Direttiva NIS 2 – Cos’è?

sNIS 2 (Network and Information Syste) è la Direttiva dell’Unione Europea 2022/2555 che sostituisce ed aggiorna, aumentando il livello della cybersicurezza, la Direttiva NIS (introdotta nel 2016).

Entrata in vigore il 17 gennaio 2023, dovrà essere recepita dai singoli Stati entro il 17 ottobre 2024.

L’aggiornamento della Direttiva NIS si è reso necessario a causa dell’evoluzione repentina che hanno avuto i sistemi informatici durante la pandemia COVID-19. Parallelamente si è avuta una crescita esponenziale degli attacchi informatici che hanno dimostrato i limiti della NIS e delle misure di sicurezza informatica implementate.

Da qui la risposta dell’Europa che, facendo tesoro della prima esperienza, ha emanato la nuova norma in tema di cybersecurity. La NIS 2 definisce una serie di misure e requisiti di sicurezza informatica, sia tecniche che organizzative, adeguate ai tempi ed alle nuove tecnologie che le organizzazioni devono implementare al fine di raggiungere un livello elevato di resilienza e di protezione delle reti e dei sistemi informativi critici nell’UE.

Chi deve adeguarsi?

La NIS 2 amplia il suo campo di applicazione ed impone ad un numero maggiore di imprese ed organizzazioni di adottare misure di sicurezza informatiche con l’obiettivo di migliorare la cybersecurity in tutta l’UE.  Devono adeguarsi le aziende appartenenti alle categorie critiche individuate dall’Allegato I della Direttiva stessa, che superano i parametri della media impresa (> 50 dipendenti o fatturato annuo o totale di bilancio annuo € 10.000.000).

Tuttavia, rispetto a questi limiti, ci sono alcuni casi particolari che coinvolgono anche piccole e micro imprese.

È doveroso evidenziare una novità importante rispetto alla NIS, in base alla nuova Direttiva NIS 2, le imprese che dovranno adeguarsi devono considerare anche l’intera catena di approvvigionamento.

I settori critici individuati nell’Allegato I sono suddivisi in due categorie: settori essenziali e settori importanti.

Settori essenziali

  • Settore energetico: elettrico, oil and gas, riscaldamento, idrogeno.
  • Settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico.
  • Trasporti: aereo, nautico, ferroviario e stradale.
  • Acque e acque di scarico.
  • Infrastrutture digitali.
  • Settore spaziale.
  • Pubblica amministrazione.

Settori importanti

  • Settore postale e più in generale di spedizione.
  • Gestione/Trattamento dei rifiuti.
  • Settore chimico: produzione e distribuzione.
  • Settore alimentare: approvvigionamento, inclusa anche la grande distribuzione.
  • Industrie tecnologiche e ingegneristiche.
  • Servizi digitali: social network e servizi di data center.
  • Ricerca scientifica.

La NIS 2 in breve

La Direttiva chiede alle organizzazioni una responsabilità maggiore e diversi obblighi aggiuntivi.

RESPONSABILITA’

La responsabilità di adeguarsi è in capo agli organi di amministrazione che si assumono l’onere di monitorare la conformità alla legislazione della propria azienda. Come compito fondamentale del top-management viene enfatizzata l’adozione di sistemi di gestione del rischio con lo scopo di implementare procedure e pratiche che permettano di individuare le possibili minacce cyber e poterle mitigare con azioni correttive.

SEGNALAZIONE

Le organizzazioni individuate sono obbligate a segnalare le minacce e gli incidenti di sicurezza significativi, alle autorità competenti: CSIRT (Computer Security Incident Response Team). La prima segnalazione deve essere efettuata entro 24 ore dal momento in cui si viene a conoscenza del fatto. Dopo la notifica iniziale deve essere prodotta una relazione dettagliata in due fasi successive.

COOPERAZIONE

Promuove ed incrementa la collaborazione fra stati membri, incoraggiando la condivisione delle informazioni e delle best-pratices per migliorare la risposta collettiva al cyber crimine.

