In Italia pubblicata la Legge di delega al Governo per il recepimento della direttiva.
Network and Information Security2, nome in codice NIS2, è la direttiva europea entrata in vigore lo scorso 17 gennaio 2023, con l’obiettivo di rafforzare la sicurezza informatica e salvaguardare le infrastrutture critiche in Europa e nei singoli Stati membri rispondendo all’aumento di minacce informatiche sempre più sofisticate e dannose e stabilendo una solida strategia di difesa.
Come abbiamo ribadito più volte, anche in questo blog, l’evoluzione della tecnologia, in particolare gli strumenti di intelligenza artificiale, la connessione continua di tutti i dispositivi privati e professionali e la modalità di lavoro da remoto, sdoganata durante la pandemia, implicano un rischio informatico sempre più alto.
A tutto questo si somma la complessa situazione geopolitica globale, che sempre più spesso ha un risvolto molto pericoloso nella rete: l’hacking sponsorizzato dagli Stati, lo spionaggio informatico e la guerra informatica non sono certo una novità visto che tensioni e conflitti globali si manifestano sempre più spesso nello spazio digitale. Il tutto accompagnato da una crescente professionalizzazione del settore della criminalità informatica.
Un insieme a dir poco esplosivo che aumenta a dismisura il rischio di attacchi a settori essenziali: energia, istruzione, sanità, pubblica amministrazione, trasporti, media e telecomunicazioni.
Tutti ambiti che non possono certo permettersi di interrompere le loro attività o di mettere a rischio il loro prezioso patrimonio di dati e che, proprio per questo, sono prede molto interessanti e remunerative per la criminalità.
Una forte accelerazione del rischio che ha obbligato l’Unione europea a rivedere profondamente la precedente direttiva NIS del 2016, attuata in Italia nel 2018, a detta di molti lacunosa, emanando la NIS2.
Gli obiettivi e le azioni previsti da NIS2
La nuova direttiva compie dunque un necessario passo in vanti nel campo della resilienza digitale e della gestione delle minacce.
Non si limita a potenziare la sicurezza informatica, ma vuole tracciare una tabella di marcia per garantire prestazioni aziendali ininterrotte e promuovere una forza lavoro adeguatamente formata e in grado di assicurare una postura digitale corretta in qualsiasi organizzazione lavorativa.
Lo fa perseguendo una serie di obiettivi che vanno dall’ampliamento dell’ambito di applicabilità all’eliminazione della differenziazione – ormai obsoleta – fra operatori di servizi essenziali e fornitori di servizi digitali, dal miglioramento del coordinamento in termini di misure di sicurezza previste e di risorse disponibili per le autorità di controllo alla riduzione della discrezionalità degli Stati membri.
Per realizzare i suoi obiettivi la NIS2 ha previsto una serie di azioni tra cui:
- L’implementazione di pratiche di gestione delle risorse per identificare e proteggere i sistemi informativi e le risorse critiche.
- La comunicazione alle autorità competenti e il mantenimento delle capacità di risposta agli incidenti.
- La messa in atto di strategie di sicurezza informatica e protocolli di gestione del rischio.
- La definizione di protocolli per la gestione degli incidenti, mandati di segnalazione e piani di risposta.
- L’elaborazione di una strategia per garantire la continuità di servizi critici durante gli incidenti informatici.
- La messa in atto di misure di sicurezza della catena di fornitura per esaminare e garantire la sicurezza dei fornitori terzi.
- La formazione e sensibilizzazione dei dipendenti sui protocolli ottimali di sicurezza informatica.
- La pronta segnalazione degli incidenti agli organi competenti.
- L’eliminazione delle incongruenze e il rafforzamento della comunicazione e della cooperazione tra gli Stati membri.
Soggetti e settori coinvolti nella NIS2
Una delle più importanti novità introdotte dalla Direttiva NIS2 è l’ampio bacino di settori merceologici coinvolti.
Viene abbandonata la distinzione, considerata obsoleta, tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali, in favore di quella tra
Soggetti Essenziali (i soggetti dei settori ad alta criticità quali ad esempio, pubbliche amministrazioni e imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, ecc.;);
e Soggetti Importanti (tutti i soggetti degli altri settori critici, dalla dimensione di media impresa in su, quali ad esempio i servizi postali e di corriere, della gestione dei rifiuti, fornitori di servizi digitali, ecc.).
L’ambito di applicazione della NIS2 si estende dunque ad altre entità, comprendendo settori come la produzione chimica, la fabbricazione di dispositivi medici, la lavorazione degli alimenti e i servizi di social network, che non rientravano nella giurisdizione del NIS.
Sebbene queste classificazioni condividano obblighi simili, le entità essenziali saranno soggette a un controllo normativo più severo e ad azioni esecutive.
Ai sensi dei criteri del dimensionamento, sono automaticamente coinvolte tutte le grandi imprese dei settori individuati, vale a dire quelle con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.
