Direttiva NIS2

La direttiva NIS2 costituisce l’aggiornamento della legislazione dell’Unione europea in materia di sicurezza informatica che mira a migliorare la struttura generale della sicurezza informatica in tutta l’UE. La NIS2 si basa sulla precedente direttiva NIS del 2016, ampliandone l’ambito di applicazione, introducendo requisiti più severi e rafforzando le misure di applicazione.

Nonostante la Direttiva NIS2 sia incentrata sull’Unione Europea, essa interessa anche le aziende al di fuori dell’Unione Europea che forniscono servizi essenziali all’economia europea. Di conseguenza, tutte le organizzazioni interessate devono comprendere i requisiti NIS2 per la conformità.

La Direttiva NIS2 è un insieme di norme e requisiti di cybersecurity applicabili a un’ampia gamma di organizzazioni ed enti in tutta l’Unione Europea, tra cui: operatori di servizi essenziali, fornitori di servizi digitali, fornitori di tecnologie critiche ed enti della pubblica amministrazione.

Gli obiettivi principali della direttiva NIS2 sono:

• Stabilire un insieme standard di requisiti di sicurezza informatica in tutti gli Stati membri dell’UE.
• Espandere l’ambito di applicazione della direttiva per coprire più settori ed entità.
• Introdurre obblighi più severi di segnalazione degli incidenti e misure di applicazione.
• Promuovere una migliore collaborazione e condivisione delle informazioni tra gli Stati membri.
• Garantire un elevato livello di resilienza della cybersecurity come standard in tutta l’UE.

La direttiva NIS2 sostituisce la precedente direttiva NIS e mira a colmare le lacune e la frammentazione osservate nella sua attuazione in tutta l’UE. Introduce un approccio più completo e armonizzato alla sicurezza informatica per proteggere le infrastrutture critiche dell’UE, i servizi digitali e i cittadini dalla crescente minaccia di incidenti e attacchi informatici.

Lo scopo principale della direttiva NIS2 è quello di stabilire un livello standardizzato di resilienza della sicurezza informatica in tutta l’UE. Gli obiettivi principali della direttiva NIS2 sono:

• Aumentare la sicurezza informatica dei fornitori di servizi essenziali: la direttiva mira a rafforzare le capacità di sicurezza informatica e la preparazione alla risposta agli incidenti delle organizzazioni che forniscono servizi essenziali all’UE.
• Ottimizzare la resilienza informatica grazie a requisiti e applicazioni più rigorosi: la NIS2 introduce requisiti di sicurezza più dettagliati e armonizzati per le entità che rientrano nell’ambito di applicazione, nonché misure di applicazione più severe e sanzioni per la mancata conformità.
• Migliorare la preparazione generale dell’UE ad affrontare gli attacchi informatici: imponendo pratiche di sicurezza comuni, la segnalazione di incidenti e la condivisione delle informazioni, la direttiva mira a migliorare la capacità collettiva dell’UE di prevenire, rilevare e rispondere alle principali minacce informatiche.
• Affrontare le carenze della precedente direttiva NIS: la direttiva NIS2 mira a porre rimedio alla frammentazione e alle incoerenze osservate durante l’attuazione della direttiva NIS originale negli Stati membri.

L’obiettivo generale della direttiva NIS2 è quello di aumentare la resilienza di base della cybersecurity nell’UE, proteggere le infrastrutture e i servizi critici e consentire una risposta più coordinata ed efficace agli incidenti informatici che potrebbero perturbare l’economia e la società europee.

La direttiva NIS2 introduce una serie completa di requisiti e obblighi di cybersecurity che le organizzazioni che rientrano nel campo di applicazione devono implementare entro la scadenza del 17 ottobre 2024.

