È stata approvata dall’Unione Europea la direttiva NIS2: nuovi obblighi di cyber sicurezza per le aziende entro il 18 ottobre 2024.
L’aumento esponenziale del rischio cyber negli ultimi ha indotto i legislatori nazionali ed europei ad innalzare le difese contro le minacce informatiche. La nuova Direttiva NIS2, approvata alla fine dello scorso anno dal Parlamento europeo, è lo strumento legislativo individuato per aumentare i sistemi di sicurezza e la resilienza di un numero sempre crescente di settori produttivi e di erogazione servizi.
Si tratta dell’evoluzione della Direttiva NIS1 che prevede ad oggi che le società rientranti nel suo ambito di applicazione siano tenute ad adottare misure tecniche ed organizzative adeguate e proporzionate rispetto alla gestione dei rischi cyber, dovendo altresì prevenire e minimizzare l’impatto degli eventuali incidenti di sicurezza subìti.
La data entro la quale le aziende devono ottemperare a quanto previsto dalla direttiva è il 18 ottobre 2024.
Il nuovo regolamento supera l’eccesiva genericità della precedente norma, ampliando i settori di applicazione a nuovi ambiti quali:
- servizi digitali, ad esempio piattaforme di cloud computing, data center, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
- servizi sanitari, società farmaceutiche, produttori di dispositivi medici ed healthcare provider;
- servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione
I settori non coinvolti da questa direttiva sono ormai molto limitati. Gli obblighi definiti dalla NIS2 sono dettagliati e stringenti: le aziende coinvolte devono dimostrare di adottare politiche e strategie di sicurezza adeguate al contesto attuale.
Gli Obblighi: Gli attori coinvolti hanno l’obbligo di sviluppare ed implementare una serie di azioni e tecnologie riassumibili in 10 punti:
- policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
- sistemi di gestione degli incidenti;
- sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
- misure di gestione della sicurezza della supply chain;
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
- policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
- pratiche di igiene informatica di base, regole fondamentali per garantire la cybersecurity e formazione in materia di sicurezza informatica;
- policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
- misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
- l’uso di soluzioni di autenticazione a più fattori [o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
La Commissione europea è al lavoro per definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate in ottemperanza al nuovo regolamento. La Direttiva NIS2 prevede un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura di un servizio, e stabilisce che la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, con indicazione delle misure che detti destinatari devono adottare per reagire all’attacco.
Fornitori: La direttiva pone l’accento, in maniera molto marcata, anche sul ruolo dei fornitori: nell’analisi della adeguatezza delle misure di sicurezza si dovrà tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2, perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.
Sanzioni: Nel caso in cui un’azienda non si conformi agli obblighi della direttiva NIS2, è prevista la possibilità di sospenderne l’attività e di imporre specifici divieti; inoltre sono previste sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.
Il ruolo dei Provider di Servizi Cyber Security: Se da un lato le misure adottate sono assolutamente in linea con i tempi e indispensabili per contrastare il cyber crime, è comprensibile anche la preoccupazione di molte aziende, che si vedono costrette ad affrontare una questione molto sfidante, che presuppone un effort importante in termini di competenze, tempo e risorse. I provider di servizi di sicurezza devono farsi trovare pronti ad accettare la sfida: possono recitare un ruolo determinante per supportare le imprese nel raggiungimento delle conformità richieste, garantendo un presidio continuo e consentendo loro di concentrare i loro sforzi sul proprio business e sulla creazione di valore.
No responses yet