Direttiva NIS2: novità, obblighi, sanzioni e adeguamenti per la compliance

La Direttiva NIS 2 rappresenta un aggiornamento fondamentale per la Cybersecurity in Europa.

In risposta all’emergere di nuove vulnerabilità e minacce, comprese quelle derivanti dall’impiego delle tecnologie di AI per finalità malevole, l’Unione Europea ha introdotto la Direttiva NIS 2 (Network and Information Security Directive 2) allo scopo di rafforzare il quadro normativo per la protezione delle reti e dei sistemi informativi.

Recepita in Italia il 1° ottobre 2024 con il decreto legislativo 138/2024 che ne ha ufficializzato l’entrata in vigore dal 16 ottobre 2024, questa misura costituisce un’evoluzione della direttiva NIS del 2016, con l’obiettivo di garantire un livello elevato, comune e condiviso di sicurezza delle informazioni in tutti gli Stati membri.

Di seguito, analizzeremo nel dettaglio la NIS 2 così come le sue implicazioni per le aziende e gli operatori del settore IT. Capiremo inoltre quali sono le iniziative necessaire per un adeguato livello di compliance.

Cos’è la Direttiva NIS 2?

La NIS2 è un aggiornamento del quadro normativo introdotto con la Direttiva NIS (2016/1148/UE) che si concentrava sulla sicurezza delle reti e dei sistemi informativi in ambito UE. 

L’obiettivo principale della NIS 2 è quello di migliorare la resilienza e la sicurezza delle infrastrutture digitali, imponendo obblighi più severi alle imprese e agli Stati per prevenire, mitigare e rispondere agli incidenti informatici. Essa definisce inoltre requisiti più rigorosi in termini di gestione dei rischi, segnalazione degli incidenti e sicurezza operativa all’interno delle organizzazioni.

Particolarmente importante è poi principio di proporzionalità, per il quale le misure prescritte devono essere commisurate alle dimensioni di un’organizzazione, alla criticità dei servizi erogati e al livello di rischio.

Settori coinvolti e portata della Direttiva

Una delle principali novità della Direttiva riguarda la sua applicabilità ad un numero più ampio di settori rispetto a quelli inizialmente previsti. Nella versione originale la NIS si focalizzava sulle infrastrutture critiche, la NIS 2 include ora un insieme più vasto di servizi essenziali e digitali.

Alcuni dei comparti coinvolti includono infatti:

• Energia
• Fornitura di acqua potabile e gestione delle acque reflue
• Trasporti
• Sanità
• Infrastrutture finanziarie
• Provider di servizi di Cloud Computing, Hosting e altri servizi correlati
• Fornitori di servizi digitali
• Gestori di Data Center
• Servizi erogati dalla PA

Inoltre, la direttiva introduce una distinzione tra operatori di servizi essenziali, quelli ritenuti fondamentali per il funzionamento della società e dell’economia, e fornitori di servizi importanti, con requisiti specifici per ciascuno di essi.

Obblighi e sanzioni per gli operatori IT

Per gli operatori del settore IT, la NIS 2 comporta diversi adeguamenti ai fini della conformità. Particolare attenzione viene data a:

• Art. 20 – Governance: le organizzazioni devono nominare responsabili per la sicurezza informatica (CISO, Chief Information Security Officer) e garantire che le pratiche di Cybersecurity siano integrate a livello dirigenziale. Ciò assicura che la sicurezza informatica sia considerata una priorità strategica per l’azienda a partire dai suoi vertici.
• Art. 21 – Gestione del rischio di sicurezza: le imprese devono adottare misure di sicurezza avanzate per la gestione del rischio, basate su standard riconosciuti e aggiornati. Devono essere implementati inoltre piani di continuità operativa e misure di protezione per prevenire e mitigare gli attacchi informatici.
• Art. 23 – Segnalazione degli incidenti: NIS 2 introduce requisiti di segnalazione più rigorosi rispetto al passato. Gli operatori devono notificare gli incidenti significativi alle autorità competenti entro 24 ore dalla loro rilevazione. È poi richiesto un aggiornamento dettagliato entro 72 ore per la comunicazione di eventuali sviluppi o esiti di indagini interne.

Le sanzioni per eventuali violazioni variano in base alla gravità dell’infrazione e alle dimensioni dell’organizzazione coinvolta, sottolineando il principio di proporzionalità:

• per le violazioni più gravi si può arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale totale. Viene preso come riferimento l’importo più ingente.
• Fino a 7 milioni di euro o all’1.4% del fatturato annuo globale totale per le violazioni il cui livello di gravità non rientra nella categoria precedente.

Agli Stati membri spetta il compito di stabilire un sistema di valutazione che tenga conto della dimensione dell’azienda, del tipo di servizio fornito e del rischio associato ad un settore specifico. Le sanzioni devono essere quindi proporzionali alla criticità del servizio e al potenziale impatto di un incidente. 

