Skip to main content
Cybersecurity

NIS 2 compliance: come dovrebbero muoversi le aziende e quali strumenti adottare

Romano RosponiSocio, Co-Founder & Technical Director5 Agosto 20247 min di lettura
NIS 2 compliance

Indice dei contenuti
  1. NIS 2, cos’è e in cosa si differenzia da NIS
  2. NIS 2 compliance: a chi si applica la direttiva
  3. I nuovi obblighi per le imprese
  4. Come gestire la compliance NIS 2

Il 17 ottobre 2024 si avvicina e molte organizzazioni saranno obbligate (anche in Italia) ad adottare misure solide di cybersecurity per contrastare minacce che evolvono sia in termini quantitativi che di pericolosità. Lo scopo della Direttiva NIS 2 è creare uniformità a livello europeo circa le modalità con cui le aziende si proteggono e gestiscono il cyber risk, e per questo il tema della NIS 2 compliance è di grande attualità.

NIS 2, cos’è e in cosa si differenzia da NIS

NIS 2 è in vigore da gennaio 2023, ma essendo una Direttiva (e non un Regolamento) richiede il recepimento da parte degli Stati membri. Salvo proroghe, il termine ultimo è il 17 ottobre 2024.

Acronimo di Network and Information Systems, NIS è dunque l’impianto normativo che definisce come specifici operatori – in particolare quelli che gestiscono servizi essenziali per i cittadini e l’economia di un Paese – debbano fronteggiare i rischi che circondano i loro ecosistemi digitali. La prima versione di NIS è del 2016 e, nonostante si tratti di un corpus normativo molto dettagliato, è da tempo ritenuta inadeguata allo scenario attuale. Rispetto al 2016, infatti, le superfici d’attacco sono aumentate considerevolmente, i livelli di digitalizzazione sono molto più elevati (complice anche la pandemia del 2020) e il valore dei dati è cresciuto, stimolando una forte innovazione che è stata recepita non solo in chiave di difesa, ma anche da parte degli attaccanti. Non a caso, il numero degli incidenti informatici è in crescita da anni.

La nuova Direttiva estende il perimetro delle organizzazioni coinvolte, fissa principi e regole per la protezione degli ecosistemi digitali, e definisce regole di comunicazione e sanzioni per inadempienza.

NIS 2 compliance: a chi si applica la direttiva

La prima differenza significativa con il passato riguarda l’ambito di applicazione, che è più ampio rispetto alla precedente Direttiva. NIS si rivolge con priorità a tutte le organizzazioni su cui poggia la società e l’economia di un Paese, i cosiddetti operatori di servizi essenziali. Ma mentre la prima Direttiva concedeva ai singoli Stati molta autonomia nel definire quali settori e imprese rientrassero in questa espressione, con la conseguenza di creare disomogeneità a livello europeo, NIS 2 è molto più precisa in merito.

In particolare, sono soggette alla NIS 2 compliance due categorie di organizzazioni, che la normativa definisce soggetti essenziali e soggetti importanti. Ma come si rientra nell’una o nell’altra, e quando si è esenti? I criteri sono due: la dimensione dell’azienda e l’appartenenza a un settore che la normativa ritiene essenziale per la vita e per l’economia del Paese.

  • Per quanto concerne la dimensione, è palese che NIS 2 si rivolga alle imprese con dimensioni medio-grandi (in su), e in particolare a quelle che hanno un fatturato annuo superiore a 10 milioni di euro e un minimo di 50 dipendenti.
  • Per quanto riguarda i settori, la normativa distingue tra quelli ad alta criticità, come energia, trasporti, banche, sanità, acqua e infrastrutture digitali, e gli altri settori critici, come i servizi postali, l’industria chimica, l’alimentare, la manifattura e i servizi digitali. Rientrano quindi nello scopo della norma anche i fornitori di servizi digitali come le piattaforme e-commerce e i cloud provider.

I nuovi obblighi per le imprese

Avvicinandosi il 17 ottobre, è naturale che il tema della NIS 2 compliance sia diventato sempre più centrale nei pensieri di molte organizzazioni.

La normativa stabilisce delle linee guida e attribuisce agli Stati il compito di garantire che i destinatari della norma adottino misure tecniche, organizzative e operative adeguate alla corretta gestione e mitigazione del rischio informatico, nonché alla gestione di eventuali incidenti.

