News

Rimani aggiornato sul mondo Ricca IT
  • Home
  • Blog
  • News
  • Normativa Europea NIS2 sulla Cybersecurity: obblighi per enti e aziende
27 Settembre 2024

Normativa Europea NIS2 sulla Cybersecurity: obblighi per enti e aziende

Sicurezza

RECEPITA IN ITALIA DA OTTOBRE: COS’E’ E QUALI SANZIONI SI RISCHIANO

Direttiva NIS2: cos’è?

Il 27 dicembre 2022, è stata emanata dal Parlamento Europeo e dal Consiglio la Direttiva (UE) 2022/2555, nota come Direttiva NIS2 (Network and Information Security 2), abrogando la precedente Direttiva NIS (Direttiva (UE) 2016/1148).

La Direttiva NIS2 rappresenta un significativo passo avanti nella gestione della Cybersecurity all’interno dell’Unione Europea per la realizzazione, tra gli altri, dei seguenti macro-obiettivi: 

  1. Rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi critici, riducendo il rischio di incidenti informatici e migliorando i processi di risposta agli stessi;
  2. Stabilire una strategia comune di Cybersecurity a livello Europeo;
  3. Aumentare la consapevolezza situazionale, facilitando gli accordi di condivisione delle informazioni.

Da quando in vigore?

La Direttiva (UE) 2022/2555 è stata approvata dal Parlamento Europeo il 16 gennaio 2023, gli Stati membri hanno tempo fino al 17 ottobre 2024, per recepire le misure indicate all’interno del diritto nazionale. Ciò comporta lo sviluppo di piani nazionali per la cybersecurity e la formazione di team specializzati per supportare e controllare l’implementazione della Direttiva.
La Direttiva NIS2 si integra con altre normative e linee guida europee in materia di protezione dei dati e privacy, in primis il GDPR (General Data Protection Regulation), e a seguire il Regolamento DORA (Digital Operational Resilience Act), la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e, a livello Italiano, il Perimetro di Sicurezza Nazionale Cibernetica.

Recepimento in Italia

In Italia, in data 10 giugno 2024, il Consiglio dei Ministri ha approvato lo schema di Decreto Legislativo che intende recepire la Direttiva (UE) 2022/2555, stabilendo un sistema normativo che garantisca un elevato livello di sicurezza informatica in ambito nazionale, contribuendo alla sicurezza comune nell'UE. Il Decreto definisce una strategia nazionale di Cybersicurezza e integra il quadro di gestione delle crisi informatiche. Il Decreto, nella sia forma preliminare, conferma l'Agenzia per la Cybersicurezza Nazionale (“ACN”) come Autorità nazionale competente e punto di contatto unico NIS, con l’incarico di coordinare le attività a livello nazionale e garantire il raccordo con gli altri Stati membri e le istituzioni europee. 

Ambito di applicazione della Direttiva NIS2

La Direttiva NIS2 amplia il campo di applicazione, introducendo nuove categorie di operatori pubblici e privati e suddividendoli  in  Settori Altamente Critici ed Altri Settori Critici (a seguire) in base alla crucialità del servizio offerto dal punto di vista socio economico e della sicurezza.  
Le organizzazioni appartenenti ai suddetti settori vengono poi distinte in “Entità Essenziali” e “Entità importanti”  in base a criteri dimensionali. In particolare, le organizzazioni facenti parte dei Settori Altamente Critici saranno suddivise in Essenziali e Importanti a seconda che siano, sulla base di quanto previsto dall'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE ovvero:

  • grandi imprese, ossia imprese con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro, o un totale di bilancio annuo superiore a 43 milioni di euro -> Entità Essenziali
  • medie imprese, ossia imprese con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro, oppure con un totale di bilancio annuo non superiore a 43 milioni di euro -> Entità Importanti

I soggetti rientranti nell’ambito di applicazione della precedente Direttiva NIS, sono automaticamente classificati come Entità Essenziali.

Tabella 1 – Settori che rientrano nel perimetro di applicazione della Direttiva NIS2

La direttiva si applica anche indipendentemente dalle dimensioni dell'Operatore:

  • ai soggetti identificati come critici dalla Direttiva; 
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico; 
  • ai prestatori di servizi fiduciari; 
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio; 
  • ai fornitori di servizi di registrazione dei nomi di dominio.

