Direttiva NIS 2

Direttiva NIS 2: cos’è?

La direttiva europea NIS 2 (Network and Information Security) rappresenta un aggiornamento della normativa NIS del 2016, mirato a tracciare una linea comune per la cybersicurezza per le aziende e le organizzazioni che operano in settori critici e di pubblica utilità.

Ma non solo: è molto probabile che, nel tempo, l’adeguamento alla NIS 2 diventi un imperativo per molte più aziende, coinvolte in maniera indiretta. Infatti, è molto probabile che le organizzazioni e le imprese chiedano alle realtà terze con cui si interfacciano di adeguarsi alla direttiva dedicata alla cybersicurezza, innescando così una sorta di reazione a catena.

In effetti, la NIS 2 introduce nuove responsabilità e standard di sicurezza per migliorare la resilienza contro i cyber-attacchi, richiedendo ad aziende di ogni dimensione di adeguarsi a misure specifiche e documentate.

Nello specifico, la direttiva NIS 2 stabilisce linee guida base per:

• gestire i rischi legati alla sicurezza informatica;
• segnalare eventuali attacchi informatici.

Questo perché, rivelandosi un’estensione della normativa precedente, questa punta a rafforzare la sicurezza informatica su scala europea, stabilendo i requisiti minimi di sicurezza per proteggere le infrastrutture da attacchi informatici.

A chi si rivolge la direttiva NIS 2?

La direttiva NIS approvata nel 2016 si rivolgeva esclusivamente a due categorie di soggetti appartenenti all’Unione Europea: fornitori di servizi digitali e operatori di servizi essenziali.

Oggi, invece, la NIS 2 presenta una distinzione chiave tra soggetti importanti e soggetti essenziali, estendendo così il raggio d’azione di questa direttiva.

Nello specifico, la NIS 2 si applica a:

• soggetti essenziali, cioè organizzazioni che erogano servizi di primaria importanza per il funzionamento della società e/o dell’economia (trasporti, acqua potabile, sanità, banche, etc);

• soggetti importanti che rappresentano, invece, organizzazioni che svolgono un ruolo significativo nella catena di fornitura e nel tessuto economico (imprese software, provider di servizi cloud e digitali, enti di ricerca e sviluppo tecnologico).

Come introdotto in precedenza, la NIS 2 estende i propri effetti anche verso i fornitori indiretti che rivestono il ruolo di partner per i soggetti qui elencati. Questo perché, secondo la direttiva, è importante costruire una catena di sicurezza che tuteli il sistema europeo nella sua interezza.

Bisogna prestare attenzione anche alle modalità di identificazione dei soggetti coinvolti. Mentre con la prima NIS era l’autorità nazionale a identificare le aziende soggette, con la NIS 2 la responsabilità di verificare la propria applicabilità e registrarsi autonomamente ricade ora sulle aziende stesse.

Infatti, le imprese e le organizzazioni coinvolte dovranno registrarsi, entro gennaio 2025, sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Adeguamenti normativi necessari per la NIS 2

Rispondere ai requisiti della NIS 2 significa saper adottare un approccio normativo chiaro e strutturato, divisibile per fasi: dalla valutazione dei rischi e delle vulnerabilità iniziale, all’implementazione delle soluzioni necessarie, fino ad arrivare al monitoraggio e al miglioramento continuo delle misure di sicurezza.

Un framework per la conformità alla direttiva NIS 2

Riprendendo quanto appena descritto, descriviamo qui un possibile framework da poter seguire per adeguarsi alla direttiva NIS 2:

• valutazione dei rischi in base al settore di appartenenza, gap analysis e mappatura degli asset critici;

• sviluppo di una strategia per mitigare i rischi;

• implementazione di misure tecniche e organizzative, con piani di continuità operativa per un ripristino rapido in caso di attacchi;

• nomina di un responsabile della sicurezza, creazione di un team dedicato al monitoraggio e alle risposte in caso di incidenti attraverso un Security Operations Center;

• percorsi di formazione per far sì che i propri dipendenti siano sempre aggiornati e consapevoli su tutto ciò che riguarda le minacce informatiche;

• notifica obbligatoria in caso di incidenti seguendo un controllo ben preciso e avvertendo sia clienti che le autorità competenti, oltre alla redazione di report di conformità per dimostrare l’adesione alla NIS 2;

• revisione periodica e adeguamenti costanti in base al quadro in evoluzione dei rischi informatici.

NIS 2 e ISO 27001: qual è il legame?

La ISO 27001 è uno standard internazionale che definisce i requisiti per la gestione della sicurezza delle informazioni (SGSI). Infatti, viene citata dalla NIS 2 come uno degli standard di riferimento per la gestione della sicurezza informatica.

Nello specifico, La ISO 27001 è così importante perché fornisce un framework completo per identificare, valutare e gestire i rischi legati alla sicurezza informatica, e aiuta le aziende a implementare misure di protezione per garantire la riservatezza, l'integrità e la disponibilità delle informazioni sensibili.

Questa normativa presenta, infatti, dei punti di forza che pongono una solida base di partenza per soddisfare i requisiti della NIS 2.

Ad esempio, l’ISO 27001 prevede un approccio strutturato per l’identificazione e la valutazione dei rischi, in modo che le organizzazioni e le aziende possano comprendere le vulnerabilità e mitigare le minacce. Inoltre, la ISO 27001 propone una serie di controlli tecnici e organizzativi, come l’accesso ai dati e il monitoraggio continuo delle attività, per mantenere elevati standard di sicurezza e conformità.

Insomma, adottare la ISO 27001 non significa essere conformi alla NIS 2 ma comunque fornisce una base solida per rispettare molti dei requisiti previsti, oltre ad aiutare le aziende a proteggersi in modo strutturato.

Il ruolo chiave della tecnologia per la conformità alla NIS 2

Come abbiamo già spiegato, la conformità alla direttiva NIS 2 richiede un approccio strutturato e metodico per la gestione dei rischi informatici. Questo può essere semplificato attraverso l’adozione e l’uso di strumenti tecnologici dedicati.

Infatti, le aziende possono valutare l’utilizzo di sistemi tecnologici avanzati tramite cui poter monitorare le proprie infrastrutture, rilevare eventuali vulnerabilità o controllare che l’accesso alle informazioni e ai dati interni sia sempre protetto.

Ad esempio, è possibile considerare l’adozione di software per il monitoraggio della sicurezza in grado di rilevare, in tempo reale, possibili incidenti o anomalie, consentendo tempi di risposta rapidi. Questo significherebbe rispettare il requisito della NIS 2 di individuare e segnalare prontamente gli incidenti.

Allo stesso tempo, sarebbe utile scegliere di usare sistemi di autenticazione a più fattori: particolarmente importanti per aggiungere un ulteriore livello di sicurezza, prevengono i rischi di accessi non autorizzati.

Ci sono, infine, soluzioni di backup e disaster recovery che garantiscono una ripresa rapida in caso di incidenti, poiché si tratta di strumenti capaci di ridurre al minimo i tempi di inattività e le perdite di dati.

Per attuare strategie di cybersicurezza non è mai troppo tardi!

Ecco perché puoi sempre contattarci e richiedere una consulenza personalizzata e in linea con le tue esigenze aziendali!