La nuova cybersecurity è "europea": a ottobre cambia tutto

La Direttiva NIS2, entrata in vigore il 17 gennaio 2023, segna un punto di svolta nella regolamentazione della cybersecurity all'interno dell'Unione Europea, mirando a consolidare un alto livello di sicurezza delle reti e dei sistemi informativi tra gli Stati membri. Con l'obiettivo di adeguarsi entro il 17 ottobre 2024, è essenziale che le imprese, soprattutto quelle di medie e grandi dimensioni, comprendano i cambiamenti e le nuove responsabilità imposte.

Facciamo il punto della situazione con il supporto di Camillo Cigaina, Servizio Innovazione e Sviluppo di Artser.

La NIS2 non solo aggiorna la precedente Direttiva NIS1 del 2016, ma si rende necessaria a fronte di un aumento significativo della digitalizzazione, che ha ampliato la superficie di attacco informatico delle aziende.

Questo fenomeno è stato ulteriormente accelerato dall'emergenza sanitaria legata al Covid-19, evidenziando la critica necessità di una normativa aggiornata che tenesse il passo con le evoluzioni tecnologiche e le nuove minacce informatiche.

La Direttiva NIS2 si applica a:

• Operatori di servizi essenziali (OSE): aziende nei settori dell'energia, trasporti, banche, infrastrutture finanziarie, acqua, sanità, e infrastrutture digitali.
• Fornitori di servizi digitali (DSP): piattaforme di e-commerce, motori di ricerca, e fornitori di servizi cloud.

Anche enti pubblici e aziende di dimensioni medie e grandi che operano in questi settori sono tenuti a conformarsi alle nuove regolazioni.

Gli obblighi imposti dalla direttiva includono:

• Gestione dei rischi: adozione di misure tecniche e organizzative per mitigare i rischi di cybersecurity.
• Segnalazione degli incidenti: notifica tempestiva degli incidenti di sicurezza alle autorità competenti.
• Cooperazione transfrontaliera: condivisione di informazioni su rischi e incidenti per facilitare una risposta coordinata.

L'articolo 21 della Direttiva enfatizza l'importanza di adottare misure tecniche e organizzative che siano non solo adeguate ma anche proporzionate ai rischi informatici specifici di ciascun ente. Per gli imprenditori, comprendere questi requisiti è essenziale per garantire non solo la conformità, ma anche la resilienza operativa dell'azienda. 

Ecco un elenco ampliato e dettagliato delle misure di cybersecurity richieste:

1. Analisi dei rischi e policy di sicurezza delle informazioni: sviluppo di un framework completo per l'identificazione, la valutazione e la gestione dei rischi informatici. Inclusione di policy chiare e dettagliate su come proteggere le informazioni sensibili e critici.
2. Gestione completa degli incidenti: implementazione di procedure per la rapida identificazione, risposta e mitigazione degli incidenti di sicurezza. Ciò include la preparazione di team dedicati alla risposta agli incidenti (Incident Response Teams).
3. Gestione della crisi e della continuità operativa: creazione di piani di continuità operativa che assicurino la capacità di mantenere o ripristinare rapidamente le operazioni critiche in caso di gravi interruzioni o attacchi.
4. Sicurezza efficace della supply chain: valutazione e mitigazione dei rischi associati ai fornitori e partner commerciali. Questo include la stipulazione di accordi che impongano standard di sicurezza adeguati lungo tutta la catena di approvvigionamento.
5. Sicurezza della rete estesa: protezione delle infrastrutture di rete contro accessi non autorizzati e minacce esterne. Implementazione di robusti firewall, sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) e altre tecnologie di sicurezza di rete.
6. Gestione delle vulnerabilità e divulgazione: adozione di programmi regolari per la scansione, l'identificazione e la correzione delle vulnerabilità nei software e nei sistemi. Promozione di una politica di divulgazione trasparente per affrontare e comunicare le vulnerabilità scoperte.
7. Policy e procedure per la valutazione dell'efficacia della gestione del rischio di cybersecurity: implementazione di audit regolari e revisioni delle misure di sicurezza per valutare la loro efficacia. Sviluppo di indicatori di prestazione chiave (KPI) per misurare la robustezza delle politiche di sicurezza.
8. Uso della crittografia e della cifratura: applicazione di tecnologie di crittografia avanzate per proteggere dati sensibili sia in transito che a riposo, assicurando che le informazioni rimangano inaccessibili a entità non autorizzate.
9. Uso dell'autenticazione multifattore: implementazione dell'autenticazione multifattore come strato aggiuntivo di sicurezza per accedere ai sistemi aziendali e alle informazioni sensibili, riducendo il rischio di accessi indesiderati tramite credenziali compromesse.

La mancata conformità alle disposizioni può comportare sanzioni significative:

• fino a 10.000.000 di euro o il 2% del fatturato globale per gli operatori di servizi essenziali.
• fino a 7.000.000 di euro o il 1,4% del fatturato globale per gli operatori di servizi importanti.

• Adozione di strategie di cybersecurity: elaborazione e implementazione di policy e procedure di sicurezza.
• Creazione di autorità nazionali: stabilimento di enti responsabili per la sicurezza informatica e la gestione delle crisi.
• Investimenti in sicurezza: miglioramento della sicurezza delle reti e delle informazioni attraverso tecnologie avanzate come la crittografia e l'autenticazione multifattore.

La NIS2 rappresenta quindi una tappa cruciale per le imprese europee, ponendo nuove sfide ma anche creando un ambiente più sicuro e resiliente. Per gli imprenditori, è fondamentale non solo comprendere ma anche anticipare questi cambiamenti, investendo in tecnologie avanzate e formazione del personale per garantire la conformità e proteggere efficacemente i propri asset digitali. In vista della scadenza per il recepimento nazionale, è opportuno che tutte le imprese coinvolte inizino immediatamente a valutare e adattare i propri sistemi e processi alle nuove normative. Collaborare con esperti di cybersecurity e partecipare attivamente a workshop e seminari sull'argomento può accelerare questo processo di adattamento, contribuendo a formare una cultura aziendale che pone la sicurezza informatica al centro delle proprie priorità operative.