La Direttiva NIS 2 riguarda più aziende del previsto: come prepararsi e in quali tempi

La direttiva NIS 2, che mira a creare uno standard di sicurezza informatica per le infrastrutture e i servizi essenziali e importanti che sia uniforme in tutta l’Unione europea, ha da poco compiuto un anno, ma è destinata nei prossimi mesi a preoccupare i vertici e i manager di molte aziende che – in qualche caso – stanno scoprendo solo ora di essere toccati da questa normativa. Il testo della normativa NIS 2 è stato approvato il  17 gennaio 2023, fissando la scadenza per il recepimento e l’entrata in vigore negli stati membri per il 17 ottobre 2024.

Mano a mano che le aziende più grandi stanno implementando gli obblighi tecnici e procedurali imposti dalla prossima scadenza, stanno scoprendo nel testo della legge implicazioni che non avevano considerato e stanno sorgendo nuovi dubbi. In primo luogo, riguardo a chi si applica la direttiva NIS 2. Oltre ad aggiungere nuovi soggetti rispetto a quelli presenti nella prima versione della normativa, la NIS 2 include infatti indicazioni sulla certificazione di aspetti che non riguardano solo le aziende direttamente interessate, ma anche i loro fornitori, in particolare quelli di prodotti e servizi informatici, se hanno a che fare con l’erogazione di servizi critici ed essenziali.

Si stima che nei prossimi mesi almeno 20.000 aziende italiane dovranno adeguare le proprie strategia per la cyber security. Vediamo quindi quali sono gli obblighi della direttiva NIS 2, quali soggetti sono tenuti a essere conformi, quali sono gli obblighi, entro quali scadenze le aziende devono adeguarsi e quali sono le sanzioni, che possono arrivare a prevedere la sospensione delle certificazioni e il divieto di ricoprire incarichi dirigenziali per i vertici delle aziende inadempienti.

Cos’è la direttiva NIS 2 e cosa prevede

Nel maggio del 2018 è entrata in vigore la Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva NISUE 2016/1148), strumento volto a raggiungere in tutta l’UE il medesimo elevato livello in materia di sicurezza delle reti e dei sistemi di informazione. Tale normativa, chiamata più semplicemente direttiva NIS (acronimo di Network and Information Systems), era rivolta agli operatori di servizi essenziali con l’obiettivo di evitare i nefasti effetti, sia economici sia sociali, che avrebbero potuto causare attacchi a strutture strategiche. Però, nel tempo, NIS ha mostrato una serie di limitazioni, dovute sia alla direttiva in sé sia all’evoluzione del concetto di sicurezza IT.

La UE ha quindi deciso di modificare la direttiva NIS e ne ha proposta una nuova versione, la NIS 2. Dopo un percorso legislativo durato due anni, nel maggio 2022 è stato raggiunto il consenso sulla NIS 2. Successivamente, la direttiva è stata pubblicata nella Gazzetta ufficiale dell’Unione europea (GU L 333 80) ed è entrata in vigore il 16 gennaio 2023. Il termine ultimo per il recepimento nelle legislazioni nazionali da parte degli Stati membri è, come detto, fissato al 17 ottobre 2024.

La NIS 2 è, quindi, una legge aggiornata sulla cyber security europea che, avendo come base la direttiva NIS originale, potenzia il livello di protezione, amplia il campo di applicazione e crea regole e sanzioni che sono coerenti in tutta l’UE. In pratica, la NIS 2 richiede a un maggior numero di imprese e settori di adottare misure di protezione, con l’obiettivo di migliorare la cyber security delle strutture più critiche a livello europeo nel lungo periodo.

I limiti della vecchia Direttiva NIS

I fattori che hanno reso necessaria una revisione della direttiva NIS sono diversi. Tuttavia, riguardavano principalmente la necessità di una legislazione più rigorosa e di un maggiore livello di uniformità nell’attuazione in tutti gli Stati membri. La direttiva NIS 1 aveva infatti prodotto norme molto disomogenee negli stati.

