L’aumento dell’interconnessione e della digitalizzazione nella società ha incrementato la vulnerabilità di istituzioni, imprese e cittadini alle minacce informatiche.
L’Unione Europea ha riconosciuto quindi la necessità di potenziare la capacità di resilienza e risposta a questi rischi sia a livello di Unione che di singoli Stati Membri, emanando la nuova direttiva UE 2022/2555 (Direttiva NIS 2).
La Direttiva aggiorna e rafforza la normativa sulla sicurezza delle reti e delle informazioni, sostituendo la precedente Direttiva UE 2016/1148 che verrà abrogata a decorrere dal 18 ottobre 2024. Introduce inoltre nuove responsabilità per gli Stati Membri e per i soggetti considerati essenziali e importanti in termini di gestione della cyber sicurezza, incluse le Pubbliche Amministrazioni e le imprese.
Gli Stati Membri devono garantire che questi soggetti adottino un approccio sistematico alla gestione dei rischi cyber, che includa l’approvazione formale delle misure di sicurezza da parte degli organi di gestione e la formazione adeguata per il personale. Questo contribuisce a migliorare la capacità di identificare, valutare e rispondere efficacemente ai rischi.
Governance
La NIS2 sposta la responsabilità della sicurezza informatica dai soli reparti IT agli organi di gestione aziendale, come i Consigli di Amministrazione, che devono approvare e supervisionare le misure di sicurezza, partecipare a formazioni specifiche sulla cyber security e che possono essere ritenuti responsabili in caso di violazioni.
Questo sottolinea il fatto che la cyber security è una questione che riguarda tutti i livelli dell’organizzazione, per una maggiore resilienza dei sistemi di fronte alle minacce informatiche.
Gestione dei rischi
L’articolo 21 della Direttiva NIS2 specifica le misure di gestione dei rischi di cyber sicurezza, che comprendono azioni tecniche, operative e organizzative proporzionate ai rischi. Queste misure, che vanno riviste e aggiornate regolarmente, devono essere adottate sia dai soggetti essenziali che da quelli importanti e integrate nelle operazioni quotidiane, con l’obiettivo di minimizzare l’impatto degli incidenti.
La Direttiva introduce inoltre l’approccio “multirischio” per affrontare una vasta gamma di minacce, in continua evoluzione.
Questo tipo di approccio prevede:
- Valutazione completa e approfondita dei rischi
- Previsione dei rischi non solo digitali ma anche fisici, ambientali e umani
- Gestione della catena di approvvigionamento
- Preparazione e risposta efficace agli incidenti di sicurezza
- Sviluppo di sistemi e processi adattabili e resilienti
- Cooperazione e condivisione delle informazioni
Per far fronte ai rischi, va prevista una serie di misure di sicurezza che includono:
- Politiche per l’analisi dei rischi
- Gestione degli incidenti
- Piani di continuità operativa dei servizi
- Protezione della catena di approvvigionamento
- Sicurezza nello sviluppo e manutenzione dei sistemi informatici
- Valutazione dell’efficacia delle misure
- Pratiche di igiene informatica e utilizzo della crittografia
- Sicurezza delle risorse umane e controllo degli accessi
Obblighi di segnalazione
Gli obblighi di segnalazione giocano un ruolo chiave nella gestione degli incidenti di sicurezza.
I soggetti essenziali e importanti saranno tenuti a notificare entro 24 ore gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. I soggetti interessati dovranno presentare notifica dell’incidente entro 72 ore dalla conoscenza di tale incidente alle autorità competenti.
Gli Stati Membri, dal canto loro, dovranno supportare le aziende nella gestione degli incidenti e facilitare le notifiche volontarie.
Sanzioni
La Direttiva NIS2 prevede sanzioni dettagliate per le violazioni, con multe significative soprattutto per i soggetti essenziali e importanti (fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali e fino a 7 milioni di euro o l’1,4% del fatturato per i soggetti importanti).
Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali di svolgere le suddette funzioni in quel soggetto.
Come prepararsi
La Direttiva NIS2 mira a creare un ecosistema digitale più sicuro e resiliente nell’UE, promuovendo una cultura della sicurezza informatica e una collaborazione trasversale tra tutti i livelli organizzativi.
Gli obblighi diverranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento della Direttiva da parte degli Stati Membri, il 17 ottobre 2024.
È quindi consigliabile che le organizzazioni inizino già da ora a verificare se rientrano nel perimetro di applicabilità della Direttiva e in quali settori specifici, e a valutare il proprio livello di conformità per pianificare tempestivamente le azioni necessarie per l’adeguamento.
Proxima Lab, con la sua pluridecennale esperienza in materia di cybersecurity, è pronta ad affiancarti e darti supporto in questo processo di adeguamento
Fonti: CyberSecurity360 (cybersecurity360.it) – Agenda Digitale (agendadigitale.eu)