La NIS2 dispone inoltre che la responsabilità della Cybersecurity debba essere implementata anche ai vertici di un’organizzazione, includendo dirigenti e board. I leader aziendali devono quindi assicurare che le decisioni riguardanti la sicurezza vengano prese consapevolmente, con le risorse necessarie e tramite la strutturazione dei processi.

Nuovi Standard per la resilienza nella Cybersecurity

Un altro aspetto chiave della Direttiva NIS 2 è la definizione di nuovi standard minimi per la sicurezza dei network e dei sistemi informativi. Gli operatori IT dovranno adottare infatti misure specifiche per migliorare la resilienza delle infrastrutture digitali, tra cui:

• Cifratura dei dati: diventa obbligatoria per proteggere i dati sensibili e garantire che informazioni critiche non vengano intercettate o alterate.
• Autenticazione multifattore (MFA): per garantire che soltanto gli utenti autorizzati abbiano accesso ai sistemi protetti.
• Patching e aggiornamenti regolari: la Direttiva impone di mantenere costantemente aggiornati i loro sistemi, applicando patch di sicurezza e aggiornamenti per correggere le vulnerabilità che dovessero emergere eventualmente nel tempo.

Best practices per la compliance

Per gli operatori del comparto IT, la conformità alla NIS 2 richiede una revisione accurata delle pratiche di sicurezza attualmente in essere e un aggiornamento dei processi interni. Tra le raccomandazioni chiave per prepararsi alla conformità con la Direttiva troviamo:

• Valutazione dell’attuale livello di compliance: cioè effettuare un audit completo delle pratiche di sicurezza correnti per identificare eventuali criticità, mancanze o lacune rispetto ai requisiti minimi previsti dalla NIS 2.
• Implementazione di un piano di gestione del rischio: quindi stabilire un piano formale per la gestione del rischio, con procedure chiare per la prevenzione e la risposta agli incidenti.
• Rafforzamento delle pratiche di governance: con cui garantire che la sicurezza informatica sia integrata nella strategia aziendale e che il CdA e la leadership aziendale siano direttamente coinvolti in fase di supervisione.
• Collaborazione con fornitori e partner: stabilendo accordi con fornitori terzi per assicurarsi che rispettino gli standard di sicurezza richiesti, con contratti che prevedano clausole specifiche e vincolanti sulla conformità alla NIS 2.
• Formazione del personale: assicurandosi che dipendenti e collaboratori siano adeguatamente formati e competenti sulle misure di sicurezza richieste e sulle procedure di segnalazione degli incidenti.

Le autorità nazionali avranno il potere di effettuare ispezioni e audit per verificare la compliance alle norme della direttiva. In caso di mancata conformità, potranno applicare le sanzioni previste.

L’importanza della GAP Analysis per la compliance

Come anticipato, la NIS2 stabilisce un elenco di misure tecniche e organizzative per il raggiungimento di una soglia minima di Cybersecurity, introducendo un vero e proprio nuovo paradigma legato al traguardo della compliance. Per questa ragione CriticalCase, in un’ottica di gestione ottimizzata del rischio, propone lo svolgimento di una Gap Analysis a seguito della quale valutare le misure da intraprendere prima di qualsiasi investimento mirato alla conformità delle misure di sicurezza. 

È infatti fondamentale tenere conto del fatto che la proporzionalità delle misure da attuare è determinata dal potenziale impatto di un qualunque incidente informatico. Ne consegue che maggiore è la gravità degli effetti, più ingente dovrà essere l’impegno per l’implementazione delle misure finalizzate alla gestione del rischio.

Nella gestione del rischio rientrano:

• politiche di analisi dei rischi dei sistemi informatici;
• garanzie di continuità operativa (ad esempio gestione di backup e ripristini);
• gestione degli incidenti;
• sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di network, comprese le modalità di divulgazione delle vulnerabilità emerse;
• pratiche di igiene informatica di base e formazione in tema di Cybersecurity;
• politiche e procedure sull’uso della crittografia e della cifratura;
• sicurezza della supply chain;
• strategie e procedure per valutare le misure di gestione dei rischi e la loro efficacia;
• sicurezza delle risorse umane.

A quanto elencato si aggiungono altre misure tecniche come l’uso dell’autenticazione multi-fattore o dell’autenticazione continua, così come di soluzioni per le comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti internamente. 

Eventuali criticità possono emergere, appunto, soltanto a seguito di una Gap Analysis approfondita che preceda il percorso verso la compliance.

Conclusioni

La Direttiva NIS 2 rappresenta una risposta alla crescente complessità delle minacce informatiche e pone nuovi standard per la sicurezza e la resilienza delle reti e dei sistemi informativi in Europa. Per gli operatori del settore IT, la conformità a questa direttiva richiede un approccio proattivo e coordinato per gestire il rischio informatico e garantire la protezione delle infrastrutture.

Verificare il proprio livello di compliance ed intervenire in tutti gli aspetti che potrebbero limitarla è quindi fondamentale sia per evitare sanzioni e che per garantire che un’organizzazione sia posizionata adeguatamente per affrontare le nuove sfide legate alla Cybersecurity.