Tra gli aspetti più rilevanti troviamo:

• Investimenti insufficienti in sicurezza informatica. Uno studio del 2020 dell’ENISA ha rilevato che le organizzazioni dell’UE avevano destinato alla sicurezza informatica un budget inferiore del 41% rispetto alle controparti statunitensi.
• Mancanza di chiarezza. Dallo stesso studio è emerso che il 35% degli intervistati (251 aziende di servizi essenziali, tra cui 50 italiane) che avevano applicato la NIS avevano aspettative poco chiare. Ciò ha portato a un’applicazione incoerente della direttiva nei vari Stati dell’UE.
• Aumento dei cyber attacchi. Le infrastrutture dell’UE erano sempre più colpite da ransomware e altri tipi di cyber attacchi, ma alcune infrastrutture non possedevano nemmeno i sistemi di protezione di base. Inoltre, è stata percepita una mancanza di trasparenza nella segnalazione degli attacchi.

Direttiva NIS 2: quali sono i settori essenziali e importanti

La nuova normativa NIS 2 affronta questi problemi introducendo una regola di dimensionamento, incorporando nella categoria dei servizi essenziali operatori e fornitori e creando una nuova categoria denominata servizi importanti. Eccoli nel dettaglio.

Settori essenziali

• Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno)
• Trasporti (aereo, ferroviario, per vie d’acqua, su strada)
• Bancario
• Infrastrutture dei mercati finanziari
• Sanitario (prestatori di assistenza, laboratori, ricerca e sviluppo, case farmaceutiche, produttori di dispositivi medici critici)
• Acqua potabile
• Acque reflue
• Infrastrutture digitali (fornitori di punti di interscambio Internet, di servizi DNS, di servizi di cloud computing, di servizi di data center, di servizi fiduciari, di registri dei nomi di dominio di primo livello (TLD), di content delivery network, di reti pubbliche di comunicazione, di servizi di comunicazione elettronica accessibili al pubblico
• Gestione dei servizi ICT business-to-business (fornitori di servizi gestiti e di sicurezza gestiti)

Settori importanti

• Servizi postali e di corriere
• Gestione dei rifiuti
• Fabbricazione, produzione e distribuzione di sostanze chimiche
• Produzione, trasformazione e distribuzione alimenti
• Fabbricazione (dispositivi medici e diagnostici; computer, prodotti di elettronica e ottica, apparecchiature elettriche; autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto)
• Fornitori di servizi digitali (e-commerce, motori di ricerca, social network)
• Ricerca

Rispetto alla NIS, la direttiva NIS 2 include ulteriori settori considerati essenziali, come lo l’aeropaziale, le acque reflue, i fornitori di servizi di data center, i fornitori di servizi fiduciari, le reti di distribuzione di contenuti e le reti e i servizi pubblici di comunicazione elettronica. Anche altri settori critici, tra cui i servizi postali, i prodotti chimici e la fabbricazione di prodotti chiave, sono tenuti a rispettare le norme.

Quali aziende sono soggette alla NIS 2?

Nella precedente direttiva NIS, gli Stati membri avevano la responsabilità di determinare quali entità soddisfacessero i criteri per qualificarsi come operatori di servizi essenziali. La direttiva NIS 2 chiarisce e amplia la portata delle entità soggette al regolamento. A differenza della NIS, in cui gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS 2 introduce una regola di dimensionamento. La nuova norma regola si alle entità di dimensioni medio-grandi (con un minimo di 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano all’interno dei settori rilevanti. Le imprese più piccole in generale sono escluse, con l’eccezione di quelle la cui attività è ritenuta di importanza critica per la società. Tali imprese sono costrette a soddisfare requisiti più severi, adottare misure di vigilanza più rigide, e a sottostare a precisi obblighi di comunicazione.

Va poi sottolineato che NIS 2 non considera essenziale o importante la singola organizzazione o il fornitore di servizio ma anche tutta la sua supply chain. Un’azienda informatica che fornisce apparecchiature o software a un cliente, che li usa per l’erogazione di un servizio essenziale e importante , entra automaticamente negli scopi della legge.

Le nuove responsabilità e i rischi per il management aziendale

Nella direttiva NIS mancava la chiarezza su cosa dovesse essere segnalato, in quale arco temporale, su chi fosse responsabile di un attacco informatico e su quali fossero le sanzioni finali. Questi aspetti sono stati chiariti nella NIS2 che, in termini di responsabilità, impone obblighi diretti agli organi di gestione aziendale riguardo all’attuazione e alla supervisione della conformità alla legislazione. I risultati della mancata conformità potrebbero essere multe.

