La NIS2, il cui recepimento in Italia è avvenuto con il Decreto Legislativo 138/2024 entrato in vigore il 16 ottobre 2024, è realtà. La direttiva europea, che ha l'obiettivo di rafforzare la sicurezza informatica e la resilienza dei sistemi critici dei Paesi membri dell'Ue, ha validità, di fatto, dal 17 gennaio 2023: i tempi tecnici necessari al recepimento in Italia della NIS2 sono stati principalmente legati alla necessità di identificare i soggetti coinvolti nel framework, che integra ed estende il raggio d'azione della prima Network & Information Security Directive del 2016.
NIS2, come si amplia il perimetro del framework
È stato prima di tutto individuato l'ente che fungerà da riferimento e collettore per la raccolta e l'elaborazione delle informazioni che i soggetti coinvolti dovranno condividere. La scelta è ricaduta sull'Agenzia per la cybersicurezza nazionale (ACN), autorità competente NIS presso il cui portale, dal 1° dicembre 2024 al 28 febbraio 2025, le imprese e le pubbliche amministrazioni a cui si applica la nuova normativa si sono dovute registrare.
Sulla base delle informazioni comunicate all'ACN, ad aprile è stato così avviato un percorso di rafforzamento della sicurezza informatica che fa della messa a fattor comune di dati e insight relativi a rischi e incidenti il punto di partenza per la creazione di un ecosistema sempre più coeso.
Con la NIS2 è aumentato d'altra parte il numero di settori rispetto a quelli che ricadevano nel campo di applicazione del framework precedente. È inoltre decaduta la distinzione tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali a favore di due nuove categorie: Soggetti Essenziali e Soggetti Importanti.
Tra le tipologie di organizzazioni incluse nel nuovo perimetro del framework ha fatto per esempio il suo ingresso la pubblica amministrazione che – affiancandosi alle aziende di comparti che vanno dall'energetico a quello dei trasporti, passando per finance, sanità, gestione delle acque potabili e reflue, infrastrutture digitali, servizi TIC e aerospaziale – entra a pieno titolo tra i destinatari della Direttiva NIS2.
NIS2, il recepimento in Italia introduce nuovi requisiti per il risk management
Con il recepimento in Italia della NIS2 non si è solo allargato il bacino di soggetti che devono risultare compliant allo schema, ma sono stati introdotti anche requisiti più stringenti sia sul piano dei processi di cybersecurity sia rispetto di risk management.
Nello specifico, è l'articolo 21 della NIS2 a stabilire il compito degli Stati membri: ogni Paese deve supportare le organizzazioni pubbliche e private nella gestione delle fattispecie di rischio promuovendo l'adozione di soluzioni, competenze e buone pratiche che elevino il grado di readiness sul piano della sicurezza informatica. In particolare, le misure tecniche e organizzative che gli enti dovrebbero adottare per gestire i rischi cyber sono:
- Analisi dei rischi e sicurezza dei sistemi informativi
- Gestione e segnalazione degli incidenti
- Continuità operativa, attraverso strumenti di backup e disaster recovery
- Strategie di crisis management
- Resilienza della catena di approvvigionamento
- Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi
- Pratiche di igiene informatica di base e formazione in materia di cybersecurity
- Adozione di tecnologie crittografiche
- Tutela delle risorse umane e degli asset aziendali
- Sistemi di accesso Zero Trust con autenticazione multifattore
Come cambia la governance col recepimento in Italia della NIS2
Sotto il profilo della governance, la NIS2 impone alle organizzazioni riconosciute come soggetti “essenziali e importanti” non solo la creazione di misure per la gestione dei rischi, ma anche l'istituzione di programmi di formazione erogati con regolarità ai collaboratori interni ed esterni.
Va ripensato anche l'approccio al risk management, che dovrà integrare nelle attività di assessment le fattispecie legate alle catene di fornitura. Non si parla soltanto di fornitori di sistemi e servizi informatici (come cloud provider, gestori di data center e realtà specializzate nell'erogazione di soluzioni di sicurezza gestita), ma della supply chain nella sua interezza. Andranno quindi monitorati gli aspetti di sicurezza attraverso la richiesta di certificazioni che attestino la capacità dei fornitori di garantire la continuità operativa, per esempio con incident response plan adeguati e attraverso funzionalità specifiche di backup e recovery.
Risultare conformi alla NIS2, le azioni da intraprendere (e le sanzioni che si rischiano)
Ma cosa si rischia in caso di mancata compliance alla NIS2? L'autorità potrebbe innanzitutto sospendere temporaneamente i certificati e le autorizzazioni per una parte o per la totalità dei servizi svolti dai soggetti che rientrano nel perimetro del framework.
Sono però previste anche pesanti sanzioni pecuniarie. Per i soggetti considerati essenziali, si parla di multe fino a 10 milioni di euro o equivalenti al 2% fatturato globale, mentre per le organizzazioni importanti le sanzioni possono arrivare a 7 milioni di euro o all'1,4% del fatturato globale.
Perché un'organizzazione risulti compliant con il nuovo framework normativo conviene muoversi su tre ambiti: quello della formazione del personale, quello della govenance, con l'adeguamento dei processi aziendali alle politiche di sicurezza, e quello dell'investimento in soluzioni di cybersecurity che colmino i gap eventuali emersi durante la fase di assessment.
I tre pillar devono trasformarsi infine in un sistema di vasi comunicanti, in grado cioè di raccogliere e convogliare tutte le informazioni rilevanti per individuare le avvisaglie di un potenziale incidente e segnalarle alle autorità competenti per allertare l'intero ecosistema.
Al netto delle differenze che contraddistinguono i vari settori critici, le imprese che puntano alla conformità devono comunque intraprendere una serie di iniziative specifiche:
- eseguire un assessment per analizzare lo stato dell’arte e identificare i gap presenti rispetto a quanto richiesto dalla normativa;
- definire un piano dettagliato, elaborando un programma operativo che stabilisca le misure da adottare, i tempi e le risorse necessarie per attuarlo;
- implementare gli strumenti utili a tradurre sul piano pratico le misure di sicurezza stabilite nel piano;
- monitorare e valutare, con sessioni di verifica periodiche, l’efficacia delle misure adottate, apportando di volta in volta eventuali upgrade.
Topic: Sicurezza Informatica
Post Correlati
