L’UE accelera sulla cybersecurity: tutto quello che c’è da sapere sulla NIS 2

Nel 2023 è entrata in vigore la nuova direttiva UE sulla sicurezza informatica, la NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022). Parliamo di un framework di riferimento al quale si devono adeguare alcune imprese, in particolare quelle che si occupano di servizi di importanza critica, mirato a rafforzare la sicurezza. Gli Stati hanno ancora qualche mese per recepirla e adeguarla alla specificità del proprio Paese: la data ultima per il recepimento è il 17 ottobre. Nel 2026, infine, le aziende che ricadono nelle categorie di applicabilità dovranno adeguarsi.

NIS 2: una platea molto più ampia

Come intuibile dal nome, NIS 2 altro non è che l’evoluzione di una normativa già vigente, la NIS, la Direttiva UE 2016/1148 del 6 luglio 2016. La prima NIS stabiliva una serie di obblighi di cyber sicurezza a una specifica platea di aziende definite secondo tre parametri: il settore in cui operano, le dimensioni e il ruolo che occupano nell’ambito di riferimento. La NIS 1 includeva le imprese che si occupavano di energia, trasporti, infrastrutture digitali. Ma anche banche e istituti finanziari, digital service provider, utility e sanità.

La NIS 2 amplia notevolmente il raggio, e con la sua entrata in vigore dovranno adeguarsi anche le realtà che operano nel settore alimentare, la Pubblica Amministrazione, i servizi postali e di corriere, le imprese manifatturiere, quelle che si occupano di smaltimento di rifiuti. E ancora quelle attive nel settore spaziale, nella ricerca, nella chimica, oltre a chi si occupa di erogare servizi ICT (come cloud, marketplace online, motori di ricerca) e le telco.

NIS 2 lascia anche meno spazio di manovra ai singoli Paesi rispetto alla precedente normativa: se infatti con la NIS 1 gli Stati membri potevano indicare quali erano gli operatori di servizi considerati essenziali, la NIS 2 sotto questo profilo è molto più specifica. Nell’ambito del manifatturiero, per esempio, ricadono quelle aziende che producono dispositivi medici e dispositivi medico-diagnostici in vitro; computer e prodotti di elettronica; autoveicoli, rimorchi e mezzi di trasporto in genere.

Le aziende coinvolte dalla NIS2

Andando nello specifico, queste le imprese che dovranno adeguarsi alle nuove norme:

• aziende attive nella produzione e distribuzione energia;
• servizi sanitari;
• trasporti;
• infrastrutture di comunicazione elettronica;
• Servizi bancari e finanziari
• e-commerce;
• motori di ricerca;
• aziende che erogano servizi di cloud computing;
• aziende che si occupano di gestione dei servizi ICT, della PA e attive nel settore aerospaziale.
• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, la produzione e la distribuzione di sostanze chimiche;
• produzione, la trasformazione e la distribuzione di alimenti;
• fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
• fabbricazione di computer e prodotti di elettronica e ottica;
• fabbricazione di apparecchiature elettriche;
• fabbricazione di macchinari e apparecchiature n.c.a.;
• fabbricazione di autoveicoli, rimorchi e semirimorchi;
• fabbricazione di altri specifici mezzi di trasporto;
• fornitori di servizi digitali;
• enti di ricerca.

Le dimensioni dell’azienda

Un ulteriore parametro di applicazione sono le dimensioni. Se le piccole aziende potrebbero essere escluse dall’applicazione, nonostante operino nei settori sopra indicati, quelle medie devono necessariamente adeguarsi. Per definire le dimensioni, si fa riferimento alla Raccomandazione 2003/361/CE, che specifica come piccole imprese quelle aziende con meno di 50 dipendenti e un fatturato o totale di bilancio inferiore ai 10 milioni. Sino a 250 dipendenti e 50 milioni di fatturato (o 43 milioni di totale di bilancio annuo), si parla invece di media impresa.

Attenzione però: non tutte le piccole imprese sono automaticamente escluse.

