temporaneamente ai dirigenti di ricoprire posizioni dirigenziali. Può anche ordinare alle organizzazioni di rivelare le violazioni della conformità e di rilasciare una dichiarazione pubblica identificando la persona o le persone responsabili dell'incidente.

Requisiti più severi

Infine, NIS2 aumenta notevolmente i requisiti di sicurezza informatica per le entità rilevanti. In generale, impone la segnalazione tempestiva degli incidenti, una gestione più ampia del rischio e una serie di misure minime di sicurezza.

Che cosa significa tutto questo? Esaminiamo più a fondo i requisiti esatti di NIS2.

Requisiti di sicurezza di NIS2

La nuova direttiva rafforza la resilienza informatica introducendo obblighi in quattro ambiti:

Gestione del rischio

Le organizzazioni devono adottare misure di gestione del rischio per la sicurezza informatica, per ridurre al minimo la probabilità e l’impatto di diversi vettori di minacce informatiche. Più specificamente, devono implementare precauzioni tecniche, operative e organizzative per mitigare i rischi che incidono sulla rete e sui sistemi informativi, migliorando quindi la protezione dei dati. Questi possono includere procedure di gestione degli incidenti, una maggiore sicurezza della catena di fornitura, sistemi di controllo degli accessi e crittografia.

Governance d'impresa

Gli organi di gestione sono responsabili della supervisione e dell'approvazione dei protocolli di gestione dei rischi di sicurezza informatica delle rispettive organizzazioni e devono garantire che siano implementati in modo efficace.

Secondo l'Articolo 20, gli Stati membri dovrebbero "garantire che i membri degli organi direttivi delle entità essenziali e importanti siano tenuti a seguire un corso di formazione" e dovrebbero incoraggiarli a offrire costantemente programmi di formazione simili ai propri dipendenti. L’obiettivo è consentire a tutti i membri di una determinata organizzazione di identificare i rischi e ridurre al minimo l’esposizione, al meglio delle proprie capacità.

Segnalazione di incidenti

Le entità critiche devono stabilire procedure per segnalare tempestivamente gli incidenti di sicurezza che influiscono in modo significativo sulla fornitura dei servizi e/o sugli utenti. NIS2 classifica un incidente di sicurezza “significativo” come quello che:

• Ha causato o può portare a gravi interruzioni operative in un settore critico
• Ha colpito o può colpire altre persone fisiche o giuridiche provocando danni ingenti

Le entità devono avvisare l’autorità competente del proprio Stato membro (compreso il CSIRT) con un preavviso entro e non oltre 24 ore dalla rilevazione dell’incidente informatico. Devono inoltre completare un rapporto completo entro e non oltre 72 ore e un rapporto finale un mese dopo la presentazione del documento iniziale.

Continuità aziendale

Il NIS2 rivisto mira a garantire la continuità aziendale dopo un attacco. Le entità sono tenute a creare una strategia credibile che descriva dettagliatamente la loro risposta e la ripresa da tali incidenti, con l’obiettivo di ridurre rapidamente al minimo le interruzioni. Di conseguenza, NIS2 enfatizza l’adozione di soluzioni di backup su cloud.

10 misure di base per la sicurezza informatica

L'Articolo 21 identifica 10 misure di sicurezza di base che le organizzazioni dovrebbero implementare per supportare le quattro aree generali. Si basano su un “approccio globale” che mira a mitigare i vettori di minaccia più probabili. Queste misure includono:

1. Politiche in materia di analisi dei rischi e di sicurezza dei sistemi informativi
2. Piani di risposta agli incidenti per la gestione delle minacce attive
3. Piani di continuità aziendale, come procedure di backup, ripristino in caso di emergenza e gestione delle crisi
4. Sicurezza della catena di fornitura, comprese le misure che affrontano il rapporto tra le aziende e i loro fornitori diretti o prestatori di servizi
5. Sicurezza nell'acquisizione, sviluppo e manutenzione di reti e sistemi informativi, inclusa la gestione e la divulgazione delle vulnerabilità
6. Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio per la sicurezza informatica
7. Formazione per la consapevolezza, l'igiene e le migliori pratiche sulla sicurezza informatica
8. Politiche sull'uso della crittografia e della cifratura
9. Procedure di controllo degli accessi, in particolare per i dipendenti con accesso a dati sensibili
10. Autenticazione multifattoriale, monitoraggio continuo e sistemi di comunicazione sicuri

NIS2 rispetto ad altre normative sulla sicurezza informatica

Oltre a NIS2, gli operatori della UE dovranno confrontarsi con numerose altre normative, tra cui:

• Legge sulla resilienza operativa digitale (DORA)
• Direttiva sulla Resilienza delle Entità Critiche (CER).
• Cyber Resilience Act (CRA)

Come si sovrappongono queste legislazioni? Analizziamo i dettagli:

NIS2 rispetto a DORA

Sia NIS2 che DORA sono normative sulla sicurezza informatica, ma i loro scopi sono leggermente diversi. DORA si concentra specificamente sul settore finanziario, mentre NIS2 copre una gamma più ampia di organizzazioni.

Secondo l’Articolo 4, paragrafi 1 e 2, della Direttiva NIS, le disposizioni DORA relative alla gestione e rendicontazione dei rischi ICT, ai test di resilienza operativa digitale, alla condivisione delle informazioni e al rischio di terze parti si applicano al posto di quelle delineate in NIS2. In altre parole, gli enti finanziari dovrebbero fare riferimento a DORA per queste aree e a NIS2 per tutti gli altri requisiti.

Il punto cruciale: DORA sostituisce NIS2 per le entità finanziarie per quanto riguarda le misure di sicurezza di cui sopra.

NIS 2 rispetto alla DIrettiva CER

La Direttiva CER si applica a entità critiche, come i fornitori di energia e di trasporti, indicando le difese contro i rischi non legati all'informatica. Sebbene NIS2 si concentri sulla sicurezza informatica, potrebbero esserci sovrapposizioni in termini di entità coperte. In questi casi, le organizzazioni dovranno garantire la conformità con entrambe le direttive, affrontando sia la resilienza informatica, sia quella fisica.

Le entità critiche dovrebbero conformarsi a NIS2 per quanto riguarda la sicurezza informatica e alla direttiva CER per gli incidenti non informatici.

NIS2 rispetto a CRA

Il Cyber Resilience Act è una proposta di legge incentrata sulla sicurezza informatica dei prodotti hardware e software con elementi digitali, come i dispositivi Internet-of-Things (IoT). Laddove NIS2 si concentra sul miglioramento della posizione di sicurezza delle aziende stesse, CRA richiede alle aziende di dare priorità alla sicurezza dei prodotti che fabbricano o vendono. 

In generale, CRA integra NIS2, ma non necessariamente si sovrappone o lo sostituisce. Pertanto, gli enti possono essere soggetti a entrambe le normative.