Art. 21 Misure di gestione dei rischi di cibersicurezza

L’articolo 21 è certamente l’articolo principale per quello che riguarda la gestione del rischio informatico. Stabilisce che le imprese all’interno del perimetro individuato, tenendo conto:

  • del contesto e della propria attività
  • delle tecnologie esistenti
  • delle norme pertinenti

devono implementare misure di sicurezza tecniche e di gestione che garantiscano un livello sicurezza dei dati adeguato.

Lo standard internazionale che attualmente sembra un buon punto di partenza per l’adeguamento è la norma ISO 27001. Insieme alla ISO 27001 un aiuto importante certamente è rappresentato dal framework per la cybersecurity NIST.

Di seguito analizziamo le misure minime indicate nell’articolo 21 al punto 2.

 

politiche di analisi dei rischi e di sicurezza dei sistemi informatici

L’organizzazione dovrà mappare la propria infrastruttura incluse parti critiche di fornitori esterni. Dunque definire policy per i sistemi critici inclusi web, cloud, app e servizi locali.

Bisognerà eseguire valutazioni ed audit di tutto il sistema informativo con report ed azioni correttive continue.

Gestione degli incidenti

Definire un piano per la gestione degli incidenti, applicare misure di prevenzione.

Applicare controlli per la mitigazione dell’impatto sulla compromissione delle informazioni.

Rilevare e prevenire attività dannose all’interno delle reti e dei sistemi.

Continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi

Definire ed attuare un piano di business continuity e di gestione delle crisi adeguato al contesto dell’organizzazione.

Implementare policy di backup definendo retention adeguata alle esigenze dell’azienda. Programmare ed effettuare prove di ripristino.

Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

Definire policy per la valutazione dei rischi nella catena di approvvigionamento specialmente per quello che riguarda il delivery di servizi essenziali.

Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete,
compresa la gestione e la divulgazione delle vulnerabilità

 Definire procedure e protocolli per la valutazione dei sistemi informatici in ottica di cybersicurezza prima dell’acqusito.

Implementare sistemi e controlli per assicurare connessioni interne (LAN) ed esterne (Internet) sicure. 

Implementare controlli per la gestione dei diritti di accesso. Implementare misure di sicurezza per evitare accessi non autorizzati agli asset.

Implementare sistemi di controllo delle vulnerabilità e di correzione delle stesse su tutti i sistemi informatici e di rete.

Sistemi di protezione degli endpoint e degli apparati di rete.

 

Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza.

Deve essere definito un sistema di monitoraggio delle misure applicate per valutare costantemente la loro efficacia. Monitoraggio che dovrebbe includere:

  • Disponibilità dei servizi
  • Disponibilità ed efficienza della connettività Internet (ISP)
  • Rischi sui dispositivi
  • Rischi malware
  • Rischi hardware (dischi)

Pratiche di igiene informatica di base e formazione in materia di cibersicurezza.

Definire ed implementare misure di igiene informatica come ad esempio:

  • Sicurezza web/cloud
  • Dispositivi IOT
  • Zero Trust
  • Protezione delle minacce
  • Protezione dei dati
  • Report ed analisi

Inoltre devono essere previsti corsi di formazione sulla cybersecurity per i dipendenti aziendali ed il top-management.

 

Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura.

Utilizzare sistemi che assicurano sessioni criptate (client-server, server-client, client-web, ecc).

Sistemi di controllo sui dati non criptati.

 

Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi.

Policy e sistemi per il controllo degli accessi, sistemi per la raccolta e l’analisi di log.

Gestione e monitoraggio degli asset; sistemi di controllo, monitoraggio ed applicazioni delle patch.

 

Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni
vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del
soggetto al proprio interno, se del caso.

Ssitemi di autenticazione a più fattori.

Piattaforme di controllo e di identificazione di attività sospette o di account duplicati.

Identificazione delle credenziali compromesse