Gli attacchi informatici che sono sempre più sofisticati e diffusi mettono a rischio non solo i dati personali e critici per il business, ma anche l’integrità e la continuità dei servizi essenziali.
In questo contesto, la Direttiva NIS 2 e il relativo decreto di recepimento emergono come una risposta normativa fondamentale che amplia la portata della cyber security oltre la protezione dei dati personali e abbraccia l’intero ecosistema dei servizi digitali.
La NIS 2 introduce concetti nuovi per la gestione degli incidenti di cyber security, stabilendo nuovi standard per la prevenzione, rilevazione e risposta agli incidenti stessi.
Tuttavia, questa evoluzione normativa solleva questioni importanti riguardo alla sua applicazione pratica e alle sue implicazioni per le aziende, specialmente in relazione alle norme esistenti come il GDPR.
Ecco le differenze chiave tra NIS 2 e GDPR, esplorando le implicazioni pratiche per la notifica degli incidenti e la gestione della supply chain.
Analizziamo inoltre l’importanza della formazione dei vertici aziendali e delle opportunità offerte dall’integrazione con normative come la ISO/IEC 27001:2022.
Indice degli argomenti
Incidenti di sicurezza e data breach: divergenza tra NIS 2 e GDPR
L’articolo 2 del D.lgs. 138/2024 (il decreto attuativo della NIS 2 in Italia) introduce un quadro definitorio essenziale per la gestione degli incidenti di sicurezza, chiarendo concetti fondamentali per la protezione dei sistemi informativi e delle reti.
Preparati per la NIS2: guida essenziale per rispettare gli obblighi cyber in tempo!
Definizione di quasi incidente
Tra le definizioni più rilevanti spicca quella di “quasi incidente”, che si riferisce a un evento che avrebbe potuto configurare un incidente, ma che è stato evitato prima che si concretizzasse.
Rientra in questa categoria anche il caso in cui un incidente sia stato efficacemente prevenuto (il cosiddetto near miss).
Cos’è un incidente
Per contro, un “incidente” è un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati, nonché dei servizi erogati attraverso i sistemi informativi e le reti.
La normativa distingue inoltre il “incidente di cibersicurezza su vasta scala” ovvero un attacco o una perturbazione di tale portata da superare la capacità di risposta di uno Stato membro o da generare un impatto significativo su almeno due Stati membri.
La gestione degli incidenti
La gestione degli incidenti comprende l’insieme delle azioni e procedure necessarie per prevenire, rilevare, analizzare, contenere e rispondere a un incidente, oltre al ripristino della situazione post-evento.
L’interruzione o l’inaccessibilità dei servizi informatici e di rete
Un aspetto chiave delle definizioni contenute nel D.lgs. 138/2024 è che il concetto di incidente non si limita alla compromissione dei dati, ma include anche l’interruzione o l’inaccessibilità dei servizi informatici e di rete.
Di conseguenza, un evento viene considerato un incidente non solo quando comporta la perdita o l’accesso non autorizzato ai dati, ma anche quando impedisce la fruizione dei servizi digitali.
Le differenze di approccio fra NIS 2 e GDPR
Questo approccio si discosta significativamente dalla definizione di “violazione dei dati personali” prevista dal GDPR, che identifica l’incidente esclusivamente con un impatto sulla sicurezza dei dati personali.
Secondo l’articolo 4 n.129 del GDPR, infatti, si ha un data breach quando si verifica distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali, senza però considerare l’interruzione del servizio informatico che li gestisce.
Tale differenza concettuale può generare scenari paradossali: un evento che renda inaccessibili i dati potrebbe essere classificato come incidente secondo la NIS 2, ma non costituire una violazione ai sensi del GDPR.
Questa divergenza evidenzia la necessità di un adeguamento procedurale, in particolare per la gestione dei data breach. Ampliare le procedure previste dal GDPR per includere anche le interruzioni dei servizi informatici consentirebbe un migliore allineamento con la NIS 2 e garantirebbe una protezione più completa per gli interessati, in un’epoca in cui l’accesso continuo ai servizi digitali è ormai essenziale per la tutela dei diritti fondamentali.
La tempistica della notifica: un dilemma operativo
Un’altra questione importante riguarda il momento in cui un evento può essere classificato come un vero e proprio incidente.
L’articolo 25, comma 1 del D.lgs.138/2024 stabilisce che i soggetti essenziali e importanti debbano notificare, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.
Quando un sistema di monitoraggio aziendale rileva un evento potenzialmente critico, quest’ultimo può essere classificato come incidente solo dopo un’adeguata raccolta e un’attenta analisi delle informazioni.