I soggetti “essenziali” e quelli “importanti”

La direttiva UE NIS 2 distingue tra due categorie di soggetti operanti nel settore della sicurezza delle reti e dell’informazione: i soggetti “essenziali” e i soggetti “importanti”. I soggetti essenziali sono quelli che forniscono servizi fondamentali per il mantenimento delle funzioni vitali della società e dell’economia, come il settore energetico, i trasporti, la salute, l’acqua e le infrastrutture digitali. Questi soggetti sono sottoposti a requisiti più stringenti in termini di sicurezza e di notifica degli incidenti informatici alle autorità competenti. I soggetti importanti sono quelli che offrono servizi rilevanti per la pubblica amministrazione o per gli utenti privati, come il commercio elettronico, i social network, i motori di ricerca, i servizi cloud e i marketplace online. Questi soggetti devono comunque garantire un livello adeguato di sicurezza delle loro reti e dei loro sistemi informativi, ma sono esentati dall’obbligo di notifica degli incidenti, salvo disposizioni nazionali diverse. Entrambe le categorie di soggetti sono individuate dagli Stati membri secondo criteri stabiliti dalla direttiva.

Cosa cambia all’atto pratico per questo tipo di realtà? Fondamentalmente chi eroga servizi considerati “essenziali” saranno soggetti a una vigilanza preventiva (ex ante, in termini legali) ed una successiva (ex post) in caso di incidenti. I soggetti “importanti”, invece, saranno soggetti solo a controlli ex post.

Se non si superano questi controlli, sono previste multe anche molto salate. Per le imprese che gestiscono servizi essenziali si può arrivare fino a 10 milioni di euro o il 2% del fatturato. Per i soggetti importanti, invece, sono previste multe sino a un massimo di 7 milioni di euro o sino all’1,4% del fatturato.

Cosa devono fare le aziende all’atto pratico?

In pratica, le aziende devono dimostrare di aver messo in atto una serie di misure per la prevenzione degli incidenti informatici e dei piani di gestione nel caso si verifichi un incidente. Al di là di tutte le misure di sicurezza adottate, non è infatti possibile garantire l’invulnerabilità dagli attacchi, e per questo motivo è necessario essere pronti a reagire a ogni imprevisto con dei piani per ripristinare il corretto funzionamento dei sistemi il prima possibile.

A ben vedere, non si tratta di misure fantascientifiche: buona parte delle raccomandazioni, infatti, altro non sono che le classiche best practice del settore, come la crittografia dei dati sensili o l’abilitazione dell’autenticazione a più fattori, oggi considerata indispensabile non solo in ambiti professionali (industria, finanza, sanità), ma anche nella vita di tutti i giorni.

In pratica, la direttiva specifica che le imprese coinvolte dovranno adottare le seguenti misure:

• introdurre politiche di analisi dei rischi e sicurezza dei sistemi informatici;
• dotarsi di sistemi per gestire gli incidenti informatici;
• implementare soluzioni di business continuity che garantiscano la continuità operativa e la gestione della crisi;
• estendere le misure di sicurezza anche alle realtà della catena di approvvigionamento;
• implementare politiche di sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, inclusa la gestione e la divulgazione delle vulnerabilità;
• prevedere strategie per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
• adottare pratiche di igiene informatica basilari e formazione in materia di sicurezza informatica;
• integrare procedure per l’utilizzo della crittografia e della cifratura;
• adottare misure per la sicurezza delle risorse umane;
• prevedere l’uso diell’autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.

Il data breach recovery plan

Le imprese, come detto, devono prevedere dei piani di reazione in caso di incidente. A coordinare tutto sarà il responsabile per la sicurezza, una figura che sarà obbligatoria per tutte le aziende coinvolte dalla NIS 2, che dovrà occuparsi anche di definire le responsabilità e i ruoli delle persone che si occuperanno della gestione dell’incidente. Oltre che di definire le procedure da attivare in caso di fuga di dati.