Governo della cybersecurity

Il primo aspetto da tenere in considerazione è il governo della cybersecurity. La Direttiva attribuisce direttamente alle imprese una responsabilità per l’implementazione e la supervisione sulle misure di sicurezza e impone rigidi obblighi di segnalazione, sul modello dell’onnipresente GDPR. NIS 2 impone infatti che le aziende notifichino all’autorità nazionale competente o al Computer Security Incident Response Teams (CSIRT) eventuali incidenti significativi entro 24 ore dalla loro scoperta.

Gestione del rischio

Secondo tema è la gestione del rischio, che ovviamente origina molteplici considerazioni poiché comprende le misure (organizzative, tecniche e di procedura) che le imprese devono porre in essere per proteggersi e per reagire al meglio alle minacce informatiche. In particolare, NIS 2 parla di adozione di un approccio multirischio (non solo cyber, ma anche relativo ad eventi ambientali e fisici) e cita diversi elementi che devono fare parte delle strategie, dei piani e delle procedure aziendali. Tra queste:

  • Procedure di gestione degli incidenti;
  • Policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
  • Sicurezza della catena di approvvigionamento (valutazione delle vulnerabilità dei fornitori);
  • Implementazione di piani formativi circa la cybersecurity;
  • Procedure atte a valutare l’efficacia della gestione del rischio cyber;
  • Definizione di procedure sicure per lo sviluppo, l’acquisizione e la manutenzione dei sistemi;
  • Implementazione della crittografia, con tanto di policy e procedure relative;
  • Sviluppo di strategie di controllo degli accessi;
  • Impiego di soluzioni di autenticazione a più fattori o di autenticazione continua.

Business Continuity

Agli elementi precedenti si aggiunge il requisito della business continuity. In pratica, vanno poste in essere strategie e definiti piani dettagliati (Business Continuity Plan, o BCP) per azzerare o ridurre al minimo l’impatto degli incidenti sui propri sistemi e quindi sull’accessibilità dei servizi erogati. Ridondanze, backup e disaster recovery sono le prime parole chiave che vengono in mente.

Come gestire la compliance NIS 2

Al solito, quando l’obiettivo del legislatore è affrontare una tematica molto estesa, il riferimento a specifiche soluzioni tecniche diventa secondario. NIS 2, infatti, vuole fornire l’approccio giusto con cui le organizzazioni dovrebbero gestire il rischio in un’era molto complessa come l’attuale, e non è un caso che si parli di governance della cybersecurity e di misure organizzative, procedurali e tecniche con cui affrontare il tema a 360 gradi, intervenendo sia sull’area della prevenzione, che sulla reazione agli incidenti.

È inoltre palese che le aziende se ne debbano occupare il più in fretta possibile. Non solo il 17 ottobre si avvicina, ma la norma fissa anche delle sanzioni molto significative, che per i soggetti essenziali possono raggiungere i 10 milioni di euro o il 2% del fatturato mondiale. Per i soggetti importanti la sanzione è minore, ma sempre molto rilevante.

Come fare, dunque? Partiamo dal presupposto che i soggetti destinatari della norma adottano già misure significative di protezione dal rischio cyber, e di conseguenza l’aspetto più complesso è capire – attraverso un assessment approfondito – se ci siano aree non presidiate o che richiedono un potenziamento dal punto di vista organizzativo e/o tecnologico.

Per questo, rivolgersi a un partner di fiducia è fondamentale per identificare nel miglior modo possibile l’ambito di applicazione, per comprendere eventuali lacune organizzative (per esempio, l’assenza di percorsi strutturati di security awareness) e scoprire se, nell’ambito della gestione della cybersecurity a tutto tondo, siano presenti lacune tecniche da gestire con rapidità ed efficacia facendo perno su uno o più servizi che il partner ha in portafoglio (per esempio, endpoint security, log management, vulnerability assessment o OT security per gli ambienti operativi) e può quindi erogare in tempi brevi.

Parti da un vulnerability assessment per individuare le aree di criticità della tua azienda

SCOPRI DI PIÙ

Articoli correlati

Cybersecurity

Endpoint protection, il pilastro della cybersecurity moderna

Mattia Anversa
Mattia Anversa23 Aprile 2024
Cybersecurity

Managed Security Service Provider (MSSP): perché è essenziale nell’era del cyber risk

Alessandro Caso
Alessandro Caso9 Aprile 2024
Cybersecurity

Report Clusit: gli attacchi informatici crescono del 65% in Italia, come difendersi?

Nicola Buzzacchero
Nicola Buzzacchero27 Marzo 2024
Romano Rosponi

Autore Romano Rosponi

Altri post di Romano Rosponi
CONTATTACI