Con il Decreto Legislativo 138/2024, che recepisce la Direttiva NIS2 nel nostro ordinamento, si apre ufficialmente una nuova fase per la cybersecurity europea. Cosa devono fare le aziende, e perché non bisogna farsi spaventare dal processo di adeguamento?
In questo articolo vi guidiamo ad identificare le misure essenziali per intervenire sui requisiti principali, guardando al prezioso supporto che può dare un provider IT di servizi gestiti come Intesys Networking nella gestione e nel controllo di costi di questo percorso.
NIS2, cos’è e come si inserisce nel contesto europeo di cybersecurity
Acronimo di Network and Information Security Directive 2, NIS2 è una direttiva europea che mira a rafforzare e uniformare il tema della cybersecurity nell’Unione Europea riconoscendo l’inadeguatezza della precedente NIS a gestire l’evoluzione delle minacce informatiche. Gli obiettivi principali di NIS2 – che è in vigore dal 2023, ma è stata recepita dagli Stati membri solo a fine 2024 – sono:
- Introdurre requisiti di sicurezza più stringenti per le entità soggette;
- Rafforzare la supervisione e l’applicazione delle norme da parte delle autorità nazionali;
- Ampliare il campo di applicazione della precedente direttiva;
- Armonizzare le regole di sicurezza informatica negli Stati membri dell’UE.
NIS2 si inserisce in un quadro normativo più ampio, che comprende anche DORA, il Cyber Resilience Act e l’AI Act, con cui l’Unione Europea punta a ridurre le frammentazioni tra gli Stati in materia digitale. Oltre a promuovere un approccio più uniforme, la Direttiva impone agli operatori economici europei l’adozione di misure di sicurezza più rigorose rispetto al passato, necessarie per contrastare un panorama di minacce in costante evoluzione.
NIS2, a chi si applica e gli obblighi delle PMI nella supply chain security
La Direttiva NIS2 non si applica indiscriminatamente a tutte le imprese che operano in territorio UE, ma solo ai soggetti strategici per determinati settori industriali, per le infrastrutture e i cittadini dei singoli Paesi, soggetti di dimensioni medie e grandi che la normativa suddivide in essenziali e importanti.
In realtà, la normativa estende il proprio raggio d’azione a moltissime PMI attraverso il meccanismo della supply chain security: buona parte degli attacchi recenti, infatti, non sono indirizzati direttamente alla vittima, ma prendono di mira i suoi partner e fornitori – solitamente più piccoli e con una cyber security posture meno solida – per poi spostarsi, con il meccanismo del movimento laterale, verso i sistemi informativi del target principale. Per questo motivo, NIS2 impone alle aziende medie e grandi di valutare le misure di sicurezza poste in essere dai propri fornitori, e quindi obbliga indirettamente questi ultimi a un rafforzamento delle proprie misure di sicurezza.
Vuoi sapere in quali aree critiche della NIS2 sei più esposto? Cerchi un framework operativo?
NIS2 in Italia e l’iter di implementazione per l’adeguamento
La pubblicazione del decreto legislativo 138/2024 è l’ultimo tassello di un processo iniziato il 17 gennaio 2023, quando la Direttiva entrò in vigore a livello europeo e venne fissato il termine ultimo di recepimento negli ordinamenti nazionali ad ottobre 2024.
Il Decreto recepisce i principi e i pilastri della Direttiva NIS2, adattandoli al contesto italiano e definendo tempi e modalità di adeguamento. In particolare, le aziende soggette alla normativa devono registrarsi nella piattaforma dell’Agenzia per la Cybersicurezza Nazionale, per poi ricevere, entro fine aprile 2025, la comunicazione sull’inserimento nell’elenco dei soggetti essenziali o importanti.
Da quel momento, le organizzazioni coinvolte avranno tempo:
- fino al 1° gennaio 2026 per adempiere agli obblighi di notifica, dotandosi di un’organizzazione adeguata a gestirli;
- entro ottobre 2026 per conformarsi a tutti gli altri requisiti, comprese le misure di gestione dei rischi e di sicurezza.
Cosa si rischia se non ci si adegua alla Direttiva NIS2?
In quanto normativa di alto livello, basata sul tipico approccio europeo risk based, NIS2 non definisce specifici tool o strumenti di protezione da adottare, ma osserva il fenomeno da una prospettiva più alta, responsabilizza il management aziendale e definisce che esso debba adottare misure tecniche, operative e organizzative proporzionate alla gestione dei rischi.
