A ottobre 2024, gli Stati membri dell’UE dovranno recepire la seconda Direttiva UE sulla sicurezza delle reti e delle informazioni (NIS2) nella legislazione nazionale. Superando la direttiva NIS1 del 2016, la NIS2 applica standard di cybersecurity molto più severi, con un inasprimento delle sanzioni in caso di mancata conformità delle normative locali. Le aziende classificate come “essenziali” o “importanti” sono obbligate a implementare questi standard. In questo articolo andremo a vedere più nel dettaglio che cos’è la direttiva NIS2, in cosa consiste e come fare in modo di (e come possiamo aiutarvi a) aderire agli standard conformativi di sicurezza per evitare di incappare in onerose sanzioni o, nel peggiore dei casi, interruzioni delle proprie operazioni.
La crescente interconnessione e digitalizzazione della società ha reso istituzioni, imprese e cittadini sempre più esposti alle minacce informatiche. Gli attacchi informatici hanno raggiunto picchi senza precedenti, sia per frequenza che per gravità: negli ultimi 5 anni, il numero di attacchi registrati a livello globale è cresciuto del 60% secondo i dati del rapporto Clusit 2023.
Ad aggravarsi sono state anche le conseguenze sociali ed economiche degli incidenti causati dagli attacchi cyber: sempre secondo il Clusit, l’80% degli attacchi rilevati nel 2022 hanno avuto impatti gravi o molto gravi, a differenza di cinque anni fa quando ammontavano a una quota del 52% del totale.
La Direttiva NIS2 (acronimo di Network and Information Security Directive 2), nota anche come Direttiva sulla Sicurezza delle Reti e dell'Informazione, è una legislazione significativa volta a migliorare la sicurezza informatica e a proteggere le infrastrutture critiche in tutta l'Unione Europea (UE).
Essa si basa sulla precedente Direttiva NIS, affrontandone le carenze e ampliandone l'ambito per rafforzare i requisiti di sicurezza, gli obblighi di segnalazione e le capacità di gestione delle crisi.
Che la propria sia una grande impresa o una media azienda che opera in settori riconosciuti come critici, la Direttiva NIS2 richiede immediata attenzione. Essa introduce requisiti rigorosi per la gestione dei rischi di sicurezza informatica e garantisce la continuità dei servizi essenziali. È dunque fondamentale capire in cosa consista, come viene applicata e come aderirvi per evitare il rischio di sanzioni e ostacoli per le proprie operazioni. Vediamo di approfondire l’argomento nelle prossime sezioni.
Nel 2016 era stata emanata la Direttiva NIS, con l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri. Nel 2020 è stata avviata la revisione programmata dell’efficacia della norma e della sua implementazione, ed i risultati hanno rivelato carenze intrinseche nella norma che le hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di cybersicurezza, in particolare in termini di uniformità di approccio fra i diversi Stati Membri e perimetro di applicazione.
La Direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, mantiene l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri, migliorando la capacità di garantire uniformità ed efficacia nell’applicazione, e quindi di garantire un’effettiva protezione per la vita sociale ed economica dell’Unione. La normativa impone, in particolare, obblighi di cybersicurezza stringenti in capo a un’ampia platea di organizzazioni operanti in settori ritenuti critici per il funzionamento della società europea.
La direttiva introduce nuovi obblighi per le organizzazioni in quattro ambiti principali che sono rispettivamente:
NIS2 pone particolare attenzione ai rischi della supply chain e alla compliance della catena di fornitura, soprattutto per quanto riguarda i fornitori più critici. Compliance che il legislatore ha ritenuto importante non più solo come documentazione attestante l’effettiva aderenza alla Direttiva, ma ai fini di una efficacia ed effettiva implementazione delle misure di sicurezza.
Importante osservare che la Direttiva NIS2 interviene (articolo 16) anche per colmare le differenze di adozione dai Paesi membri in tema di reporting sugli incidenti e successive azioni di rafforzamento.