Tale fase investigativa può richiedere da pochi minuti a diverse ore, a seconda della complessità del caso.
I tempi di avvio della procedura di notifica
Si pone dunque una questione fondamentale, capire quando deve essere avviata la procedura di notifica:
- dal momento in cui emergono le prime avvisaglie di un possibile incidente, anche se in seguito potrebbero rivelarsi infondate?
- oppure solo quando si ha la certezza che l’evento costituisca una real minaccia?
Un’interpretazione più prudente della normativa suggerirebbe di attivare le procedure previste dalla NIS 2 non appena si manifestano i primi segnali di un potenziale incidente, senza attendere ulteriori verifiche.
È proprio questa la finalità della pre-notifica, introdotta dal comma 5 dell’articolo 25, che mira a garantire una risposta tempestiva anche in presenza di informazioni ancora incomplete.
Tuttavia, non si può ignorare un possibile atteggiamento di cautela da parte dei vertici aziendali, i quali potrebbero esitare a segnalare prematuramente un evento ancora incerto, preferendo un approccio più attendista, nel timore di generare allarmi ingiustificati o di esporsi inutilmente.
L’equilibrio tra reattività operativa e consapevolezza del rischio reputazionale
Questa tensione tra tempestività e prudenza rappresenta una delle principali sfide nella gestione degli incidenti di sicurezza. Una sfida che richiede un equilibrio tra reattività operativa e consapevolezza del rischio reputazionale.
Ciò riporta in primo piano l’importanza di una formazione specifica per i dirigenti aziendali, affinché siano pienamente consapevoli dei rischi connessi a una mancata o ritardata pre-notifica di un potenziale incidente, inclusi quelli di natura reputazionale.
Un’adeguata preparazione non solo consente di gestire le segnalazioni in modo tempestivo ed efficace, ma anche di adottare decisioni strategiche che bilancino reattività operativa e tutela dell’immagine aziendale.
La supply chain: un anello debole non sufficientemente considerato
Un altro punto critico riguarda la gestione degli incidenti originati nella catena di fornitura, un aspetto su cui l’articolo 24 del D.lgs 138/2024 non fornisce indicazioni precise. Sebbene sia chiaro che il fornitore coinvolto debba comunicare l’incidente, rimane il dubbio su come e quando le organizzazioni colpite, che dipendono da quel fornitore, debbano attivarsi.
La Direttiva NIS 2 e il decreto di recepimento, nella definizione di “incidente di cibersicurezza su vasta scala”, fanno riferimento a situazioni che possono coinvolgere più Stati membri.
Questo suggerisce che tali incidenti siano più probabilmente legati a fornitori che operano su scala europea, piuttosto che a singole organizzazioni.
Le lacune della NIS 2: formazione, prevenzione e lezioni apprese
La definizione di gestione degli incidenti nella NIS 2 include le azioni e le procedure necessarie per prevenire, rilevare, analizzare, contenere e rispondere a un incidente, nonché per riprendersi da esso.
Tuttavia, non si fa menzione di aspetti fondamentali come la sensibilizzazione del personale per individuare situazioni anomale e cogliere i segnali deboli, l’implementazione di misure correttive per evitare il ripetersi dell’incidente, o l’apprendimento delle lezioni (le “lessons learned”) derivanti da ciascun incidente.
Questi elementi sono invece ampiamente trattati nella normativa ISO/IEC 27001:2022, che offre un quadro più completo e strutturato per la gestione della sicurezza delle
informazioni.
Colmare queste lacune potrebbe migliorare significativamente la capacità delle organizzazioni di prevenire e gestire efficacemente gli incidenti, traendo vantaggio dalle lezioni apprese.
Prospettive future
La NIS 2 introduce concetti innovativi che potrebbero rivoluzionare la gestione degli incidenti di cyber security, ma pone anche nuove sfide operative e normative.
La sua implementazione richiederà un significativo adattamento delle procedure aziendali, con un’enfasi particolare sulla formazione dei vertici e sulla gestione della supply chain.
Tuttavia l’assenza di un’integrazione completa con normative esistenti come il GDPR e alcune apparenti lacune nella gestione degli incidenti richiedono un ulteriore sforzo per garantire una protezione efficace e omogenea in tutto il panorama digitale europeo.
L’integrazione di queste normative potrebbe rappresentare il passo successivo per una sicurezza informatica realmente completa e inclusiva.
Essere DPO nel 2025: quali sono le competenze e i requisiti necessari
