0 Elementi

Direttiva NIS 2: la cybersicurezza secondo l’Unione Europea, l’entrata in vigore e come gestirla

La NIS2, aggiornamento della direttiva europea NIS (Network and Information Security) sull’implementazione di controlli di sicurezza, introduce un innovativo scenario di vigilanza per ridurre i rischi e prevenire i danni informatici.

L’obiettivo della direttiva NIS 2 è creare un comune livello di cybersicurezza in tutti gli Stati membri dell’Unione. NIS2 vuole, infatti, armonizzare le misure e gli approcci negli Stati membri dell’UE per proteggere le infrastrutture digitali applicando le procedure necessarie e utili ad affrontare il problema degli attacchi informatici (in costante aumento – Rapporto Clusit 2024: in Italia è andato a segno l’11% degli attacchi gravi globali mappati nel 2023).

Anticipiamo qui (e approfondiamo in seguito) un paio delle novità più importanti della NIS 2:

  1. Viene introdotto un processo di vigilanza affidato ad autorità competenti che controllano lo stato delle misure reattive e proattive adottate dalle aziende al fine di garantire un elevato livello di cibersicurezza;
  2. L’organo di gestione di un’azienda come, ad esempio, il Consiglio di amministrazione, viene considerato come direttamente responsabile (e quindi sanzionabile) rispetto alla sicurezza informatica.

Quando entra in vigore la direttiva NIS2 sulla cyber security?

La NIS2 è già entrata in vigore il 16 gennaio 2023, ma gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per integrare la NIS 2 al proprio diritto nazionale, rendendola effettiva.

La direttiva richiede che si costituisca una rete di CSIRT (Computer Security Incident Response Team) nazionali così da promuovere una cooperazione efficace e rapida. Per questo motivo gli Stati membri devono agire come segue:

  1. designare uno dei loro CSIRT per coordinare la divulgazione delle vulnerabilità individuate nei prodotti o servizi TIC (Tecnologie dell’Informazione e della Comunicazione);
  2. far sì che le persone negli Stati membri siano in grado di segnalare vulnerabilità in forma anonima, qualora lo richiedano.

A livello europeo, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) è tenuta a istituire una banca dati delle vulnerabilità. Inoltre, si prevede un gruppo di lavoro per la cooperazione strategica composto da rappresentati degli Stati EU, della Commissione Europea e della stessa ENISA.

NIS e NIS2: differenze e novità della direttiva aggiornata

  1. Rispetto alla direttiva NIS 2016/1148, l’aggiornamento NIS 2 si estende e coinvolge un maggior numero di settori e aziende considerate critiche per la sicurezza nazionale e l’economia, come ad esempio, le Pubbliche Amministrazioni, le organizzazioni che operano nei settori energetico, ICT, dei trasporti, sanitario, e alimentare, oltre ai produttori di macchinari e apparecchiature elettroniche​;
  2. NIS2 distingue però tra “soggetti essenziali” e “soggetti importanti”. I primi comprendono operatori che forniscono servizi vitali per il funzionamento della società e dell’economia e che sono, quindi, soggetti a requisiti di sicurezza più rigorosi (energia, sanità, trasporti, infrastrutture digitali e servizi finanziari). I secondi, invece, includono gli operatori che non sono classificati come vitali per il mantenimento delle funzioni sociali ed economiche di base del Paese (gestione rifiuti, produzione alimentare, industria manifatturiera). Nel concreto, quindi, i soggetti essenziali sono sottoposti a un regime di vigilanza completo (controlli preventivi e successivi), mentre quelli importanti vanno incontro a un regime di vigilanza leggero e solo successivo, quindi reattivo e non proattivo;
  3. Viene introdotto un processo di vigilanza affidato ad autorità competenti che controllano lo stato delle misure reattive e proattive adottate dalle aziende così da garantire un elevato livello di cybersicurezza;
  4. La NIS 2 rafforza i requisiti di gestione del rischio di sicurezza informatica che le aziende sono tenute a rispettare. Tali requisiti sono suddivisi in tre macroaree: governance, risk management e controllo della catena di fornitura.
  5. Con la direttiva NIS2 le aziende diventano direttamente e legalmente responsabili nel garantire la sicurezza delle reti e dei sistemi informativi con una cultura di governance e una gestione completa dei rischi.

