Cosa è la Direttiva NIS 2

L’aumento dell’interconnessione e della digitalizzazione nella società ha incrementato la vulnerabilità di istituzioni, imprese e cittadini alle minacce informatiche. L’Unione Europea ha riconosciuto quindi la necessità di potenziare la capacità di resilienza e risposta a questi rischi sia a livello di Unione che di singoli Stati Membri, emanando la nuova direttiva UE 2022/2555 (Direttiva NIS 2).

La Direttiva, che sostituisce la precedente NIS in abrogazione a decorrere dal 18 ottobre 2024, aggiorna e rafforza la normativa sulla sicurezza delle reti e delle informazioni, introducendo misure di sorveglianza e requisiti di applicazione più severi, con sanzioni armonizzate in tutta l’UE.

Un altro elemento cruciale della NIS 2 è il ruolo potenziato delle autorità nazionali per la cybersicurezza, come l’Agenzia per la Cybersicurezza Nazionale (ACN) in Italia. Questa avrà il compito di gestire il coordinamento e l’identificazione dei soggetti interessati, oltre che di vigilare sul rispetto degli obblighi e di imporre sanzioni in caso di violazione.

A partire dal 18 ottobre 2024, verrà messa in funzione una piattaforma digitale sulla quale le organizzazioni coinvolte dovranno registrarsi, inserendo dettagli sulle proprie attività, servizi e altre informazioni rilevanti per la classificazione.

Entro 90 giorni dalla registrazione, l’ACN comunicherà se l’organizzazione è classificata come “soggetto essenziale” o “soggetto importante”. La NIS 2 sarà operativa dal 17 aprile 2025, data entro la quale l’ACN avrà verosimilmente ultimato l’elenco dei soggetti obbligati a conformarsi alla direttiva.

Questi soggetti potranno essere sottoposti a controlli periodici o mirati sulla sicurezza, condotti dall’ACN o da enti indipendenti.

Se un soggetto non rispetterà le prescrizioni della direttiva, l’ACN potrà emettere una diffida e, in caso di mancato adeguamento, applicare sanzioni. La NIS 2 prevede infatti sanzioni dettagliate per le violazioni, con multe significative soprattutto per i soggetti essenziali e importanti:

1. Per i soggetti essenziali (eccetto la PA), le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale cifra sia maggiore.
2. Per i soggetti importanti (sempre eccetto la PA), le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale.
3. Per le pubbliche amministrazioni, le multe vanno da 25.000 a 125.000 euro.

Le categorie di soggetti coinvolti

• Soggetti essenziali (EE): organizzazioni con almeno 250 dipendenti, ricavi superiori a 50 milioni di euro o un bilancio di almeno 43 milioni di euro. Settori coinvolti: energia, trasporti, finanza, Pubblica Amministrazione, salute, spazio, approvvigionamento idrico, infrastrutture digitali.
• Soggetti importanti (IE): organizzazioni con almeno 50 dipendenti, ricavi superiori a 10 milioni di euro o un bilancio di almeno 10 milioni di euro. Settori coinvolti: servizi postali, gestione dei rifiuti, prodotti chimici, ricerca, alimentari, industria manifatturiera, provider digitali.

Come prepararsi alla NIS 2

Le organizzazioni devono adottare una serie di misure fondamentali per essere pronte a conformarsi alla nuova Direttiva:

1. Valutazione delle attività aziendali: identificare i settori operativi e i dati sensibili gestiti, oltre ai potenziali rischi.
2. Analisi dei rischi: condurre un’analisi dettagliata delle vulnerabilità e delle minacce per definire le contromisure necessarie.
3. Implementazione delle misure di sicurezza: adottare soluzioni tecniche e organizzative per mitigare i rischi individuati.
4. Monitoraggio costante: le misure implementate devono essere regolarmente testate e aggiornate per far fronte a nuove minacce.

Ulteriori misure:

• Nomina di un responsabile della sicurezza informatica: un referente interno che supervisioni l’attuazione delle misure di sicurezza.
• Formazione del personale: sensibilizzare tutti i dipendenti sulle minacce informatiche e sulle procedure di protezione dei dati.
• Utilizzo di soluzioni avanzate di sicurezza informatica: investire in strumenti di ultima generazione per proteggere infrastrutture e dati.

Soluzioni per la Cybersecurity

Tra le soluzioni che permettono di conformarsi alla NIS 2 si segnalano:

• Sistemi IDS/IPS: monitoraggio del traffico di rete per individuare attività sospette e prevenire intrusioni.
• Firewall di nuova generazione: filtraggio avanzato del traffico per contrastare le minacce più recenti.
• Crittografia: protezione dei dati sensibili sia in fase di archiviazione che durante la trasmissione.
• Gestione delle identità e degli accessi (IAM): controllo rigoroso degli accessi ai sistemi informatici.
• Backup e ripristino: essenziale per recuperare rapidamente i dati in caso di attacco.

Quali sono le scadenze

1. 31 dicembre 2024: aziende e pubbliche amministrazioni devono completare un’auto-valutazione per capire se rientrano tra i soggetti obbligati dalla NIS 2.
2. Dal 1° gennaio al 28 febbraio 2025: i soggetti pubblici e privati coinvolti saranno tenuti a registrarsi sulla piattaforma digitale messa a disposizione dall’ACN.
3. Entro il 31 marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute.
4. Tra il 1° e il 15 aprile 2025: l’ACN, tramite la piattaforma, notificherà ai soggetti registrati il loro inserimento nell’elenco dei soggetti essenziali o importanti.
5. Entro il 15 aprile 2025: i soggetti che riceveranno tale comunicazione dovranno designare formalmente una persona responsabile per il rispetto degli obblighi previsti dal decreto.
6. Tra il 15 aprile e il 31 maggio 2025: i soggetti interessati dovranno fornire le ulteriori informazioni richieste dalla normativa.
7. Dal 1° gennaio 2026: si dovrà adempiere all’obbligo di notifica degli incidenti. I soggetti essenziali e importanti saranno tenuti a notificare entro 24 ore gli incidenti con un impatto significativo sulla fornitura dei loro servizi.

Il ruolo del CSIRT

Per la prima volta, il Decreto Legislativo che recepisce la Direttiva NIS 2 stabilisce formalmente l’obbligo per il CSIRT Italia di assistere gli enti colpiti da un attacco informatico.

Entro 24 ore dalla prenotifica di incidente, il CSIRT (il centro operativo all’interno di ACN incaricato delle azioni di preparazione, prevenzione, gestione e risposta ad eventi ed incidenti cibernetici) sarà infatti tenuto a fornire un feedback sull’incidente e suggerire eventuali misure di mitigazione. Inoltre, su richiesta dell’ente coinvolto, dovrà offrire un supporto tecnico.

Se l’incidente è sospettato di avere una natura criminale, il CSIRT dovrà anche fornire indicazioni sull’opportunità di segnalarlo all’organo centrale del Ministero dell’Interno per la sicurezza e il controllo dei servizi di telecomunicazione.

Fonte: Regulus