Probabilmente l’acronimo NIS2 suona un po’ ostico ai più. Se parliamo di cybersecurity, magari il termine diventa un po’ più familiare. NIS sta per “Network and Information Systems” e sta a indicare le prime norme sulla cybersecurity che sono state introdotte dall’Unione europea nel 2016 e sono state di recente aggiornate con una nuova direttiva, la NIS2 appunto (per chi ci tiene a consultare il testo integrale, è la direttiva 2022/2555 del Parlamento europeo e del Consiglio).
Quando si nominano atti europei, viene da pensare che le scadenze siano lontanissime; in questo caso però è tutto ufficiale anche in Italia, perché la norma è stata recepita nel nostro ordinamento attraverso il decreto legislativo 138/2004, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. Nel concreto, dunque, cosa cambia per le imprese? Cosa devono fare per essere conformi alla legge e, soprattutto, che vantaggi ne derivano? In questo articolo lo spieghiamo passo dopo passo.
Qual è l’obiettivo della direttiva NIS2 sulla cybersecurity
La prima direttiva NIS sulla cybersecurity risale al 2016, la seconda (NIS2) al 2022. A un primo sguardo le date sembrano molto vicine, ma questi pochi anni di differenza sono ere geologiche, se rapportati alla velocità con cui le tecnologie digitali si evolvono. Lo dimostrano anche i cyberattacchi sempre più frequenti e distruttivi: secondo l’Osservatorio attacchi digitali (OAD) 2024 pubblicato dall’Associazione italiana professionisti sicurezza informatica (AIPSI), il 72,4% delle aziende o enti italiani ne ha subito almeno uno nel corso del 2023. La tipologia più diffusa è quella delle modifiche malevoli o non autorizzate ai programmi e alla configurazione dei sistemi di ICT, spesso attraverso malware e ransomware. Gli attacchi più sofisticati sono indirizzati a organizzazioni grandi per dimensioni e fatturato, ma ciò non significa che le piccole siano in salvo, perché possono comunque finire nella rete degli attacchi di massa.
Per questo, la direttiva NIS2 vuole rafforzare il livello generale di cybersecurity in tutto il territorio dell’Unione, garantendo innanzitutto che ogni Stato membro disponga di un team di risposta agli incidenti di sicurezza informatica (CSIRT) e di un’autorità nazionale competente in materia di reti e sistemi informativi (NIS). Gli Stati sono poi chiamati a collaborare, anche scambiandosi a informazioni a vicenda. Parallelamente, serve una maggiore cultura della sicurezza nelle imprese, in particolare in alcuni settori strategici, soggetti a requisiti e obblighi specifici, così come i fornitori di servizi digitali.
🌐 Another major step in boosting the cyber resilience of Europe’s critical digital infrastructure.
We have adopted the first implementing rules on the cybersecurity of critical entities and networks under the NIS2 Directive.
More info ↓
— European Commission (@EU_Commission) October 17, 2024
Cosa cambia con la NIS2 rispetto alla precedente direttiva
Sarebbe enormemente riduttivo pensare che occuparsi di cybersecurity equivalga solo a intervenire in caso di minacce. La NIS2 si contraddistingue proprio perché spinge le imprese ad assumere un atteggiamento proattivo, valutando a monte la propria security posture. In sostanza, devono fare un check-up generale della propria preparazione, consapevolezza e capacità di proteggere i propri sistemi, dati e risorse. Una volta scovati i punti di forza e di debolezza, spiega questo approfondimento di CyberSecurity360, le imprese sono tenute ad adottare un approccio multirischio che comprende almeno:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- sistemi per la gestione degli incidenti;
- soluzioni che garantiscano la continuità operativa, per esempio attraverso il backup o il ripristino;
- sicurezza nella catena di approvvigionamento, cioè nei rapporti con i fornitori;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare se le misure di gestione dei rischi di cybersecurity siano realmente efficaci;
- pratiche di igiene informatica di base, come aggiornamenti periodici di software e hardware, modifiche delle password a intervalli regolari, gestione di nuove installazioni, limitazione del numero di account con l’accesso da amministratore;
- formazione in materia di cybersecurity, per assicurarsi che i collaboratori seguano le procedure stabilite e riconoscano eventuali segnali sospetti (come le mail di phishing);
- politiche e procedure sull’uso della crittografia ed eventualmente della cifratura;
- sicurezza delle risorse umane, che consiste per esempio nella valutazione dei rischi legati a ruoli specifici e nei controlli a determinati stadi del percorso lavorativo (a cominciare dall’assunzione e dal termine del rapporto di lavoro);
- strategie di log management (gestione degli accessi);
- identificazione, gestione e protezione di tutti gli “attivi” fisici o digitali di un’organizzazione;
- accessi zero-trust, cioè che non danno mai per scontato che un utente o un sistema sia affidabile;
- sistemi di autenticazione a più fattori o di autenticazione continua.
