Si avvicina il termine ultimo per implementare la direttiva NIS 2, un requisito obbligatorio per gli Stati membri dell’UE. Le organizzazioni che svolgono attività commerciali in Europa devono prepararsi ad affrontare la conformità a questa nuova normativa che mira a rafforzare la sicurezza informatica all’interno dell’Unione Europea.
Questo articolo si propone di far luce sulla direttiva NIS 2, sul perché sia necessaria, sugli aggiornamenti introdotti rispetto alla prima direttiva NIS e su come le aziende possono prepararsi per ottemperare ai requisiti di conformità. Per un’analisi più approfondita della direttiva, scarica il whitepaper Sophos “La direttiva NIS 2”.
Che cos’è la Direttiva NIS 2?
La direttiva NIS 2 è un’evoluzione della direttiva originaria sulla sicurezza delle reti e dell’informazione (direttiva NIS), implementata per rafforzare il profilo di sicurezza informatica degli Stati membri dell’UE. La prima direttiva NIS, entrata in vigore nel 2016, stabiliva linee guida per migliorare la resilienza delle difese informatiche nell’UE. Tuttavia, a causa del maggiore livello di complessità e della frequenza sempre più alta degli attacchi informatici, specialmente durante e dopo la pandemia da Covid-19, è emersa l’esigenza di normative più rigide e complete.
Le cyberminacce si sono evolute fino a diventare vere e proprie industrie, e questo è particolarmente vero nel caso degli attacchi ransomware, che sono caratterizzati da una maggiore prevalenza. Nel mese di giugno 2024, una gang di hacker con legami con il Cremlino chiamata Qilin, ha sferrato un attacco contro Synnovis, un laboratorio di patologia clinica utilizzato dal servizio sanitario nazionale del Regno Unito, l’NHS. Gli hacker esigevano un riscatto di 40 milioni di £ e quando l’NHS ha rifiutato di pagare, i cybercriminali hanno divulgato sul dark web i dati rubati.
Oltre a tutto questo, anche le tensioni geopolitiche (come l’invasione russa dell’Ucraina) hanno messo in evidenza la necessità di misure di cybersecurity potenti ed efficaci. Lo scopo della direttiva NIS 2 è affrontare queste sfide potenziando la sicurezza e la resilienza di entità essenziali e importanti nell’UE.
I principali aggiornamenti introdotti nella NIS 2, rispetto alla prima:
Con la direttiva NIS 2 vengono introdotti diversi aggiornamenti e ampliamenti rispetto alla prima direttiva NIS:
- Estensione dei soggetti a cui è applicabile:
- Soggetti essenziali e importanti: la NIS 2 classifica i soggetti come “essenziali” e “importanti”, in base al settore e alla criticità. Questo ampliamento include un maggior numero di settori, come acque reflue, catene di approvvigionamento della sanità, servizi postali e di corriere, industria aerospaziale, pubblica amministrazione e infrastrutture digitali.
- Catena di approvvigionamento e fornitori di servizi: le organizzazioni che sono coinvolte nella catena di approvvigionamento e che forniscono servizi di supporto critici vengono ora menzionate esplicitamente, con particolare enfasi sull’importanza di proteggere le reti interconnesse.
- Ottimizzazione degli standard di cybersecurity:
- Misure obbligatorie: l’articolo 21 della direttiva delinea le misure di cybersecurity obbligatorie, incluse quelle relative a igiene informatica di base, gestione delle vulnerabilità, sicurezza della catena di approvvigionamento, crittografia, gestione delle risorse, controllo dell’accesso e protezione zero trust.
- Gestione e segnalazione degli incidenti: la direttiva impone requisiti di segnalazione degli incidenti più rigorosi, volti a garantire risposte tempestive e coerenti alle minacce informatiche nell’UE.
- Maggiori responsabilità e sanzioni:
- Responsabilità dei dirigenti: i dirigenti possono essere ritenuti personalmente responsabili del mancato rispetto della conformità, il che sottolinea l’importanza del coinvolgimento del management nella governance della cybersecurity.
