Entrata in vigore il 17 gennaio 2023 e da recepire da tutti gli Stati membri dell’Unione europea entro il 17 ottobre 2024, la direttiva NIS 2 rappresenta un insieme di norme cruciali per le aziende, mirata a garantire un livello comune elevato di cyber sicurezza all’interno dell’Unione Europea.
Con l’aumento degli incidenti informatici che colpiscono sia i grandi colossi che le medie e piccole imprese, è essenziale costruire un sistema di gestione robusto, monitorare la catena di fornitura e dimostrare adeguatezza nella gestione dei rischi, degli incidenti e nella continuità operativa.
Indice degli argomenti
NIS 2: serve una gestione proattiva dei rischi cyber
La NIS 2 richiede alle aziende di valutare la propria security posture e di implementare un piano di azioni correttive per migliorare la sicurezza informatica.
Rispetto alla NIS 1, la nuova direttiva impone alle aziende di essere proattive nella gestione dei rischi e di adottare misure di sicurezza idonee al proprio contesto e alle capacità di spesa.
L’adeguatezza delle misure di sicurezza si basa su alcuni pilastri essenziali, tra cui l’individuazione e la valutazione dei rischi, le procedure proattive per la gestione degli incidenti, il monitoraggio e il miglioramento continuo della sicurezza e la continuità operativa, garantita dalla qualità dell’erogazione dei servizi.
Il campo di applicazione della NIS 2 è stato ampliato, includendo ora non solo gli operatori di servizi essenziali ma anche quelli di servizi importanti.
Gli stati membri dovranno definire l’elenco dei soggetti a cui la direttiva è applicabile entro il 17 aprile 2025, utilizzando criteri basati su dimensioni, settore merceologico e territorialità.
Settori e campi di applicazione della NIS 2
Le regole della NIS 2 interessano non solo grandi e medie imprese, ma anche, in alcuni casi, piccole o microaziende operanti nell’Unione Europea.
La normativa riguarda diversi settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione uffici TIC, pubblica amministrazione e spazio.
Inoltre, i servizi essenziali includono servizi postali e di corriere, gestione rifiuti, produzione e distribuzione di sostanze chimiche, alimenti, dispositivi medici, prodotti elettronici e ottici, apparecchiature elettriche, veicoli, servizi digitali e ricerca.
Serve adottare un approccio multirischio
Le imprese devono adottare un approccio multirischio che prevede politiche di analisi dei rischi e della sicurezza, sistemi di gestione degli incidenti, soluzioni di business continuity, misure di sicurezza per l’intera supply chain, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la divulgazione delle vulnerabilità.
È essenziale seguire pratiche di igiene informatica e formazione in materia di sicurezza informatica, utilizzare la crittografia, garantire la formazione dei collaboratori (security awareness), adottare politiche di controllo degli accessi (log management) e gestione degli asset, e implementare soluzioni di autenticazione a più fattori o autenticazione continua, garantire comunicazioni protette e disporre di sistemi di comunicazione di emergenza affidabili.
Le aziende possono iniziare con una valutazione iniziale dell’applicabilità della direttiva attraverso una gap analysis di Information & Cyber Security per fotografare l’attuale “Security Posture” dell’organizzazione e identificare le necessità di miglioramento e/o adeguamento alle normative internazionali.
È necessario, quindi, mettere in atto un piano di adeguamento a valle dell’analisi iniziale.
Indicazioni pratiche per la conformità alla NIS 2
In questo contesto, è utile costruire un sistema di governance robusto nell’ambito della sicurezza delle informazioni, effettuando audit, costruendo un sistema di monitoraggio della catena di fornitura con un focus sui fornitori critici dal punto di vista della sicurezza delle informazioni, definendo un processo di Information Security Risk Management, un processo di Incident Response e un piano di Business Continuity.
Per ridurre i rischi e preservare l’integrità dei dati, è importante seguire pratiche di igiene informatica. Alcuni esempi includono:
- Aggiornare costantemente i sistemi software.
- Usare password di almeno 12 caratteri.
- Evitare di salvare le credenziali di accesso sui dispositivi.
- Attivare l’autenticazione a più fattori.
- Diversificare gli accessi e profilare correttamente gli utenti e le informazioni accessibili a ciascuno
Altre pratiche comuni sono:
- Disconnettere i profili personali quando non sono in uso.
- Utilizzare la crittografia per rendere i dati illeggibili in caso di perdita o furto.
- Salvataggio regolare dei dati tramite backup.
Le sanzioni in caso di non conformità
La mancata osservanza degli obblighi della NIS 2 comporta sanzioni che variano in base all’appartenenza al servizio importante o essenziale.
Le sanzioni per le imprese dei servizi importanti possono arrivare fino a 7.000.000 euro o all’1,4% del fatturato annuo complessivo, mentre per le entità essenziali possono raggiungere i 10.000.000 euro o il 2% del fatturato annuo complessivo, a seconda di quale importo sia maggiore.
