Quando il pericolo chiama, l’Unione Europea (UE) risponde!
Il recente sviluppo tecnologico sta portando le organizzazioni ad avere sempre più a che fare con questioni di cybersicurezza. Nel corso degli anni c’è infatti stato un incremento sostanziale di incidenti in tale ambito sia in Italia che nel resto dell’Europa. L’Unione Europea (UE) pertanto deve aumentare le capacità di risposta nonché la resilienza di fronte a questi accadimenti.
La direttiva NIS2
La direttiva NIS2 (Network and Information Security Directive 2), introdotta dall’Unione Europea, rappresenta un’evoluzione significativa rispetto alla prima direttiva NIS del 2016. Entrerà in vigore in Italia il 18 Ottobre 2024 (decreto di recepimento 138 del 2024) con l’intento di rafforzare l’ambiente digitale nelle contromisure da porre in essere di fronte ad un panorama cibernetico totalmente mutato nel corso di questi ultimi anni. Basti pensare che gli attacchi avvenuti nel 2022 hanno avuto conseguenze molto più gravi rispetto a quelli avvenuti nei cinque anni precedenti.
La direttiva NIS2: contesto e obiettivi
L’aumento esponenziale delle minacce informatiche ha reso chiaro che la protezione delle infrastrutture critiche, come quelle nei settori dell’energia, dei trasporti, della sanità e delle telecomunicazioni, è di fondamentale importanza. La direttiva NIS2 amplia la portata della precedente NIS, includendo nuove categorie di settori e rafforzando le misure di sicurezza cibernetica per tutte le organizzazioni strategiche.
Gli obiettivi principali della NIS2 includono:
Aumentare la resilienza cibernetica: la direttiva NIS2 richiede alle organizzazioni di adottare misure di sicurezza più severe per proteggere le reti e i sistemi informativi dalle minacce;
Migliorare la cooperazione tra Stati membri: viene introdotto un quadro più strutturato per lo scambio di informazioni e la cooperazione in caso di incidenti di sicurezza cibernetica;
Responsabilizzazione delle imprese: le organizzazioni devono segnalare gli incidenti informatici significativi entro un determinato arco di tempo, e chi non rispetta queste normative può essere soggetto a sanzioni.
La direttiva NIS2: cambiamenti chiave rispetto alla NIS
La NIS2 introduce diverse modifiche e miglioramenti rispetto alla direttiva NIS originale. Ecco alcune delle novità più rilevanti…
Ampliamento del perimetro: NIS2 estende il campo di applicazione a più settori e include nuove categorie di imprese considerate essenziali, come fornitori di servizi digitali, enti pubblici, fornitori di servizi cloud, data center e fornitori di software;
Obblighi di gestione del rischio cibernetico: le aziende devono adottare una serie di misure per gestire i rischi cibernetici, come la gestione degli incidenti, la sicurezza della supply chain e la gestione delle vulnerabilità;
Maggiori responsabilità per la governance: la direttiva prevede un maggiore coinvolgimento del top management nelle questioni legate alla sicurezza cibernetica, responsabilizzandolo direttamente nella gestione del rischio;
Regolamentazione più rigorosa: i regolatori avranno ora più potere per ispezionare e applicare le sanzioni alle organizzazioni che non rispettano le misure di sicurezza richieste. Le sanzioni per la non conformità possono arrivare a cifre molto elevate, rappresentando una forte spinta a conformarsi.
La direttiva NIS2: implicazioni per le aziende
La conformità alla NIS2 richiede alle aziende di ripensare e aggiornare le proprie strategie di sicurezza informatica. Alcune delle principali sfide includono:
Migliorare la gestione dei rischi cibernetici: le aziende devono adottare un approccio più olistico e proattivo nella gestione della sicurezza informatica, considerando anche la sicurezza della supply chain;
Potenziamento della collaborazione interna: coinvolgere il top management e altre funzioni aziendali nella strategia di sicurezza informatica è essenziale per ottenere una risposta coordinata ed efficace alle minacce;
Sviluppo di capacità di risposta rapida: con l’obbligo di segnalare gli incidenti di sicurezza entro tempi brevi, le aziende devono investire in strumenti e risorse per rilevare e rispondere rapidamente agli attacchi cibernetici. L’obbligo di pre-notifica delle 24 ore dall’accadimento sicuramente è uno di quelli più stringenti (rispetto all’obbligo di notifica in caso di data breach imposto dal GDPR ci sono pertanto maggiori oneri da parte dei titolari).
Conclusione
La direttiva NIS2 rappresenta un passaggio cruciale verso un’Europa più sicura e resiliente dal punto di vista cibernetico. Le organizzazioni devono prepararsi ad affrontare un panorama normativo sempre più complesso e impegnativo, adottando un approccio strategico alla gestione del rischio informatico.
La NIS2 non è solo una questione di conformità normativa, ma un’opportunità per rafforzare la sicurezza e proteggere meglio le infrastrutture critiche, garantendo la continuità operativa in un mondo sempre più digitalizzato e interconnesso. Sicuramente sarà un filo conduttore in ambito di sicurezza informatica come lo è stato il GDPR dalla sua entrata in vigore ad oggi. Per questo è opportuno che i vari fornitori e i soggetti dei perimetri di riferimento si adeguino per aumentare la loro capacità di risposta.