La Direttiva NIS2 non si applica ai soggetti che svolgono attività nei settori della difesa o sicurezza nazionale, della pubblica sicurezza e della legislazione, ivi compresi la magistratura, i parlamenti nazionali e le banche centrali.

Obblighi delle Entità coinvolte

La Direttiva NIS2 introduce una serie di requisiti, in termini di misure tecnico-organizzative da adottare, ed obblighi per le società che rientrano nel perimetro di applicazione quali “Entità Essenziali” o “Entità Importanti”. 

Approccio multi-rischio

Le Entità devono adottare un approccio multi-rischio, che comprenda una valutazione completa dei rischi includendo minacce di tipo tecnico, come attacchi informatici e vulnerabilità dei sistemi, e minacce non prettamente tecniche, come attacchi fisici ed eventi naturali ed ambientali. A ciò si aggiungono i rischi derivanti dai processi interni e dalla gestione del personale, il che si traduce nel valutare l'efficienza dei processi operativi e garantire che il personale sia adeguatamente formato e consapevole delle problematiche di sicurezza. 
Aspetto cruciale, la necessità di considerare e tenere sotto controllo i rischi esterni, in particolare quelli legati alla catena di approvvigionamento (Supply Chain). Un attacco informatico subito da un fornitore, potrebbe avere ripercussioni sulla propria organizzazione.

Misure tecnico-organizzative

A fronte dei risultati prodotti dall’attività di valutazione dei rischi, la Direttiva NIS2 indica una serie di misure tecnico-organizzative che le Entità coinvolte sono chiamate ad applicare, ovvero: 

  • politiche relative all’analisi dei rischi e di sicurezza dei sistemi informatici;
  • gestione degli incidenti;
  • gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;
  • sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi legati alla cybersecurity;
  • pratiche di igiene informatica di base e di formazione in materia di cybersecurity;
  • politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori (cd. multi factor authentication) o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.

È necessario che tali misure vengano approvate dal Top Management, che deve essere consapevole e comprendere i requisiti e gli obblighi derivanti dall’appartenza al Perimetro della Direttiva, in quanto diretto responsabile nel caso di violazione di tali obblighi.

Obblighi di segnalazione e tempi di notifica degli incidenti

La Direttiva NIS2 prevede nuovi e stringenti obblighi di notifica in caso di incidente informatico. Questo impone alle società interessate di notificare al Computer Security Incident Response Team (di seguito, “CSIRT”) – istituito presso l’Agenzia per la Cybersicurezza Nazionale (di seguito, “ACN”) – tutti gli incidenti idonei a provocare impatti di natura “significativa”, intendendosi con tale definizione:

  • un incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per i soggetti interessati;
  • un incidente che si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

La Direttiva NIS2 prevede un processo di segnalazione più specifico, completo e con tempistiche certe. In tal senso, sono previsti:

  1. un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente (invio del cd. “early warning”);
  2. una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
  3. una relazione finale entro un mese dalla trasmissione della notifica, a completamento del processo di segnalazione, che comprenda: una descrizione dettagliata dell’incidente (comprensiva di gravità e impatto); l’indicazione della tipologia di minaccia o la causa che verosimilmente ha dato seguito all’incidente; le misure di remediation adottate e – laddove opportuno – l’impatto a livello transfrontaliero dell’incidente

Quali sono le sanzioni?

La mancata osservanza degli obblighi della Direttiva NIS2 comporta sanzioni che variano in base alla tipologia del soggetto:

  • Entità essenziali: pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente, a seconda di quale importo è superiore
  • Entità Importanti: Pari a un massimo di almeno 7.000.000 EUR o a un massimo di almeno l'1,4% del totale del fatturato mondiale annuo per l'esercizio precedente, a seconda di quale importo è superiore

Sono inoltre possibili sanzioni indirizzate al Management: in caso di violazioni i dirigenti possono incorrere in sanzioni tra cui responsabilità anche di natura penale e l’interdizione temporanea dalle mansioni dirigenziali, pertanto il Management deve supervisionare, approvare l’analisi dei rischi e le procedure di sicurezza informatica dell'azienda, e riceva formazione adeguata.

Come prepararsi

La Roadmap di conformità in 15 punti secondo Ricca IT

Il percorso di Compliance alla Direttiva NIS2 prevedere la gestione di una serie di aspetti, di governance e tecnologici, indicati si seguito.