L’Articolo 20 della NIS2: governance e responsabilità sulla cyber security

L’Articolo 20 della normativa NIS2 responsabilizza gli organi di gestione aziendale rispetto alle misure di cyber security intraprese dall’organizzazione. Questa posizione segna un cambiamento significativo rispetto al passato: la gestione della sicurezza informatica non è più una funzione imputabile solo ai sistemi informativi, ma diventa una responsabilità diretta dell’organo di gestione aziendale, come ad esempio il Consiglio di amministrazione.

Chiariamo cosa verrà richiesto agli organi di gestione aziendale rispetto alla sicurezza informatica della propria organizzazione:

  • Approvazione delle misure per la gestione del rischio legato alla cyber security;
  • Supervisione sull’implementazione delle misure;
  • Partecipazione a una formazione specifica sulla cyber security, coinvolgendo anche i collaboratori, così da valutare l’adeguatezza delle misure di sicurezza applicate;
  • In caso di violazioni gli organi di gestione sono ritenuti direttamente responsabili, sottolineando così l’importanza del ruolo nella prevenzione e nella gestione dei rischi informatici.

La NIS 2 rivede quindi il punto di vista sulla cyber security: non si tratta più solo di una questione limitata all’ambito IT, ma riguarda e coinvolge direttamente l’intera organizzazione, sia a livello pratico e di implementazione delle misure necessarie, sia a livello di responsabilità legali in caso di violazioni.

NIS 2: come si stanno preparando le aziende?

Per identificare le minacce IT e mitigarne i rischi, è fondamentale partire da una valutazione della sicurezza dell’infrastruttura attraverso due tipologie di verifica: i vulnerability assessment e i penetration test sono metodologie (complementari e consequenziali) che permettono di realizzare un security program su misura, efficace ed efficiente. 

I vulnerability assesment si configurano come scansioni automatizzate periodiche delle reti, dei dispositivi e delle applicazioni così da individuare e classificare i punti deboli prima che essi vengano scoperti dai malintenzionati. Quindi, attraverso i vulnerability assesment è possibile identificare i rischi, il grado di esposizione e le vulnerabilità di ogni singola azienda e, successivamente, studiare le misure tecniche e operative che mirano a:

  • Prevenire al massimo, proteggendo i sistemi informatici, i dati sensibili e la rete da possibili attacchi;
  • Ridurre al minimo l’impatto degli incidenti informatici per consentire la continuità dei servizi e la protezione dei dati.

Per rendere il sistema IT più stabile e sicuro consigliamo fortemente di abbinare al vulnerability assesment un’altra procedura strategica: il penetration test. Si tratta di un’analisi e di una simulazione che, attraverso dei test vari e propri, permette di valutare la sicurezza di tutto il sistema informatico di un’organizzazione. Chiaramente, chi viene incaricato di eseguire un penetration test deve garantire la non interruzione delle attività, la non modifica e perdita dei dati del cliente.

Esistono diversi tipi di pentest, eccone alcuni:

  • External testing (pentest esterni che cercano di capire se un hacker possa entrare nel sistema informatico attraverso punti di accesso scoperti, sondando ciò che è visibile in rete).
  • Internal testing (pentest interni per trovare falle del sistema riservato agli impiegati partendo da casistiche tipiche come, ad esempio, il furto delle password dei dipendenti).
  • Blind testing (si chiama “test cieco” perché l’unica informazione di cui dispone il pen tester è il nome dell’azienda. Il suo compito è trovare il modo di penetrare nei sistemi IT, sfruttando specifiche tecniche di hacking).
  • Penetration test reti wireless (viene simulato un attacco in cui l’hacker si trova nel perimetro wireless di copertura della rete dell’organizzazione).

(e molti altri ancora)

Chi può eseguire vulnerability assesment + penetration test? Se un’azienda dispone di un referente IT interno è possibile che questi processi possano essere gestiti, appunto, internamente. Quello che solitamente si consiglia, però, è di incaricare un partner tecnologico esterno che possa operare davvero come un “hacker” estraneo all’organizzazione, che conosce quello di cui ipoteticamente potrebbe entrare in possesso il malintenzionato, simulando perciò attacchi molto realistici.

Se la tua azienda non ha ancora pianificato un processo di vulnerability assesment e un penetration test, è arrivato il momento di farlo: contatta Core Up per maggiori informazioni.

Articolo 21 della NIS2: gestione aziendale della sicurezza informatica

L’Articolo 21 della direttiva europea NIS 2 informa che gli enti interessati devono gestire il rischio informatico impiegando “misure tecniche e organizzative adeguate e proporzionate”.