- Multe e sanzioni: in caso di mancato rispetto della conformità alla direttiva, le organizzazioni potrebbero dover pagare sanzioni molto salate, fino a 10 milioni di € o al 2% del fatturato globale.
La direttiva NIS 2 riguarda i seguenti 18 settori:
La seguente tabella mostra l’aumento dei settori che devono ottemperare alla direttiva NIS 2, rispetto alla prima direttiva NIS:
Impatto sulla conformità per la cybersecurity
La direttiva NIS 2 ha un impatto significativo sull’approccio delle organizzazioni alla cybersecurity. Le aziende devono adottare un atteggiamento proattivo, integrando processi di gestione del rischio a 360 gradi e assicurandosi di aderire ai rigidi standard definiti dalla direttiva. L’enfasi sulle misure obbligatorie e il potenziale rischio di incorrere in pesanti sanzioni richiedono un’analisi accurata della direttiva, nonché l’ottimizzazione delle pratiche di cybersecurity esistenti.
Le organizzazioni dovranno assegnare una quantità adeguata di risorse per soddisfare questi requisiti. Secondo le stime, le aziende già incluse nella prima direttiva NIS potrebbero essere costrette ad aumentare il proprio budget di cybersecurity di una percentuale che potrebbe raggiungere il 12%, mentre le aziende incluse nella seconda direttiva potrebbero richiedere un ampliamento del budget fino al 22%.
Come prepararsi per la conformità alla NIS 2
Per garantire la conformità alla direttiva NIS 2, consigliamo alle organizzazioni di adottare le seguenti strategie:
- Valutare l’ambito di applicazione:
- stabilire se l’organizzazione rientra nelle categorie dei soggetti “essenziali” o “importanti”. Il processo include la valutazione del proprio settore, la criticità dei servizi forniti e l’impatto operativo all’interno dell’UE.
- Comprendere la competenza giurisdizionale:
- identificare quali Stati membri dell’UE hanno giurisdizione sulle proprie operazioni ai fini della NIS 2. Questo è cruciale per comprendere i requisiti nazionali specifici e gli obblighi di segnalazione applicabili.
- Implementare la gestione del rischio di cybersecurity:
- condurre un’analisi completa del rischio per identificare le potenziali vulnerabilità e minacce di cybersecurity.
- implementare le misure obbligatorie delineate nell’Articolo 21, mappandole a un adeguato framework di sicurezza, come ISO 27001 o il NIST Cybersecurity Framework.
- Rafforzare la sicurezza della catena di approvvigionamento:
- concentrarsi sulla mitigazione dei rischi nella catena di approvvigionamento della tua organizzazione, soprattutto per quanto riguarda i fornitori di software e servizi. Il processo include l’assicurarsi che i fornitori di terze parti rispettino la conformità agli standard della NIS 2.
- Sviluppare un piano di risposta agli incidenti:
- ufficializzare un piano di risposta agli incidenti che includa protocolli chiari per la segnalazione degli incidenti di sicurezza alle autorità nazionali competenti. Accertati che gli incidenti più gravi vengano segnalati entro 24 ore, come stabilito dalla direttiva.
- Coinvolgere i dirigenti:
- ottenere l’approvazione degli alti dirigenti per la tua strategia di conformità. Il coinvolgimento dell’alta dirigenza è fondamentale per dimostrare l’impegno della tua organizzazione in termini di cybersecurity e per garantire la disponibilità di tutte le risorse necessarie.
La direttiva NIS 2 rappresenta un passo significativo verso il potenziamento della resilienza della cybersecurity per le organizzazioni in tutta Europa. Comprendendo gli aggiornamenti più importanti e adottando misure proattive per garantire il rispetto della conformità, le aziende possono proteggersi in maniera più efficace dalla sempre più pericolosa minaccia degli attacchi informatici.
Il termine ultimo di ottobre si avvicina, per cui è essenziale che i dirigenti e i professionisti di IT security diano massima priorità alla conformità alla NIS 2, utilizzando risorse come il whitepaper realizzato da Sophos per orientare le proprie decisioni.