  1. Stabilire un solido processo di Governance della Cybersecurity, definendo attori, ruoli e responsabilità
  2. Condurre attività di Assessment della propria infrastruttura ICT, allo scopo di:
    • Realizzare un inventario dettagliato dei propri Asset 
    • Documentare in maniera precisa e dettagliata la propria architettura di rete e dei sistemi
  3. Realizzare una Valutazione del rischio collegato al contesto specifico aziendale attraverso la progettazione ed implementazione di un framework di Risk Management
  4. Valutare la propria Cybersecurity Posture e condurre una Gap Analysis, per individuare le aree e dunque le misure di intervento più appropriate e necessarie
  5. Stabilire regole di Igiene Digitale, Formazione e Consapevolezza del personale:
    • Definire programmi di formazione strutturata per il personale
    • Formare Dirigenti e Manager per istruirli su responsabilità normative, obblighi e rischi sanzionatori
  6. Definire l’approccio all’organizzazione della Cybersecurity e della Continuità Operativa, attraverso:
    • Politiche (Livello Strategico)
    • Processi (Livello Tattico)
    • Procedure (Livello Operativo)
  7. Definire un Framework per la gestione della Sicurezza della Supply Chain
    • Requisiti di sicurezza per la Supply Chain Security
    • Politiche e procedure per la gestione della Supply Chain Security 
    • Controllo e Audit di sicurezza sulla catena di approvvigionamento
  8. Gestire gli Incidenti e gli obblighi di notifica atraverso:
    • Politiche e Procedure di Incident Management 
    • Reportistica e notifica incidenti secondo gli obblighi stabiliti dalla Direttiva NIS2
    • Dotarsi di una procedura per l’individuazione e la segnalazione di eventi significative e incidenti al CSIRT nazionale (gestito dall’ACN)
  9. Definire e gestire i Piani di Business Continuity, inclusi i Piani di Incident Response e Disaster Recovery
  10. Implementare Misure tecnologiche a supporto della Business Continuity
    • Soluzioni tecnologiche per la ridondanza e l’alta affidabilità delle infrastrutture di calcolo e trattamento dati
    • Soluzioni tecnologiche per la ridondanza ed alta affidabilità delle infrastrutture di rete
    • Servizi di monitoraggio di infrastrutture ICT
    • Soluzioni di backup e ripristino
  11. Implementare Misure tecnologiche avanzate e centralizzate per la gestione degli accessi
    • Soluzioni per la gestione degli accessi e delle identità (IAM) e per l’autenticazione robusta (Multi Factor Autentication)
    • Soluzioni per la gestione degli accessi privilegiati (PAM - Privileged Access Management)
  12. Implementare Misure tecnologiche per la gestione delle Vulnerabilità
    • Soluzioni per il Patch Management
    • Soluzioni per l’Assessment delle Vulnerabilità, il pen Testing e la gestione dei Piani di remediation
  13. Implementare Misure tecnologiche per la segmentazione e l’accesso sicuro alle reti aziendali
    • Tecniche di segmentazione (VLAN)
    • Soluzioni per il controllo accessi alla rete in base a Policy di sicurezza pre-definite (Network Access Control - NAC)
  14. Implementare Misure tecnologiche per il monitoraggio, la prevenzione e il di malware e minacce 
    • Soluzioni di EndPoint Protection (EPP)
    • Soluzioni di Endpoint Detection and Response (EDR)
    • Soluzioni di rilevamento avanzate che includano il rilevamento di minacce in rete, in cloud, sui sistemi di condivisione e relative a comportamenti anomali degli utenti (NDR, XDR)
    • Security Operation Center (SOC) che aggiunge alle soluzioni di rilevamente sopra citate, le capacità di collection, analisi e correlazione dei log dei SIEM (Security Incident and Event Management) e di automazione della risposta di tipo SOAR (Security Orchestration, Automation and Response)
  15. Implementare Misure tecnologiche per il monitoraggio, il rilevamento e la rispost ad eventi di sicurezza 
    • Security Operation Center (SOC) che aggiunge alle soluzioni di rilevamente di malware e minacce sopra citate, capacità di aggregazione, analisi e correlazione dei log attraverso soluzioni SIEM (Security Incident and Event Management) e di automazione della risposta di tipo SOAR (Security Orchestration, Automation and Response)

Qui un breve video dell’evento dedicato nel Ricca Innovation Center nel luglio 2024

CONTATTACI per applicare la normativa per la Cybersicurezza, non mettere a rischio i tuoi dati e non rischiare sanzioni