Sono inoltre coinvolte le medie imprese, ossia quelle con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro o con un totale di bilancio annuo non superiore a 43 milioni di euro, che operano nei settori individuati.
Diversi i criteri per l’individuazione delle Pubbliche Amministrazioni, che lasciano maggiore spazio di valutazione agli Stati membri in fase di recepimento. Si aggiungono infine alcune categorie specifiche di soggetti, anche piccole imprese, individuate più puntualmente nella Direttiva.
Ne consegue un ampliamento significativo della platea di soggetti impattati dalla Direttiva: secondo le stime presentate dalla Commissione Europea, saranno coinvolte direttamente circa 110.000 organizzazioni, suddivise, indicativamente, tra 67.000 soggetti essenziali e 43.000 soggetti importanti. A livello italiano, il numero potrebbe aggirarsi intorno ai 15.000 soggetti complessivamente. Importanti naturalmente anche le ricadute sulla catena di fornitura.
La protezione della Supply Chain
La nuova direttiva richiede alle organizzazioni di occuparsi della sicurezza della catena di approvvigionamento, compresi i rischi creati dalle relazioni con i fornitori.
Un aspetto cruciale, quest’ultimo, in quanto molti attacchi avvengono a causa di vulnerabilità dei fornitori terzi. Le organizzazioni devono quindi valutare la qualità e la resilienza dei prodotti e dei servizi che utilizzano per garantire che non costituiscano un punto debole per i fornitori di servizi essenziali. È inoltre importante che le organizzazioni valutino come i loro fornitori terzi gestiscono la sicurezza informatica e se le misure che utilizzano sono abbastanza solide da proteggere l’intera catena di fornitura.
Per garantire un livello comune di sicurezza informatica con tutti i fornitori e ridurre le possibilità di incidenti informatici, i fornitori di servizi essenziali devono includere le misure richieste nei contratti con i fornitori terzi.
Cooperazione e coordinamento a livello europeo: EU-CyCLONe
Molto rilievo è dato, nella Direttiva NIS2, alla cooperazione tra gli Stati membri.
È stata infatti prevista la formazione dell’Organizzazione EU-CyCLONe composta da rappresentanti dei Paesi dell’UE incaricati di gestire le crisi informatiche e, se necessario, da rappresentanti della Commissione europea.
L’obiettivo principale di EU-CyCLONe è quello di coordinare il modo in cui i diversi Paesi affrontano i principali problemi di sicurezza assicurandosi che questi siano ben preparati a gestire incidenti e crisi informatiche; che sia sviluppata una comprensione condivisa di ciò che accade durante questi incidenti e crisi; che sia valutato adeguatamente l’impatto degli incidenti; che i leader politici siano guidati a prendere le migliori decisioni in merito.
EU-CyCLONe riferirà regolarmente al gruppo di cooperazione sui principali incidenti e tendenze in materia di sicurezza informatica, in particolare quelli che interessano organizzazioni e servizi essenziali.
Entro il 17 luglio 2024, e successivamente ogni 18 mesi, l’organizzazione presenterà una relazione al Parlamento europeo e al Consiglio, illustrando le sue recenti attività.
Le emergenze
Per garantire una risposta rapida, la NIS2 prevede che le organizzazioni colpite inviino una notifica tempestiva al Computer Security Incident Response Team (CSIRT), o a un’autorità nazionale competente, entro 24 ore dal verificarsi di un incidente informatico significativo, ossia quello che provoca una grave interruzione dei processi o una perdita finanziaria per l’organizzazione o che causa un danno materiale o immateriale considerevole a un’altra persona. Se necessario, le organizzazioni possono anche chiedere assistenza per implementare eventuali misure di mitigazione. Le autorità risponderanno alla notifica, offriranno indicazioni su come gestire l’incidente e informeranno gli altri Paesi interessati, se necessario.
Entro 72 ore dal momento in cui viene a conoscenza dell’incidente, l’organizzazione colpita deve fornire dettagli sull’attacco nonché una valutazione iniziale del danno. Infine, entro un mese dalla notifica dell’incidente, l’organizzazione interessata deve fornire un rapporto con una descrizione dettagliata della gravità, dell’impatto, della causa principale e delle misure di mitigazione applicate dall’organizzazione.
Igiene informatica
Con le minacce informatiche sempre più complesse e sofisticate, è fondamentale che le organizzazioni mantengano un livello base di pratiche di sicurezza e di igiene informatica per la protezione delle infrastrutture essenziali: aggiornamenti regolari di software e hardware, modifiche periodiche delle password, gestione delle nuove installazioni, limitazioni degli account di accesso a livello di amministratore e backup dei dati.
Inoltre, poiché molti attacchi avvengono attraverso dispositivi connessi, la formazione dei dipendenti e la sensibilizzazione degli utenti sulle minacce informatiche comuni sono fondamentali per rafforzare la catena di sicurezza.