16/10/2024

NEWS N° 626 OTTOBRE 2024 – DIRETTIVA NIS 2: L’OBBLIGO DELLA CYBERSECURITY E’ AGGIORNATO!

Per informazioni rivolgersi a: Ing. Paolo Corradini (paolocorradini@atseco.it) 
Reggio Emilia, 16 ottobre 2024

Con la pubblicazione del D.lgs. 138/2024 avvenuta lo scorso 1° ottobre, anche l’Italia ha recepito la Direttiva UE 2022/2555 (dicembre 2022) “Network and Information Security”, meglio conosciuta come “NIS 2” (2 perché sostituisce la previgente “NIS 1” cioè la Direttiva (UE) 2016/1148). Si tratta di un’evoluzione importante, alla luce dei sempre maggiori e frequenti rischi alla sicurezza informatica di enti, imprese, cittadini e utenti. La scadenza è il 16 ottobre 2024.

La direttiva fornisce il quadro attuativo per implementare e/o migliorare le prestazioni della sicurezza nonché per sviluppare la cultura organizzativa della resilienza in tutta l’UE. Si ricorda che sicurezza informatica significa anche sicurezza delle informazioni!

Gli Stati membri dovranno effettuare valutazione dei rischi globali delle supply chain critiche, coordinati dalla ENISA, l’Agenzia UE per la cybersicurezza.

La direttiva contiene un’articolata serie di obblighi con relative scadenze per il 2025 che poi diventeranno poi regolari su base annua. Tra gli altri la registrazione sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale) da parte dei soggetti coinvolti. La stessa ACN, ricordando il perimetro applicativo, precisa che la direttiva “effettua una distinzione tra settori critici e ad alta criticità e tra operatori di servizi essenziali e di servizi importanti. I settori ad alta criticità sono: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acqua reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio. Gli altri settori critici sono: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali e ricerca”. C’è però da sottolineare che i soggetti ricadenti nell’obbligo dovranno comunque comprendere, nell’implementazione, anche la catena di fornitura.

Gli allegati I, II, III e IV riportano i settori a cui appartengono le imprese a cui è applicabile la NIS 2 nonché le PA incluse ed escluse.

Le tre logiche fondamentali dell’impianto normativo sono:

  • Governance => responsabilità, pianificazione (a cominciare dal budget), sorveglianza e formazione da parte di amministratori, direttori, manager, ognuno per il proprio ruolo; governance significa anche, inevitabilmente, governo dei processi (in pratica un sistema di gestione);
  • Risk management => processo di gestione del rischio (minacce e vulnerabilità) in relazione alla sicurezza digitale/elettronica. Le minacce da considerare sono anche quelle di tipo fisico ed ambientale. Dovrà essere implementato un serio e articolato processo di incident management. Entro 24 ore in caso di disastro, i soggetti coinvolti dovranno notificare l’incidente al CSIRT (Computer Security Incident Response Team);
  • Catena di fornitura => la valutazione del rischio e le relative azioni di mitigazioni dovranno essere estese ai fornitori e partner (a cominciare da provider cloud, datacenter, service provider, vendor HW/SW, etc.).

Le misure che gli organi amministrativi e direttivi (la distinzione è d’obbligo) sono quelle di tipo tecnico, operativo e organizzativo. Tramite la valutazione del rischio occorrerà che le stesse siano adeguate alle infrastrutture, le risorse (macchine, apparati, dispositivi), le applicazioni e i sistemi, nonché i servizi. Anche la formazione sarà obbligatoria per fare in modo che il vertice sia non solo ovviamente competente ma soprattutto consapevole (carenza frequente nei ruoli di top management i quali tendono a delegare ma, a volte, con scarsa conoscenza sui contenuti e relativa accountability). Tra le altre cose occorrerà realizzare i piani di continuità e recupero per rispondere alle emergenze (in ottica business continuity). I soggetti essenziali e importanti saranno obbligati, come detto sopra, a notificare ad ACN (o, meglio, al CSIRT Italia) eventuali incidenti che abbiano avuto impatto sulle attività.

Come è accaduto per il GDPR e altre direttive analoghe, anche la NIS 2 contiene un quadro sanzionatorio particolarmente pesante (per i soggetti  essenziali, escluse le  pubbliche amministrazioni, si giunge sino ad un massimo di 10 milioni di euro o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto; per i soggetti  importanti, sino a un massimo di 7 milioni di euro o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.

L’eventuale certificazione del SGSI (sistema di gestione della sicurezza delle informazioni) rispetto alla ISO 27001 costituirà un’ottima base di partenza, come pure quello del BCMS (sistema di gestione della continuità operativa) ai sensi della ISO 22301.

ATS-Consulenti Associati è a disposizione per eseguire un’apposita valutazione iniziale che chiarisca se l’organizzazione debba adottare la NIS 2 e, ovviamente, per coordinare l’eventuale progetto di implementazione.

È possibile scaricare la “check list assessment NIS 2 e restituirla compilata alla seguente e-mail: paolocorradini@atseco.it

A fronte di una corretta compilazione sarà quindi possibile effettuare una prima valutazione, da parte degli esperti di ATS-Consulenti Associati, il cui esito vi sarà restituito al fine di coordinare una eventuale proposta operativa da gennaio 2025.