La Direttiva NIS2 Network and Information Security introduce un regime di sicurezza più severo e uniforme in tutta l'Unione Europea, applicabile a una gamma più ampia di soggetti rispetto alla NIS1. Questo si riflette anche su aziende ed enti, i quali svolgono ruoli cruciali nella gestione di servizi pubblici essenziali e infrastrutture critiche. Vediamo più in dettaglio cosa implica
-
Applicazione della Direttiva NIS2
Si tratta della Direttiva UE 2022/2555 in vigore dal gennaio 2023, sulla sicurezza delle reti e delle informazioni, la quale abroga e sostituisce la precedente Direttiva NIS 1 del 2016 nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity. La NIS 2 ha il chiaro intento di rafforzare il livello globale di cybersicurezza, onde garantire “l’adozione di misure tecniche e organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza” dalla capacità di prevenire a quella di minimizzare l’impatto che gli incidenti di sicurezza possono determinare.
-
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
-
Gestione degli incidenti;
-
Continuità operativa, backup, disaster recovery, gestione delle crisi;
-
Sicurezza della catena di fornitura;
-
Sicurezza nell’acquisizione, sviluppo, manutenzione dei sistemi informatici e di rete, gestione e divulgazione delle vulnerabilità;
-
Strategie e procedure di gestione efficace dei rischi cyber;
-
Pratiche di “igiene informatica” di base e formazione in materia di cybersicurezza;
-
Politiche e procedure di crittografia e cifratura;
-
Sicurezza delle risorse umane, strategie di controllo accessi, utilizzo di soluzioni che prevedano l’autenticazione a più fattori di comunicazioni protette vocali/video/testuali.
-
Classificazione del soggetto e misure di sicurezza
La classificazione tra soggetto essenziale e soggetto importante varia a seconda del settore di attività e della dimensione. Le organizzazioni, soprattutto quelle che gestiscono infrastrutture o servizi considerati altamente critici (ad esempio, fornitura di acqua potabile, trasporti pubblici, gestione dei rifiuti o assistenza sanitaria), rientrano tra i soggetti essenziali secondo la NIS2 e sono soggette a misure più severe rispetto ai soggetti importanti, come:
- Piani di continuità operativa;
- Monitoraggio continuo dei rischi informatici;
- Segnalazione immediata di incidenti.
Gli enti che non gestiscono infrastrutture essenziali, ma operano comunque in settori strategici per la comunità, potrebbero essere classificati come soggetti importanti, con obblighi comunque significativi, anche se lievemente meno stringenti in termini di sanzioni.
-
Misure di sicurezza obbligatorie
Per rispettare la NIS2, le aziende e gli enti devono adottare misure preventive e strutturali.
Tra le più importanti troviamo:
-
Gestione dei rischi cibernetici: occorre creare e mantenere un piano di valutazione e gestione dei rischi. Questo include una mappatura completa delle vulnerabilità e dei potenziali punti di attacco, soprattutto in infrastrutture cruciali come i sistemi IT dei servizi idrici, sanitari o di trasporto.
-
Protezione della supply chain: si deve garantire che i fornitori di servizi e tecnologie rispettino gli stessi standard di sicurezza, poiché ogni anello debole della catena di approvvigionamento può rappresentare un rischio.
-
Continuità operativa e ripristino: bisogna implementare piani di ripristino per garantire che, in caso di un attacco o di incidente informatico, i servizi pubblici possano riprendere rapidamente senza impattare negativamente sui cittadini.
-
Crittografia e autenticazione: per proteggere i dati sensibili, si devono adottare misure avanzate, come l'autenticazione multifattore (MFA) e la crittografia dei dati, garantendo che le informazioni siano sempre protette.
-
Obbligo di segnalazione degli incidenti
Una parte cruciale della NIS2 è l'obbligo di segnalare tempestivamente qualsiasi incidente di sicurezza informatica:
-
Notificare gli incidenti più significativi entro 24 ore;
-
Fornire una valutazione più dettagliata entro 72 ore;
-
Presentare un rapporto finale entro un mese.
Questo meccanismo di segnalazione permette alle autorità nazionali di intervenire rapidamente e coordinare risposte adeguate, limitando l'impatto degli incidenti.
Le sanzioni per la mancata conformità sono considerevoli, di natura pecuniaria, con carattere interdittivo e divieti temporanei nei riguardi degli apicali (amministratori delegati, ecc.), di esercitare funzioni dirigenziali.
In termini di ammontare economico sono previsti anche due scaglioni: fino a 10 milioni di euro o il 2% del fatturato, oppure fino a 7 milioni di euro o 1,4% del fatturato. Tuttavia, più che le multe, il rischio principale è il danno reputazionale. L'interruzione dei servizi pubblici potrebbe generare sfiducia tra i cittadini e mettere a rischio la stabilità amministrativa delle organizzazioni.
Per enti e aziende, con limiti in termini di risorse finanziarie e competenze tecniche, è importante fare affidamento su soluzioni di cybersecurity per migliorare la propria sicurezza; Gruppo Maggioli offre servizi di PREVENZIONE e DIFESA alle minacce informatiche, allo scopo di aumentare la resilienza e ridurre il rischio di interruzioni delle attività. L'uso di queste soluzioni consente alle organizzazioni di ottimizzare i propri budget, migliorare la sicurezza e garantire la conformità alle normative.