NIS2 e i cambiamenti normativi, quale impatto sulle imprese?

Dal prossimo 17 ottobre 2024 molte aziende si dovranno uniformare alla direttiva Ue NIS2 sulla cybersecurity. Ma, in pratica, cosa significa e cosa comporterà?

nis2

Probabilmente, la direttiva NIS2 che sarà effettiva il 17 ottobre 2024 sarà ricordata come il primo importante passo a livello comunitario per contrastare il cybercrime. Questo non solo per le novità normative che introduce, ma anche perché riguarderà un vasto numero di aziende, soprattutto medie e grandi, e tutta la loro filiera. Ciò porta facilmente a supporre che entro qualche tempo la conformità alla norma possa diventare un prerequisito per tutte le imprese, indipendentemente dalle dimensioni. Pena l’impossibilità di lavorare per determinati clienti o potersi approvvigionare da certi fornitori. E nel caso non si rispetti la direttiva, NIS2 non si limita a sanzioni per l’azienda, ma prevede anche la responsabilità personale di chi doveva verificare l’aderenza alla normativa.

Quali sono gli obiettivi della NIS2

La prima direttiva NIS (acronimo di Network and Information Systems) è entrata in vigore nel maggio del 2018 con l’obiettivo di avere in tutta l’UE il medesimo livello in materia di sicurezza delle reti e dei sistemi di informazione. Aveva un campo di applicazione molto limitato (solo gli operatori di servizi essenziali) e mirava a evitare impatti drammatici, sia economici sia sociali, dovuti ad attacchi a strutture strategiche. NIS ha però mostrato una serie di limitazioni, prime fra tutte una mancanza di rigore (che ha portato a investimenti insufficienti in sicurezza informatica), poca chiarezza (c’è così stata un’applicazione incoerente della direttiva nei vari Stati dell’UE) e un aumento dei cyber attacchi (con scarsa trasparenza nella loro segnalazione) dovuti al fatto che alcune infrastrutture non possedevano nemmeno i sistemi di protezione di base.  di trasparenza nella segnalazione degli attacchi.

La UE ha quindi deciso di creare una nuova versione della norma, che ne riprendesse i concetti base ma che li attualizzasse. È nata così la NIS2, direttiva che incrementa il livello di protezioneestende il raggio di applicazione e introduce leggi e sanzioni coerenti per tutti i Paesi UE.

Quali sono i punti focali della direttiva

La direttiva NIS2 si propone di colmare le lacune delle norme precedenti, adattarle alle esigenze attuali e renderle adeguate per il futuro. Amplia il campo di applicazione includendo nuovi settori in base al loro grado di digitalizzazione e importanza per l’economia e la società e stabilisce che tutte le imprese di medie e grandi dimensioni in settori selezionati saranno incluse. Gli Stati membri hanno la discrezione di includere anche entità più piccole con un elevato profilo di rischio per la sicurezza.

La direttiva elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, classificando le entità in base alla loro rilevanza in due categorie: soggetti essenziali e importanti, ognuno con diversi regimi di vigilanza. Rafforza e semplifica gli obblighi di sicurezza e comunicazione per le imprese, imponendo un approccio di gestione del rischio con elementi di sicurezza di base, disposizioni più precise per la segnalazione degli incidenti e specifiche per il contenuto delle relazioni e delle scadenze.

nis2

Inoltre, NIS2 introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più stringenti e mira ad armonizzare i regimi sanzionatori tra gli Stati membri. Rafforza il ruolo del gruppo di cooperazione nella definizione delle decisioni strategiche e incrementa la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri. Migliora la cooperazione operativa all’interno della rete CSIRT e istituisce la rete EU-CyCLONe per la gestione coordinata degli incidenti e delle crisi di cybersecurity su larga scala.

Infine, NIS2 istituisce un quadro di base per la divulgazione coordinata delle vulnerabilità recentemente scoperte e crea una banca dati gestita dall’ENISA delle vulnerabilità note al pubblico nei prodotti e servizi ICT.

Chi deve rispettare la NIS2 (e chi e meglio che la rispetti anche se non obbligato)

Come si diceva, riguardo le strutture che devono uniformarsi alla direttiva, NIS2 introduce una distinzione tra settori essenziali e importanti.