In questo senso, la nuova norma istituisce formalmente la Rete Europea di Organizzazioni di Collegamento per le Crisi Informatiche (o CyCLONe, acronimo di Cyber Crisis Liaison Organisation Network) che supporterà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Infine, è prevista anche la costituzione di un meccanismo volontario di apprendimento tra pari che offra agli Stati membri e alle organizzazioni all'interno dell'UE la possibilità di scambiarsi conoscenze e imparare dalle esperienze degli altri in materia di cyber sicurezza e consenta di aumentare la fiducia reciproca e l’apprendimento dalle buone pratiche già adottate nell’Unione.
Questo anche grazie all’allineamento della Direttiva NIS2 con altre normative settoriali specifiche come quella sulla resilienza operativa digitale per il settore finanziario (DORA) e la Direttiva sulla resilienza delle entità critiche (CER), allineamento che garantirà maggiore chiarezza giuridica e coerenza tra le diverse direttive.
La Direttiva NIS, che individuava la sua base giuridica nell’articolo 114 del Trattato sul funzionamento dell’Unione europea (TFUE), aveva come obiettivo quello di instaurare e mettere in funzione un mercato interno per la cyber security mediante il rafforzamento di specifiche misure che consentissero il ravvicinamento delle normative nazionali.
Per fare ciò, la Direttiva NIS aveva imposto degli obblighi di cyber sicurezza ai soggetti che forniscono servizi o svolgono attività economicamente rilevanti.
Nella realtà dei fatti, però, si sono evidenziate notevoli divergenze nell’attuazione di questi obblighi da parte degli Stati membri con variazioni rilevanti in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza.
Una serie di disparità che, come è facile immaginare, hanno comportato costi aggiuntivi e difficoltà applicative per le entità che offrono beni e servizi transfrontalieri.
Inoltre, il riesame della Direttiva NIS ha evidenziato divergenze anche nelle modalità della sua stessa attuazione da parte degli Stati membri, ai quali è stata lasciata discrezionalità sulla delimitazione dell’ambito applicativo, oltre che sull’attuazione degli stessi obblighi in materia di sicurezza e segnalazione degli incidenti.
Divergenze che, evidentemente, potevano esporre gli stessi Stati membri rendendone alcuni anche più vulnerabili alle minacce informatiche, con potenziali ricadute sull’intera Unione.
Nelle intenzioni del legislatore europeo, dunque, la NIS2 servirà proprio a eliminare queste divergenze creando un quadro normativo più uniforme e coordinato anche grazie a una maggiore cooperazione tra gli Stati e all’aggiornamento dell’elenco dei settori e delle attività soggetti agli obblighi in materia di cyber sicurezza.
Con la nuova Direttiva NIS2 e con la conseguente abrogazione della NIS, infatti, tali obblighi vengono estesi a un maggior numero di settori e servizi ritenuti vitali per le principali attività sociali ed economiche del mercato interno, di fatto superando la precedente e obsoleta differenziazione tra operatori di servizi essenziali e fornitori di servizi essenziali.
La Direttiva NIS2 sostituirà quindi la precedente Direttiva NIS, che abrogherà, a decorrere dal 18 ottobre 2024, con l’obiettivo di affrontare un panorama di minacce mutato radicalmente e ovviare, al tempo stesso, le problematiche che hanno impedito alla Direttiva NIS di ottenere i risultati sperati.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
La direttiva NIS2 ha ampliato l'ambito di applicazione rispetto alla precedente direttiva NIS, includendo una vasta gamma di settori e organizzazioni, sia pubbliche che private, con l'obiettivo di rafforzare la sicurezza informatica all'interno dell'Unione Europea. La direttiva sarà applicata sia a livello delle singole nazioni che dell’intera area geografica dell’UE.
La direttiva indica tre macrocategorie di soggetti a cui è imposto l’obbligo di rispettare le norme della direttiva e sono rispettivamente:
A livello di direttiva, non sono previste differenze tra soggetti essenziali e importanti dal punto di vista dei requisiti di cybersicurezza da soddisfare. Tuttavia, nella pratica, non tutte le organizzazioni saranno trattate allo stesso modo quando gli Stati membri implementeranno la direttiva nei loro ordinamenti nazionali e le misure di sicurezza che un'azienda o un'entità deve implementare potranno essere graduabili, cioè adattate e proporzionate in base alle dimensioni dell’organizzazione e al ruolo che svolge all’interno del suo settore di appartenenza.
