Direttiva NIS2: il termine di registrazione è vicino. Ecco cosa devono fare le imprese

Qualcuno potrebbe cedere alla nostalgia dei bei tempi passati, nonostante la truffa sia sempre truffa: c’erano una volta la cambiale farlocca e l’assegno ballerino; oggi ci sono la rete, gli strumenti digitali, il cyberspazio. Con il mutare dei tempi e degli strumenti, a cambiare sono anche i raggiri. Di fronte alla crescete abilità degli hacker, anche gli impianti e gli strumenti normativi devono cambiare per poter affrontare in modo adeguato gli attacchi.

Ultima fra i nati, a livello europeo, è la Direttiva NIS2, che si pone l’obiettivo di rafforzare la resilienza dei sistemi informatici e alzare il livello di sicurezza in tutti gli Stati membri della Ue, combinando il proprio effetto a quello di altre direttive precedenti come il GDPR sulla protezione dei dati e della privacy, il Regolamento DORA (Digital Operational Resilience Act) e il Cyber Resilience Act.

Entro il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa devono registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN).
L’inosservanza delle indicazioni dell'ACN può dar luogo a pesanti sanzioni amministrative pecuniarie che possono raggiungere anche lo 0,1% del totale del fatturato annuo su scala mondiale per l'esercizio precedente dell’organizzazione soggetta alla Direttiva. Le stesse sanzioni sono previste anche in caso di “mancata registrazione, comunicazione o aggiornamento delle informazioni”.

Prima di procedere sul sito della ANC, l’impresa dovrà individuare una figura di riferimento che rivestirà il ruolo di “Punto di contatto” con l’Agenzia per la Cybersicurezza Nazionale. Questa figura dovrà assicurarsi che le disposizioni normative vengano attuate, a partire dalla registrazione sino alle interlocuzioni con l’Autorità competente.

La NIS 2 amplia la precedente direttiva NIS del 2016:

• Elimina la distinzione tra gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (DSP), introducendo nuove categorie di operatori basate sull'importanza del servizio offerto.
• Estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici per il funzionamento socioeconomico dell'UE.
• Stabilisce anche un quadro più dettagliato per le misure di sicurezza, richiedendo un approccio multirischio e la segnalazione tempestiva di incidenti significativi alle autorità competenti.

La Direttiva interessa undici settori definiti “altamente critici” e sette, di nuova introduzione, definiti “critici”. I primi si considerano vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica. Nei secondi fanno parte altre organizzazioni che dovranno rispettare i requisiti di sicurezza imposti dalla Direttiva.

Ecco i settori principali:

• Energia: aziende e utility operanti nella generazione, distribuzione e fornitura di energia, incluse le reti elettriche intelligenti.
• Trasporti: infrastrutture ferroviarie, aeree, marittime e stradali.
• Bancario e finanziario: istituti bancari e mercati finanziari, con una particolare attenzione alla sicurezza delle transazioni digitali.
• Sanità: ospedali, fornitori di servizi sanitari e aziende farmaceutiche.
• Fornitura e distribuzione di acqua potabile: gestori dell’infrastruttura idrica.
• Infrastrutture digitali: fornitori di servizi cloud, data center, servizi DNS e reti di distribuzione dei contenuti (CDN).
• Pubblica Amministrazione: enti governativi e istituzioni pubbliche che gestiscono dati sensibili.
• Tecnologie spaziali: attività legate all’osservazione della Terra, alle telecomunicazioni satellitari e alla navigazione globale.

Ecco tutti i passi che devono seguire le aziende per implementare la NIS2 al loro interno:

• Valutazione e gestione del rischio: le aziende devono potenziare, e renderlo robusto, un sistema di gestione dei rischi legati alla sicurezza informatica valutandoli in modo continuativo ed approfondito.
• Identificazione delle vulnerabilità: ogni impresa deve effettuare una mappatura accurata delle sue infrastrutture tecnologiche, identificando i punti deboli che potrebbero essere sfruttati da attaccanti esterni. L’analisi delle vulnerabilità deve coprire reti, sistemi, processi aziendali e gestione delle risorse umane.
• Adozione di un piano di mitigazione: dopo aver identificato i rischi, l’azienda deve elaborare e attuare un piano di mitigazione basato su una valutazione di impatto che consideri la probabilità di un attacco e la gravità delle conseguenze. L’adozione di misure preventive, come firewall avanzati, crittografia dei dati e accessi privilegiati ben controllati, è cruciale per limitare i danni in caso di attacco.
• Notifica degli incidenti.

Devono essere segnalati sono quelli che hanno un impatto significativo sulla sicurezza delle reti o dei sistemi informativi. Ecco come:

• Segnalazione tempestiva: gli incidenti devono essere notificati alle autorità competenti entro 24 ore dalla scoperta. Le autorità possono avviare le indagini necessarie per contenere il danno.
• Relazione dettagliata: entro 72 ore dall’incidente, l’azienda deve fornire una relazione completa che includa la natura dell’incidente, i sistemi compromessi, le misure di contenimento adottate e i danni subiti.

La Direttiva NIS2 non impatta solo sulla sicurezza interna aziendale, ma anche sulle filiere di approvvigionamento. In questo caso, le aziende devono:

• Monitorare i fornitori: bisogna valutare i rischi legati ai fornitori di beni e servizi critici controllando le loro politiche di sicurezza informatica e la valutazione dei potenziali impatti negativi se, tali fornitori, dovessero subire un attacco informatico.
• Imporre requisiti di sicurezza contrattuali: le aziende devono inserire nelle contrattazioni con i fornitori specifici requisiti di sicurezza informatica, come l’obbligo di utilizzare standard di protezione adeguati e di notificare tempestivamente qualsiasi incidente che possa compromettere la sicurezza.

L’osservanza dei requisiti aiuta le imprese a:

• Promuovere un ambiente digitale più sicuro e resiliente.
• Migliorare l’igiene digitale e a mettere in campo un pacchetto fatto di misure, politiche e tecnologie che possano identificare, prevenire e rispondere efficacemente alle minacce informatiche, proteggendo così le infrastrutture critiche e i dati sensibili.
• Aumentare la consapevolezza e la preparazione del personale rendendo l'azienda più robusta di fronte alle minacce emergenti.