I settori sottoposti alla nuova direttiva sulla cybersecurity
Istintivamente, questo elenco lunghissimo – e parziale – può spaventare. È dunque utile chiarire che le aziende non sono tutte uguali. Ci sono attività più delicate che richiedono misure più stringenti e altre per cui è sufficiente un approccio più “morbido”. È per questo che la direttiva individua alcuni settori “ad alta criticità”, vale a dire:
- energia;
- trasporti;
- banche e mercati finanziari;
- sanità;
- acqua potabile;
- acque reflue;
- infrastrutture digitali;
- servizi ICT business-to-business;
- pubblica amministrazione.
Gli altri settori critici sono:
- servizi postali;
- rifiuti;
- chimica;
- alimentare;
- industria;
- fornitori di servizi digitali;
- ricerca.
Come molte altre direttive europee, anche questa si rivolge alle imprese grandi (almeno 250 dipendenti, più di 50 milioni di euro di fatturato o 43 milioni di euro di totale di bilancio annuo) o medie (50-250 dipendenti, tra i 10 e i 50 milioni di euro di fatturato o totale di bilancio, oppure un totale di bilancio annuo entro i 43 milioni), oltre che alle pubbliche amministrazioni. Anche alcune piccole imprese ricadono nel perimetro, se forniscono servizi ritenuti critici.
A seconda delle loro dimensioni e dei servizi che erogano, i soggetti sono suddivisi in essenziali e importanti: da questo dipende il fatto che controlli e sanzioni siano più o meno severi. C’è da dire, però, che si crea comunque una sorta di contagio: nel momento in cui una grande impresa richiede ai propri fornitori di comportarsi in un determinato modo, questi saranno costretti ad adeguarsi per non perdere il contratto, pur non essendo soggetti (sulla carta) alla NIS2. È un contagio positivo, perché una cybersecurity più solida è una tutela per tutti.
Quali imprese italiane dovranno adeguarsi alla NIS2 e quando
Ma veniamo dunque alla domanda che più interessa chi sta leggendo queste righe: quali sono le prossime scadenze per le imprese italiane? Ecco un calendario schematico che, come detto, si applica soltanto alle imprese che hanno almeno 50 dipendenti e 10 milioni di euro di fatturato (quelle più piccole sono esonerate).
- Entro il 17 gennaio 2025 bisogna registrarsi nella piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), un ente che funge da punto di riferimento per l’applicazione della direttiva.
- Entro il 15 aprile 2025 l’ACN comunica a ogni impresa se ricade nell’ambito di applicazione della NIS2 e se è considerata “essenziale” o “importante”.
- Entro il 1° gennaio 2026 le aziende devono adeguarsi all’articolo 25 (relativo alla notifica degli incident di sicurezza) e all’articolo 30 (che impone di aggiornare ogni anno le informazioni sulla piattaforma dell’ACN).
- Entro ottobre 2026 entrano in vigore anche gli obblighi previsti dagli articoli 23 (responsabilità degli organi direttivi), 24 (gestione dei rischi) e 29 (attuazione delle misure di sicurezza e gestione della banca dati dei nomi a dominio).
E cosa succede a chi non si adegua? Le sanzioni variano a seconda della sanzione riscontrata e del soggetto coinvolto ma, in generale, possiamo dire che la direttiva NIS2 non va presa sottogamba. Un soggetto “essenziale”, infatti, rischia multe fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’anno precedente; per un soggetto “importante”, invece, si arriva a un massimo di 7 milioni o lo’1,4% del fatturato annuo globale. Certo, questo è il massimo possibile: se le infrazioni sono meno gravi, l’importo scende. Ma bisogna fare attenzione anche alla reiterazione (perché la multa aumenta), alle sanzioni accessorie e alle possibili ripercussioni sul management.
Insomma: con la cybersecurity non si scherza. Se hai l’impressione di brancolare nel buio, o se sai che nella tua azienda ci sono dei margini di miglioramento, contattaci: siamo a disposizione per definire insieme le priorità su cui lavorare.
TAGS:
crittografia - digital - sicurezza - siti