In cosa consistono queste misure, nello specifico? Ecco una lista di esempio:

  1. Analisi dei rischi e policy di sicurezza delle informazioni
  2. Gestione completa degli incidenti
  3. Gestione della crisi e della continuità operativa
  4. Sicurezza efficace della supply chain
  5. Sicurezza della rete estesa
  6. Gestione delle vulnerabilità e divulgazione
  7. Policy e procedure che valutano l’efficacia della gestione del rischio di cybersicurezza
  8. Uso della crittografia e della cifratura
  9. Uso dell’autenticazione multifattore

Tutte le misure pratiche di gestione dei rischi relativi alla cyber sicurezza di cui tratta l’articolo 21 del NIS 2 includono, quindi, anche politiche di analisi dei rischi (come, ad esempio, la vulnerability assesment di cui abbiamo accennato poco sopra), strategie per la gestione degli incidenti informatici, piani di continuità operativa, sicurezza della catena di approvvigionamento e pratiche di igiene informatica.

Un altro aspetto fondamentale è il monitoraggio costante in modo da poter apportare prontamente delle modifiche che vadano di pari passo con l’evoluzione delle minacce (sempre nuove e più raffinate) dei cybercriminali.

Se ti stai chiedendo come la tua azienda possa gestire tutto questo, niente panico: puoi contattare Core Up per un incontro e chiarire i tuoi dubbi.

Articolo 32 della NIS2: vigilanza e poteri delle autorità competenti

L’Articolo 32 della NIS 2 si esprime sui compiti di vigilanza e i poteri di esecuzione che le autorità competenti devono esercitare nei confronti sia dei soggetti importanti, sia di quelli essenziali. Riportiamo di seguito le misure di vigilanza per i due soggetti interessati.

Compiti di vigilanza delle autorità competenti per i soggetti importanti

  • Ispezioni in loco e vigilanza a distanza, compresi i controlli casuali – in merito a questo punto è fondamentale un atteggiamento proattivo dell’azienda sottoposta a vigilanza selezionando professionisti qualificati – MSP come Core Up Srl – (preferibilmente esterni per garantire maggiore indipendenza) che pianifichino ed eseguano controlli sulle misure adottate;
  • Audit sulla sicurezza periodici;
  • Audit ad hoc giustificati da un incidente significativo o da una violazione della direttiva;
  • Scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi;
  • Richieste di informazioni per valutare le misure di gestione dei rischi di cybersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti;
  • Richieste di accesso a dati e documenti;
  • Richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza (risultati audit sulla sicurezza.

Compiti di vigilanza delle autorità competenti per i soggetti essenziali

  • Emettere avvertimenti circa le violazioni della NIS 2;
  • Adottare istruzioni vincolanti per prevenire o rimediare a incidenti informatici, specificando e riferendo misure e termini;
  • Imporre ai soggetti interessati di porre termine al comportamento che viola la NIS 2;
  • Assicurarsi che le misure di gestione del rischio di cibersicurezza siano conformi a quanto previsto dall’articolo 21 della NIS 2 e di adempiere agli obblighi di segnalazione prescritti dall’art. 23;
  • Informare le persone fisiche o giuridiche potenzialmente minacciate da una crisi informatica, indicando anche le relative misure protettive o correttive;
  • Attuare le raccomandazioni derivanti da audit sulla sicurezza entro termini ragionevoli;
  • Nominare un funzionario di sorveglianza con compiti specifici;
  • Rendere pubbliche le violazioni della direttiva in una maniera specificata;
  • Imporre sanzioni amministrative pecuniarie a norma dell’articolo 34, oltre ad altre misure indicate.

A che punto siamo in Italia rispetto alla direttiva NIS 2?

Lo stato dell’arte della NIS2 in Italia è il seguente (giugno 2024): Recentemente il Consiglio dei ministri ha approvato in via preliminare la bozza del decreto attuativo. Il primo ad aver recepito la Direttiva ad aprile 2024 è stato il Belgio, a seguire Francia e Germania e, ora, anche l’Italia.

L’articolo 14 del decreto legislativo stabilisce una cooperazione tra diverse autorità nazionali competenti in materia di sicurezza informatica, enti governativi e istituzioni come, ad esempio, il Garante per la protezione dei dati personali, l’ENAC (Ente Nazionale per l’Aviazione Civile), l’AgID (Agenzia per l’Italia Digitale), il Ministero della Difesa, e altre entità che si coordineranno per lo scambio di informazioni, la vigilanza, il controllo e la gestione delle minacce informatiche.