Più in dettaglio, NIS2 garantisce l’adozione di misure di cybersecurity in settori essenziali per la nostra economia e società e che dipendono fortemente dall’ICT, quali

  • energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno);
  • trasporti (aria, ferrovia, acqua e strada);
  • banche e infrastrutture dei mercati finanziari;
  • salute, compresa la fabbricazione di prodotti farmaceutici (anche i vaccini);
  • acqua potabile;
  • acque reflue;
  • infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico);
  • Gestione dei servizi ICT (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), pubblica amministrazione e spazio.

Mentre i settori considerati importanti sono:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • prodotti chimici;
  • alimentari;
  • fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto;
  • fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking) e organizzazioni di ricerca.

La direttiva NIS2 amplia notevolmente l’ambito di applicazione dei settori e introduce un limite dimensionale per definire quali entità rientrano nel suo raggio di applicazione e sono quindi tenute a segnalare incidenti significativi di cybersecurity alle autorità nazionali competenti. Sono le imprese di dimensioni medio-grandi (con un minimo di 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano all’interno dei settori essenziali e importanti. Sono escluse le imprese più piccole, fanno però eccezione quelle la cui attività è ritenuta di importanza critica per la società. Gli Stati membri hanno discrezionalità nell’individuare le entità più piccole con un elevato profilo di rischio per la sicurezza.

nis2

NIS2 affronta anche il tema della sicurezza delle supply chain, richiedendo alle imprese di gestire i rischi di cybersecurity lungo tutta la filiera e nei rapporti con i fornitori. A livello europeo, rafforza la cybersecurity delle catene di approvvigionamento per le tecnologie ICT chiave, permettendo agli Stati membri, in collaborazione con la Commissione e l’ENISA, di effettuare valutazioni coordinate dei rischi a livello dell’Unione.

Cosa fare per mettersi in regola?

Gli altri aspetti che principalmente caratterizzano la nuova norma includono il rafforzamento e la semplificazione degli obblighi di sicurezza e comunicazione. La direttiva impone un approccio di gestione del rischio, con un elenco minimo di elementi di sicurezza di base che devono essere applicati. Introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze.

Più in dettaglio, gli obblighi devono comprendere almeno i seguenti elementi:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  • gestione degli incidenti;
  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
  • sicurezza della supply chain, compresi aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber security;
  • pratiche di igiene informatica di base e formazione in materia di cyber security;
  • politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Cosa succede se non si è in regola?

Nel caso vi sia una violazione delle disposizioni inerenti alla gestione dei rischi o agli obblighi di segnalazione, spetta agli Stati UE provvedere che i soggetti essenziali possano avere sanzioni pecuniarie amministrative fino a 10 milioni di euro o al 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore.

Allo stesso modo, i soggetti importanti possono subire sanzioni pecuniarie amministrative pari fino a 7 milioni di euro o dell’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.

La NIS2 prevede anche che gli Stati membri debbano provvedere affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e importanti in relazione alle violazioni della presente direttiva siano effettive, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.

Da sottolineare che la NIS2 impone obblighi diretti agli organi di gestione per quanto riguarda l’attuazione e la supervisione della conformità della loro organizzazione alla legislazione. I risultati della mancata conformità possono quindi essere di carattere personale e i singoli individui che sono ritenuti responsabili di non aver rispettato gli standard di cybersecurity richiesti, potrebbero essere temporaneamente interdetti dalle loro funzioni manageriali all’interno dell’azienda.

Come anticipato, gli Stati membri dovranno recepire la direttiva NIS2 entro il 17 ottobre 2024. La Commissione dovrà quindi riesaminare periodicamente il funzionamento della direttiva e riferire per la prima volta al Parlamento e al Consiglio entro il 17 ottobre 2027.

A partire dal prossimo ottobre, le aziende che rientrano negli elenchi redatti dalla UE dovranno quindi conformarsi alla nuova norma. Probabilmente, in molte situazioni non sarà un adeguamento drastico perché un assessment interno potrebbe portare a scoprire che molte delle richieste sono già soddisfatte in quanto sono le medesime previste dalla conformità con il risk management dell’ENISA o la gestione degli incidenti della ISO 27.000.

In ogni caso, sarà bene verificare sia la propria conformità sia quella della propria filiera per non correre il rischio di vedersi esclusi dal mercato.