Cosa devono fare le aziende in caso di incidente informatico significativo (cioè che si è ripercosso sui clienti o che ha causato interruzioni operative o perdite finanziarie)? La prima operazione da eseguire è quella di lanciare un preallarme entro 24 ore dalla scoperta dell’incidente. Successivamente, non oltre le 72 ore dalla scoperta dell’incidente, sarà necessario emettere una notifica pubblica che include ulteriori informazioni emerse dopo il preallarme.

Il nodo della supply chain

Un aspetto molto importante è che le aziende interessate dovranno anche assicurarsi che i fornitori della loro supply chain si adeguino a degli specifici standard di sicurezza. Questo anche se i fornitori non risiedono in territorio UE. Questo probabilmente sarà il nodo più complicato per le imprese, che dovranno coordinarsi e collaborare coi propri fornitori assicurandosi che anche questi abbiano adottato le misure necessarie. Non sarà facile con le imprese italiane, spesso di piccole dimensioni e non sempre sufficientemente mature sotto il profilo della cybersecurity, ma sarà ancora più complicato coi fornitori al di fuori dell’UE.

Avere la certezza che la catena di approvvigionamento sia allineata sui temi di sicurezza è però fondamentale. Non solo per essere a norma con la direttiva, ma anche per garantire un adeguato livello di sicurezza e di coordinazione in caso di incidente. Sempre più spesso, infatti, gli incidenti informatici partono proprio da qualche punto debole della supply chain. Ne sono un esempio i recenti data breach di Ticketmaster e Santaner, che a quanto pare sono originati da un attacco a un loro fornitore, Snowflake.

NIS 2: una questione di consapevolezza

La NIS 2, come abbiamo visto, non va a stravolgere quanto già viene fatto dalle aziende che operano in settori chiave. SI limita ad ampliare il raggio d’azione, coinvolgendo un numero molto maggiore di soggetti, e di specificare le sanzioni per eventuali inadempienze. Non entra nel merito delle soluzioni da adottare o su quali strumenti vanno integrati. Ma si tratta di un passaggio fondamentale, perché aumenterà la consapevolezza delle imprese, soprattutto le tantissime piccole imprese fino a oggi escluse e le realtà che fanno parte della supply chain. Che, se vogliono continuare a collaborare coi propri clienti, dovranno adeguarsi a nuove misure di sicurezza.

L’obiettivo principale, insomma, è quello di aumentare la consapevolezza e incrementare la soglia di attenzione, che è sicuramente necessario, soprattutto in Italia. Il tessuto imprenditoriale del Bel Paese è costituito da tante realtà di piccole dimensioni e che spesso, per esempio nel manifatturiero, non hanno la consapevolezza del rischio informatico. Ce lo confermano i tanti professionisti della sicurezza coi quali parliamo quotidianamente e che si trovano spesso a dover gestire incidenti informatici in vari settori. Troppo spesso, ci spiegano, non vengono rispettate misure minime di sicurezza e questo non sempre per una questione legata agli scarsi budget: quello che manca è la consapevolezza, il comprendere che subire un incidente informatico non è solo una scocciatura, ma può portare al blocco della produzione per giorni. E, in casi estremi, il danno può essere tanto grave da essere irrecuperabile. Proprio per questo è importante che le istituzioni, anche tramite normative come la NIS 2, mantengano alta l’attenzione e promuovano la consapevolezza del rischio.

Come sottolineano gli esperti che abbiamo intervistato per questo articolo (troverete le interviste in articoli separati), adeguarsi non sarà però semplicissimo. Il tema è complesso, e per alcune imprese ripensare le proprie procedure e adeguare le infrastrutture non sarà banale. Anche perché spesso mancano le competenze all’interno e trovare i talenti che le possiedono oggi non è facile. C’è però ancora tempo prima che venga ratificata da tutti gli Stati membri ed entri a tutti gli effetti in azione. Ed è fondamentale che già da adesso le imprese inizino a lavorare per farsi trovare pronte nel momento in cui entrerà in vigore. Che non è poi così lontano.