Tuttavia, se i singoli individui sono ritenuti responsabili di non aver rispettato gli standard di cybersecurity richiesti, potrebbero essere temporaneamente interdetti dalle loro funzioni manageriali in quell’organizzazione o altre organizzazioni simili. Questo fino a quando gli interessati non avranno adottato le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell’autorità competente per cui la sospensione o divieto temporaneo sono stati applicati.

24 ore per segnalare un incidente di sicurezza

Le aziende sono poi tenute a segnalare minacce e incidenti informatici significativi alle autorità competenti o ai Computer Security Incident Response Teams (CSIRT). Inoltre, le entità classificate come essenziali o importanti devono produrre e implementare un piano di risposta agli incidenti e devono riferire annualmente sui propri progressi. La nuova direttiva introduce obblighi di notifica graduali, tra cui una prima notifica entro 24 ore dal momento in cui si viene a conoscenza di incidenti significativi. Con significativi si intendono incidenti che:

• hanno causato o sono in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• si sono ripercossi o sono in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Si tratta di una modifica importante rispetto all’attuale obbligo di notifica previsto dalla direttiva NIS perché precisa che la notifica debba essere effettuata senza indebito ritardo. Dopo la notifica iniziale, è prevista anche la possibilità che si sia obbligati a fornire notifiche intermedie (a partire da un mese dalla scoperta dell’incidente) e finali (dopo un mese dalla gestione dell’incidente).

Cosa fare per essere in regola con la NIS 2

Spetta ai singoli Stati membri provvedere affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi a cui possono andare incontro i sistemi informatici e di rete utilizzati nelle attività o nella fornitura di servizi. Ma anche per prevenire, o ridurre al minimo, l’impatto che potrebbero avere degli incidenti per i destinatari di tali servizi.

Secondo quanto stabilito dalla NIS 2, le misure che i soggetti essenziali e importanti devono mettere in atto devono essere basate su un approccio multirischio, mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti. In tal senso, dette misure devono comprendere almeno gli elementi seguenti:

• politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• procedure per la gestione degli incidenti;
• piani per la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e di gestione delle crisi;
• sicurezza della supply chain, compresi aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber security;
• pratiche di igiene informatica di base e formazione in materia di cyber security;
• politiche e procedure relative all’uso della crittografia;
• sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli account;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Le implicazioni NIS 2 per i fornitori di prodotti e servizi

Chi è soggetto alla NIS 2 (ma, in realtà, è un’accortezza che si dovrebbe sempre avere) deve tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cyber security attuate dai propri fornitori, comprese le loro procedure di sviluppo sicuro.

La NIS 2 precisa anche che gli Stati membri devono provvedere affinché i soggetti tengano conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle supply chain critiche. Qualora un soggetto constati una non conformità, deve adottare senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate.

Quali sono le misure di vigilanza e di esecuzione

La NIS 2 precisa che devono essere gli Stati membri a provvedere affinché le misure di vigilanza o di esecuzione imposte ai soggetti essenziali siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze di ciascun singolo caso.

Allo stesso modo, devono essere sempre gli Stati membri a provvedere affinché le autorità competenti, nell’esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:

• ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
• audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente;
• audit ad hoc, inclusi i casi giustificati da un incidente significativo o da una violazione della direttiva da parte del soggetto essenziale;
• scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
• richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cyber security adottate dal soggetto interessato, comprese le politiche documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti;
• richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
• richieste di dati che dimostrino l’attuazione di politiche di cyber security, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.

La norma precisa che gli audit sulla sicurezza mirati si basano su valutazioni del rischio effettuate dall’autorità competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi.

I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell’autorità competente. I costi di un audit sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l’autorità competente decida altrimenti.

Le sanzioni per i soggetti essenziali e importanti

Gli Stati membri provvedono affinché vi sia una violazione delle disposizioni inerenti alle misure di gestione dei rischi o gli obblighi di segnalazione, i soggetti essenziali possano andare incontro a sanzioni pecuniarie amministrative fino a 10 milioni di euro o al 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa capogruppo cui il soggetto essenziale appartiene, se tale importo è superiore.