La Direttiva, in proposito, fa riferimento ad aree ben definite come l’incident management, i percorsi di formazione, il controllo degli accessi, le soluzioni di autenticazione e molto altro.
Ma cosa succede se non si rispettano i termini e quindi non si è compliant con NIS2? Le sanzioni sono rilevanti: fino a 10 milioni o al 2% del fatturato annuo totale per i soggetti essenziali, e fino a 7 milioni o all’1,4% del fatturato totale per i soggetti importanti. Da notare che, mentre NIS2 fissa il cosiddetto massimo edittale, ovvero il massimo della pena, il Decreto di recepimento vi aggiunge il minimo, che è rispettivamente un ventesimo o un trentesimo del massimo per i soggetti essenziali e quelli importanti.
Non solo sanzioni: NIS2 come asset per la continuità operativa e la reputation
La NIS2 compliance non dovrebbe essere solo come un obbligo normativo, ma una responsabilità strategica per tutte le aziende, comprese quelle non direttamente coinvolte (le PMI di cui sopra). In un contesto in cui un data breach costa fino a 4,88 milioni di dollari e il downtime può avere impatti ancora più gravi, investire nella sicurezza informatica significa tutelare la continuità operativa e la competitività del proprio business.
Essere NIS2 compliant significa acquisire più facilmente nuovi clienti, non essere escluso da eventuali gare e crearsi una reputazione di azienda solida e sicura. Ricordando che in questo discorso ricade anche la sicurezza della supply chain e dei fornitori stessi di cui si è accennato sopra).
Compliance NIS2 per PMI: Intesys Networking elimina la complessità
La Direttiva NIS2 si rivolge, come detto, ad aziende di medie e grandi dimensioni con strategie di cybersecurity rodate, ma che dire di tutte le aziende più piccole che sono sotto la lente d’ingrandimento del legislatore per via del principio di supply chain security?
Per loro, l’adeguamento potrebbe essere complesso a causa di strumenti obsoleti, personale non adeguatamente formato e comprensibili preoccupazioni riguardo ai costi.
In realtà, non c’è nulla di cui preoccuparsi. Le soluzioni che propone Intesys Networking rispondono proprio alle necessità di aziende che non hanno tempi, risorse e tecnologie sufficienti a rispondere ai requisiti, offrendo dei servizi gestiti che aiutano a rendere il processo di compliance rapido, semplice e con spese controllate, anche per le aziende meno strutturate dal punto di vista della sicurezza cyber. Il nostro approccio è pratico e concreto, basato su soluzioni su misura e pacchetti gestiti che offrono competenze tecniche, gestione operativa e supporto continuo, tutto con un canone concordato e senza sorprese.
Ovviamente, tutto dipende dal livello di maturità dell’azienda con cui collaboriamo. Per le realtà meno strutturate o prive degli strumenti essenziali, offriamo pacchetti di servizi e soluzioni che garantiscono il livello minimo di sicurezza e monitoraggio necessario per soddisfare i requisiti della Direttiva NIS2.
In situazioni più strutturate, quando cioè una gap analysis evidenzia lacune specifiche, ci facciamo carico di governare alcune aree critiche tramite i nostri servizi gestiti, che possono essere attivati velocemente e personalizzati in funzione delle specificità aziendali. Per esempio:
- QUINETWORK è il nostro servizio di Network Management con cui potenziamo le prestazioni, ma anche l’affidabilità e la sicurezza della rete aziendale, con un impatto positivo sulla continuità operativa.
- QUIVASS è un servizio avanzato e continuativo di vulnerability scan e management, fondamentale per prevenire minacce sofisticate agli ambienti IT.
- QUIELM è la soluzione di log management gestita e subito attivabile, che permette la raccolta, l’analisi e il monitoraggio degli accessi, fondamentale per ottenere l’osservabilità dei sistemi e una gestione tempestiva di eventuali incidenti.
- QUIIAM è il servizio di identity and access management sviluppato per gestire in modo sicuro l’accesso ai sistemi, rispondendo ai requisiti di controllo degli accessi richiesti dalla normativa.
- QUIEPS è il servizio di protezione degli endpoint, composto da software antivirus per i device fissi e mobili, protezione di servizi in cloud, EDR (Endpoint Detection and Response), team SecOPS di secondo livello e molto altro.
Grazie a Intesys Networking, le aziende semplificano il percorso di compliance. Non solo perché possono contare su competenze specialistiche e su esperienza in molteplici settori e con diverse organizzazioni, ma anche per la disponibilità di pacchetti di servizi e di soluzioni che, insieme, costruiscono una piattaforma per la compliance a NIS 2.