Questo approccio darà modo di evitare di imporre obblighi troppo gravosi a organizzazioni meno rilevanti o più piccole, mentre allo stesso tempo garantirà che quelle più grandi o in posizioni più critiche adottino standard di sicurezza elevati.
Per capire quali settori appartengano a quale categoria proponiamo un elenco di questi ultimi divisi per la categoria d’appartenenza.
Da precisare che spetterà comunque agli Stati membri definire, entro e non oltre il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni. Tale elenco dovrà poi essere riesaminato e aggiornato almeno ogni due anni, proprio a garanzia di una più corretta uniformità nell’applicazione della Direttiva NIS2.
La direttiva NIS 2 stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono:
Questi requisiti sono progettati per garantire che le organizzazioni siano in grado di identificare, prevenire e rispondere efficacemente alle minacce informatiche, proteggendo così le infrastrutture critiche e i dati sensibili.
Sono ovviamente previste pesanti sanzioni e provvedimenti per tutte quelle organizzazioni che saranno trovate a non rispettare le norme imposte dalla nuova direttiva.
La logica per l’applicazione delle sanzioni è simile a quella di altre normative, come ad esempio il GDPR: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore.
In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.” Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.”
Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le sue mansioni all’interno dell’organizzazione.
La direttiva NIS2 offre numerosi benefici concreti per le aziende, promuovendo un ambiente digitale più sicuro e resiliente. Innanzitutto, adottare strategie di cyber resiliency basate sui requisiti della NIS2 può contribuire a migliorare l’igiene digitale e la postura di sicurezza di un’organizzazione, con l'obiettivo di ridurre il rischio di incidenti informatici, rafforzare la resilienza informatica e favorire la continuità operativa.
Adottare pratiche di gestione del rischio e governance della sicurezza informatica, come richiesto dalla direttiva, può anche contribuire positivamente allo sviluppo di una cultura interna orientata alla cybersecurity. La diffusione di una cultura aziendale della cybersecurity può aumentare la consapevolezza e la preparazione del personale, rendendo potenzialmente l'azienda più robusta di fronte alle minacce emergenti.
Inoltre, quando le disposizioni contenute nella direttiva diverranno legge, l’eventuale non conformità di un’organizzazione verrà sanzionata dallo Stato italiano. È quindi fondamentale che tutte le organizzazioni che rientrano nell’ambito di applicazione della NIS2 ottengano la conformità con la direttiva per evitare sanzioni da parte delle autorità competenti.
La NIS2 si basa su legislazioni precedenti come NIS1 e GDPR, anche se aggiunge molti nuovi requisiti. Ad esempio, le organizzazioni devono ora adottare una solida strategia di gestione del rischio, la segnalazione tempestiva degli incidenti, la capacità di valutare la supply chain e il mantenimento di un inventario completo di tutte le risorse digitali.
Come detto, trattandosi di una Direttiva, la NIS2 dovrà essere recepita nel diritto nazionale dagli Stati Membri. Gli obblighi diverranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento della Direttiva da parte degli Stati Membri, fissata per il 17 ottobre 2024.
Durante il processo di recepimento, gli Stati Membri potranno definire in modo più puntuale alcuni degli obblighi imposti alle organizzazioni, tenendo conto delle peculiarità dei rispettivi contesti nazionali. È ipotizzabile, inoltre, che in fase di recepimento vengano definiti i tempi di adeguamento per i soggetti in perimetro.
Tuttavia, molti ambiti in cui le organizzazioni saranno chiamate a intervenire in ottica di adeguamento sono identificabili già oggi.
È dunque consigliabile per le organizzazioni muoversi fin da subito per verificare se rientrino o meno nel perimetro di applicabilità della Direttiva e con riferimento a quali settori.