Analogamente, i soggetti importanti possono essere oggetto di sanzioni pecuniarie amministrative pari fino a 7 milioni di euro o dell’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.

Inoltre, gli Stati membri possono prevedere la facoltà di infliggere penalità di mora al fine di imporre a un soggetto essenziale o importante di cessare una violazione della direttiva NIS 2 conformemente a una precedente decisione dell’autorità competente.

La NIS 2 prevede anche che gli Stati membri debbano provvedere affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e importanti in relazione alle violazioni della presente direttiva siano effettive, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.

Ogni Stato membro può anche definire norme che dispongano se e in quale misura possono essere imposte sanzioni amministrative pecuniarie agli enti della pubblica amministrazione.

Direttiva NIS 2: consigli pratici per le aziende

Se in teoria tutti gli operatori interessanti dalla NIS 2 dovrebbero già aver lavorato sul tema nell’ultimo anno, sappiamo tutti che in realtà più piccole, o in caso di cambiamenti nella dirigenza, qualcuno dovrà ancora mettere mano alla questione. Del resto, abbiamo visto tutti quanto il GDPR sia stato in molte aziende sottovalutato e accantonato fino a poche settimane prima dell’entrata in vigore delle sanzioni.

Le implicazioni della NIS 2 però sono tali per cui non è possibile rimandare ulteriormente la sua applicazioni, se non ci si vuole trovare a ottobre a essere inadempienti.

Abbiamo raccolto alcune indicazioni da manager, consulenti legali specializzati e tecnici, ed ecco quali sono alcuni consigli emersi.

Cosa devono fare AD, CIO e CISO di aziende essenziali e importanti

1. Identificare il campo di applicazione

Ricordando che la direttiva si applica solo ai servizi essenziali e importanti, è fondamentale fare prima di tutto una mappatura di quali sono i dipartimenti, i sistemi e i fornitori in essi coinvolti, lasciando fuori dal perimetro di applicazione tutto il resto. Questa analisi può restringere enormemente il campo di applicazione, portando a interventi più mirati, ma anche rivelare che alcuni fornitori che non si consideravano essenziali, in realtà lo sono. Per fare un esempio: che succederebbe se il personale richiamato per un’urgenza non riuscisse ad accedere agli uffici perché il sistema apriporta con badge non funziona?

2. Documentare per iscritto le analisi e le attività fatte

In caso di contestazioni sarà importante poter dimostrare di avere affrontato adeguatamente il tema, documentando il lavoro fatto per analizzare i problemi e giustificare le valutazioni effettuate. Meglio quindi verbalizzare ogni riunione e archiviare le comunicazioni rilevanti.

3. Chiedere garanzie ai fornitori

Una volta identificati i fornitori coinvolti nei servizi essenziali, non è obbligatorio fare immediatamente un audit e richiedere interventi correttivi, ma è indispensabile comunicare che li si ritiene soggetti interessati dalla normativa e richiedere garanzie scritte sulle misure di sicurezza adottate, canali di comunicazione e tempi di intervento previsti in caso di emergenze.

Questa è l’attività minima da fare entro la scadenza di ottobre. Ci sarà tempo successivamente per eseguire audit periodici o ad-hoc, magari suggeriti da eventi specifici.

Nel caso di nuovi rapporti, è bene inserire da subito queste garanzie nel contratto. In tutto ciò sarà importante avere l’assistenza di un legale, interno o esterno.

4. Preoccuparsi degli aspetti organizzativi

Avere sistemato l’infrastruttura tecnologica per garantire la cybersecurity è solo uno degli aspetti. Come abbiamo detto, in caso di violazioni che riguardino l’erogazione di servizi essenziali e che possano procurare danni rilevanti a terzi, l’azienda è tenuta a dare comunicazione alle autorità entro 24 ore, che sono una scadenza troppo corta per potersi permettere di improvvisare, specialmente se l’incidente

• Chi deve garantire la sorveglianza sugli eventi?
• Chi valuta se l’entità dell’incidente è tale da richiedere la notifica?
• Chi autorizza la comunicazione alle autorità?
• Chi la deve redigere, certificando la veridicità delle informazioni?
• Quale comunicazione deve essere data al pubblico o ai clienti, e da chi?

