La Direttiva Europea NIS2 nasce dalla consapevolezza di dover creare un sistema di cyber-sicurezza comune a tutti gli Stati membri, per aumentare la capacità di resilienza ed affrontare in maniera più efficiente ed efficace gli attacchi informatici.
Il presupposto della Direttiva NIS2 è che, in un ambiente sempre più interconnesso, le vulnerabilità di un elemento, possono ripercuotersi in maniera diretta e grave su tutti gli altri elementi del sistema.
Per questo, già nel 2016 era stata emanata la Direttiva NIS, con lo scopo di armonizzare i sistemi di sicurezza dei diversi Paesi. Dopo un’accurata revisione, era però risultato evidente che tale direttiva non rispondeva in modo adeguato al crescente numero e alla gravità degli attacchi informatici.
Secondo il Rapporto Clusit 2023 infatti, il numero di attacchi registrati a livello globale è cresciuto del 60% in 5 anni e l’80% degli attacchi rilevati nel 2022 hanno avuto impatti gravi o molto gravi, percentuale di quasi 30 punti superiori rispetto al dato del 2017.
Il 27 dicembre 2022 è stata quindi pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva NIS2, con decorrenza 16 gennaio 2023.
Trattandosi di una Direttiva e non di un Regolamento, necessita di essere recepita da tutti gli Stati membri ed è per questo che è stato stabilito il termine del 18 ottobre 2024 per far sì che ogni Paese possa definire i piani nazionali per la sicurezza e le procedure necessarie per mettere in atto la Direttiva NIS2.
Ambito di applicazione
La Direttiva NIS2 definisce in modo chiaro i soggetti sottoposti al rispetto degli obblighi indicati.
Nello specifico fa un distinguo tra le aziende che operano nei Settori ad alta criticità, quali i fornitori di servizi essenziali tra cui energia, finanza, trasporti, infrastrutture, servizi sanitari, pubblica amministrazione e le aziende di Altri settori critici, tra cui i servizi postali, le aziende che producono e distribuiscono sostanze chimiche, le aziende che producono o distribuiscono prodotti alimentari, i fabbricanti di apparecchiature elettriche ed elettroniche e molti altri.
L’elenco completo è indicato negli Allegati 1 e 2 della Direttiva
La Direttiva stabilisce anche le dimensioni delle aziende soggette agli obblighi per le diverse tipologie di criticità.
Controllo catena fornitura
Importante notare che la Direttiva obbliga tutte le entità che ricadono nel perimetro di applicazione a garantire la sicurezza della loro catena di approvvigionamento, valutando le vulnerabilità specifiche di ogni fornitore diretto e vagliando quindi i fornitori anche sulla specifica rischiosità.
Ne deriva che il perimetro di applicazione, soprattutto in Italia, dove il tessuto industriale è composto da moltissime realtà piccole e piccolissime, si potrebbe allargare molto rispetto a quanto indicato nella Direttiva, poiché i fornitori dovranno a loro volta rivedere le loro politiche di cyber-sicurezza per mantenere i contratti coi clienti che ricadono nell’ambito di applicazione della Direttiva stessa
Obblighi e sanzioni
Sono diversi gli aspetti toccati dalla Direttiva.
Governance
Dal punto di vista della Governance, è previsto che gli organismi direttivi siano direttamente coinvolti nell’approvazione delle misure di sicurezza delle rispettive organizzazioni e che promuovano e partecipino essi stessi a percorsi di formazione periodica sulla cyber-sicurezza.
Il tema della sicurezza informatica non è più quindi di esclusiva competenza degli addetti ai lavori, ma diventa necessario, a breve obbligatorio, che anche i vertici aziendali siano parte attiva nella gestione della sicurezza.
Operatività
Dal punto di vista Operativo la Direttiva NIS2 definisce nello specifico alcune misure da adottare per limitare e fronteggiare i rischi informatici.
Tra queste l’autenticazione a più fattori, la crittografia, la formazione del personale, strategie di controllo dell’accesso e gestione dei varchi attivi, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica. Sono inoltre indicate le misure necessarie per garantire la continuità operativa, quali i backup e i sistemi di ripristino.
È inoltre prescritto che le entità nel perimetro della Direttiva siano in grado di garantire il monitoraggio continuo del proprio livello di sicurezza informatica e l’adozione delle misure necessarie affinché i sistemi di sicurezza siano costantemente aggiornati sulla base delle possibili minacce esterne e interne.
Comunicazione
Dal punto di vista della Comunicazione, in caso di incidente significativo, la Direttiva prevede un chiaro iter di notifica alle autorità competenti:
- la trasmissione di un preallarme entro 24 ore da quando si viene a conoscenza dell’incidente,
- una successiva notifica entro 72 ore per aggiornare e completare le informazioni trasmesse col preallarme,
- una relazione finale ad un mese dalla notifica.
Sanzioni
Sono previsti controlli e sanzioni in caso di inadempienza, tuttavia la Direttiva lascia agli Stati membri la facoltà di legiferare in materia contestualmente all’iter di recepimento della Direttiva all’interno del proprio Ordinamento giuridico nazionale