Cosa pensano della NIS2 gli esperti nel settore IT?

Il punto di vista di chi lavora nel campo della sicurezza cibernetica fornisce spesso diversi spunti su cui riflettere. Ecco una raccolta di alcuni dei pareri e delle considerazioni degli addetti ai lavori più utili (secondo noi) a comprendere meglio il valore della NIS2:

James Tucker, Head of CISO di Zscaler afferma: “Le normative da sole non saranno mai la risposta a un’igiene di primo livello in materia di cybersecurity, soprattutto se si considera la portata della sfida della cybersecurity. Infatti, il 53% dei nostri intervistati (59% in Italia) ha dichiarato che le norme NIS 2 non sono sufficienti considerando la sfida che si trovano ad affrontare le aziende. Piuttosto che un problema da risolvere, le normative dovrebbero quindi essere viste come un’opportunità per migliorare la sicurezza di base. Le normative devono diventare parte integrante delle revisioni dei processi in corso in azienda, invece di essere un’attività separata che i team IT devono affrontare. Le aziende dovrebbero sfruttare questa opportunità per rivedere l’entità dei loro stack tecnologici e trovare il modo di semplificare e tracciare l’hardware e il software attraverso un’unica piattaforma per evitare la complessità nel loro ambiente aziendale”.

(fonte: https://www.channelcity.it/speciali/2024/nis2/dettaglio/23581/direttiva-nis-2-a-che-punto-siamo.html)

Stefano Alei, Transformation Architect dichiara “Sebbene sembri esserci una certa fiducia nel fatto che le aziende raggiungeranno la conformità NIS 2 entro la scadenza in avvicinamento, la nostra ricerca suggerisce che questa convinzione potrebbe poggiare su fondamenta scarsamente solide, o per meglio dire: ottimistiche. Se non si fa attenzione, molte aziende potrebbero trovarsi a correre verso l’obiettivo, trascurando altri processi di cybersecurity – cosa che il 60% dei responsabili IT (58% in Italia) ha ammesso essere possibile. I dirigenti devono agire subito e fornire ai loro team IT il supporto necessario per evitare di saltare i passaggi chiave del loro percorso di conformità e rischiare gravi conseguenze finanziarie e organizzative”.

(fonte: https://www.channelcity.it/speciali/2024/nis2/dettaglio/23581/direttiva-nis-2-a-che-punto-siamo.html)

Fabrizio Alampi, Country Information Officer di Colisée Italia, parte dell’omonimo gruppo francese che opera nell’healthcare per la terza età in Europa: “La NIS2 richiede alle imprese più lavoro, ma ha il pregio di forzare chi finora non si è adeguato (per motivi di costo o altro) a essere in linea con i più alti requisiti di cybersicurezza. La cybersecurity è il primo tema per tutte le aziende e, per noi che operiamo nella sanità, lo è ancora di più. In tutti i settori i CIO ogni giorno affrontano minacce e tentativi di intrusione o interruzione dell’attività. Anch’io mi ritrovo a lavorare quotidianamente su spam, tentativi di truffa, aggressioni al firewall, e così via”.

(fonte: https://www.cio.com/article/2093607/cybersecurity-e-nis2-come-si-muovono-i-cio-per-dormire-sonni-un-po-piu-tranquilli.html)

Luciano Ragazzi, Direttore IT di EAV – Ente Autonomo Volturno (in-house di Regione Campania, seconda maggiore azienda di trasporto in Italia con attività su ferro e gomma, 300 km di linea ferroviaria, 170 stazioni, 51 milioni di passeggeri l’anno) ricorda che “La cultura aziendale è fondamentale, noi abbiamo rilevato attacchi partiti da una semplice chiavetta USB”.

(fonte: https://www.cio.com/article/2093607/cybersecurity-e-nis2-come-si-muovono-i-cio-per-dormire-sonni-un-po-piu-tranquilli.html)

Concludendo, la NIS 2 rappresenta una sfida impegnativa per molte realtà che, per legge, sono tenute ad adottarla. Ma si tratta anche di un’opportunità importante che permette a ogni singola realtà di entrare in un tessuto europeo di confronto che darà sicuramente i suoi frutti in termini di protezione e sicurezza.

Core Up Srl, in qualità di MSP (Managed Service Provider), si propone come partner strategico esterno e di supporto ai team IT delle aziende per sostenere il processo di adattamento alla normativa NIS 2.

Contattaci per maggiori informazioni e studieremo un piano di supporto IT personalizzato, efficace ed affidabile.