Le funzioni e persone indicate nelle risposte a queste domande dovrebbero prevedere anche una posizione vicaria, a cui ricorrere in caso di indisponibilità del responsabile. Ventiquattro ore sono poche, specialmente se capitano nel weekend o durante le ferie.

Diventa essenziale quindi stabilire una catena di comando per gli aspetti tecnici, e una per gli aspetti di responsabilità, stabilendo chiaramente i punti di contatto tra le due. Nello stress dell’emergenza, le voci incontrollate possono fare più danni di un attacco.

Cosa devono fare i fornitori di servizi IT

1. Giocate d’anticipo

Se sapete di avere tra i clienti alcuni fornitori di servizi essenziali, cominciate a contattare i vostri referenti prima ancora che vi inviino un questionario di cinquanta domande per il quale chiedono una risposta celere e dettagliata. Sapere se sarete inseriti tra i fornitori di servizi essenziali vi permetterà di prepararvi per tempo, mentre sapere in anticipo di esserne esclusi vi eviterà analisi e valutazioni che non saranno mai richieste.

2. Sfruttate la NIS 2 per sbloccare budget o fare upselling

Se sapete che le misure di cybersecurity del cliente sono inadeguate alle richieste della NIS 2, potete sfruttare questo momento per proporre soluzioni più avanzate. La responsabilità diretta dell’amministratore delegato potrebbe renderlo un soggetto con cui dialogare, direttamente o attraverso il CIO, permettendo di sbloccare budget aggiuntivi.

3. Valutate se il gioco vale la candela

Se non siete in grado di offrire al cliente le garanzie richieste per la conformità alla direttiva NIS 2, per esempio perché non potete fornire assistenza nei tempi richiesti, valutate se sia più conveniente attrezzarsi in tal senso o rinunciare al cliente. Magari lo si potrà mantenere ma solo per attività non incluse nel perimetro dei servizi essenziali. In nessun caso è consigliabile dare garanzie che non si è in grado di erogare, vista l’entità delle sanzioni in ballo.

4. Valorizzate i vostri servizi

Se offrite servizi di incident response, avete un SOC che opera 27/7, soluzioni di autenticazione a più fattori o altre tecnologie e servizi che sono funzionali alla conformità con la direttiva NIS 2, evidenziatelo in tutte le vostre comunicazioni. Qualche azienda potrebbe trovarsi nella necessità di sostituire il proprio fornitore IT con uno che abbia un livello di servizio conforme alle sue esigenze. Se avete lavorato in questo modo nel 2018 evidenziando che la vostra soluzione era “GDPR compiant”, avete un’idea di quanto questo potrebbe essere importante nei prossimi mesi.

Una concreta consapevolezza della cyber security

La direttiva NIS 2 rappresenta un’importante evoluzione nella gestione della cyber security a livello dell’Unione Europea. Proprio per questo coinvolge un numero molto più ampio di imprese ed enti, stabilendo precise direttive e responsabilità. E assieme ad altre normative europee in materia di protezione dei dati come il GDPR , il Cyber Resilience Act o il Digital Operational Resilience Act alza ulteriormente le barriere di protezione contro gli attaccanti.

Tuttavia, però, a ben guardare, non fa altro che imporre strategie che nella maggior parte dei casi dovrebbero essere già una pratica consolidata sia in termini di prevenzione del rischio, sia, ancora di più, di business continuity, ovvero di capacità di limitare al massimo gli effetti che possono avere attacchi che hanno raggiunto il loro obiettivo. In pratica, l’obiettivo è di avere una maggiore consapevolezza nei confronti della cyber security e che questa porti ad attuare efficaci strategie.

Probabilmente molte realtà la consapevolezza l’avevano già, ma non portava a troppi riscontri pratici. Rispetto al passato, però, ora c’è un’autorità che controlla e le imprese più critiche non possono più rimandare: entro il prossimo 17 ottobre devono adottare le misure adeguate ad assicurare la propria protezione ma anche quella della loro supply chain e dei loro clienti.