Sarà poi opportuno procedere con una valutazione del proprio attuale livello di conformità al fine di pianificare per tempo le necessarie azioni di adeguamento. Interventi come quelli sulla catena di fornitura, ad esempio, possono richiedere un impegno ed un intervallo di tempo importanti, e può essere conveniente valutare con il dovuto anticipo quali azioni siano necessarie e quali si possano avviare più efficacemente fin da subito, per non trovarsi a operare poi in tempi stretti e con maggiore difficoltà.
I requisiti della NIS2 sono complessi, ma conformarsi alle sue disposizioni può essere più semplice di quanto si pensi. Come partner tecnologico specializzato in sicurezza, noi di Dev4Side assistiamo quotidianamente aziende come la vostra nell’implementazione di soluzioni di sicurezza integrate in Microsoft 365 e contribuiamo a garantire una copertura di sicurezza end-to-end.
Potresti non essere a conoscenza del fatto che la conformità e la governance dei dati sono già integrate nativamente in Microsoft 365 e che potresti anche già avere la possibilità di configurare alcune funzionalità utili allo scopo. Questo implica che potremmo assistervi nell’implementazione di soluzioni di sicurezza progettate per preparare la vostra organizzazione ad affrontare le sfide imposte dalla nuova direttiva NIS2.
Microsoft 365 ed Azure, con il supporto di Dev4Side, possono fornirvi gli strumenti per aiutarvi a ottenere la conformità alla NIS2.
Entrando più nel dettaglio, le tecnologie coinvolte utili allo scopo sono:
Per orientarsi tra i requisiti di conformità NIS2 è necessario più di un semplice approccio tattico: occorre una partnership strategica con un fornitore di sicurezza che comprenda l'intera portata e le dimensioni delle sfide di sicurezza informatica di oggi e Dev4Side, con i suoi 15 anni di esperienza in ambito Microsoft e i suoi esperti certificati può aiutarvi a navigare in completa tranquillità il complesso panorama contemporaneo della cybersecurity.
Prepararsi alle novità apportate dalla direttiva NIS2 è un passaggio obbligato per qualsiasi azienda o impresa che operi all’interno dell’UE e faccia parte delle categorie sopra menzionate indicate dalla nuova direttiva.
Le sfide del panorama digitale contemporaneo in materia di cybersecurity si fanno ogni giorno che passa sempre più complesse e pericolose e, per essere affrontate con decisione ed efficienza, richiedono la cooperazione e l’impegno di tutte le organizzazioni che svolgono le proprie operazioni nei confini europei. Un quadro, questo, in cui la normativa NIS2 va a posizionarsi come solida garanzia di conformità e adesione a standard di sicurezza più rigorosi e uguali per tutti gli Stati membri.
In questo scenario complesso Dev4Side può essere il partner giusto per garantire alla propria impresa una navigazione quanto più liscia possibile. Saremo lieti, se deciderete di collaborare con noi, di condividere con voi una panoramica più approfondita di come possiamo aiutarvi a soddisfare i requisiti imposti dalle nuove direttive europee in maniera semplice e diretta.
NIS2 (Network and Information Security Directive 2) è una direttiva dell'Unione Europea mirata a migliorare la sicurezza informatica, imponendo requisiti rigorosi per le organizzazioni di infrastrutture critiche.
NIS2 è stata pubblicata il 27 dicembre 2022, e gli Stati membri dell'UE devono implementarla entro il 18 ottobre 2024.
NIS2 si applica alle organizzazioni nei settori essenziali, come energia, sanità e finanza, e in settori importanti come ICT e produzione alimentare.
Le organizzazioni devono gestire i rischi informatici, segnalare gli incidenti entro 24 ore, garantire la continuità operativa e proteggere le loro catene di fornitura.
NIS2 amplia il campo di applicazione di NIS1, copre più settori e introduce requisiti più severi, compresa la sicurezza delle catene di approvvigionamento e standard uniformi tra gli Stati membri dell'UE.
Le organizzazioni possono essere multate fino a 10 milioni di euro o al 2% del fatturato globale. I dirigenti possono anche essere ritenuti personalmente responsabili.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