Valutazione e gestione del rischio

Le organizzazioni devono effettuare valutazioni periodiche dei rischi delle loro reti e dei loro sistemi di informazione e implementare misure di sicurezza tecniche e organizzative adeguate per gestire tali rischi. Ciò include:

• Politiche e procedure per l’analisi dei rischi e la sicurezza del sistema informativo
• Processi di gestione e divulgazione delle vulnerabilità
• Uso efficace della crittografia e della cifratura

Risposta e segnalazione degli incidenti

La NIS2 impone requisiti rigorosi per la segnalazione degli incidenti. Le organizzazioni devono disporre di solide procedure per la gestione degli incidenti e delle crisi, tra cui:

• Rilevamento, analisi e classificazione degli incidenti
• Notifica alle autorità competenti entro i tempi stabiliti
• Misure coordinate di risposta e recupero

Continuità operativa

Le entità devono sviluppare e mantenere piani di continuità operativa e di ripristino in caso di disastro per garantire la continuità dei servizi essenziali in caso di incidenti gravi. Ciò include:

• Gestione dei backup e procedure di ripristino
• Gestione delle crisi e protocolli di comunicazione

Supply Chain Security

Le organizzazioni sono responsabili della gestione dei rischi di cybersecurity nelle loro catene di fornitura. Devono implementare misure di sicurezza adeguate per i rapporti con i fornitori diretti ed i fornitori di servizi.

Governance e responsabilità

Il NIS2 pone maggiore enfasi sul ruolo della dirigenza nella supervisione della cybersecurity. La leadership deve essere coinvolta attivamente in:

• Approvare le politiche di sicurezza e le strategie di gestione del rischio
• Garantire l’efficacia delle misure di cybersecurity
• Fornire formazione e sensibilizzazione sulla cybersecurity al personale

Conformità e applicazione delle norme

Il mancato rispetto dei requisiti NIS2 può comportare sanzioni significative, tra cui multe fino a 10 milioni di euro o al 2% del fatturato annuo globale per le “entità essenziali” e fino a 7 milioni di euro o all’1,4% del fatturato annuo globale per le entità “importanti”. Le autorità hanno anche il potere di imporre altre sanzioni, come la sospensione temporanea del servizio. Per ottenere la conformità al NIS2, le organizzazioni devono adottare le seguenti misure:

1. Valutare se sono classificati come enti “essenziali” o “importanti” ai sensi della direttiva.
2. Condurre un’analisi completa delle lacune per identificare le aree che richiedono miglioramenti.
3. Sviluppare e implementare le politiche, i processi e i controlli di sicurezza necessari.
4. Garantire una governance, una responsabilità e una consapevolezza della cybersecurity efficaci.
5. Stabilire solide capacità di risposta agli incidenti e di continuità operativa.
6. Valutare e gestire i rischi per la sicurezza della catena di fornitura.
7. Prepararsi a potenziali verifiche, ispezioni e interventi da parte delle autorità.

Per maggiori dettagli sui requisiti NIS2, visita il sito ufficiale della direttiva NIS2.

La direttiva NIS2 rappresenta un’evoluzione significativa rispetto alla precedente direttiva NIS, introdotta nel 2016. Ecco le differenze principali tra le due:

• Ambito di applicazione ampliato: la NIS1 si applicava solo agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP) in settori specifici. La NIS2 amplia l’ambito di applicazione per coprire una gamma molto più ampia di entità “essenziali” e “importanti” in 15 settori diversi, tra cui: energia, trasporti, banche, sanità, infrastrutture digitali e altro ancora.
• Requisiti più rigorosi: la NIS2 introduce requisiti di sicurezza più dettagliati e armonizzati che le entità che rientrano nel campo di applicazione devono implementare, come valutazioni del rischio, piani di risposta agli incidenti e misure di sicurezza della catena di fornitura.La direttiva prevede anche obblighi più severi di segnalazione degli incidenti, con tempistiche più brevi per informare le autorità.
• Applicazione più rigorosa: il NIS2 autorizza le autorità nazionali a imporre sanzioni molto più severe in caso di non conformità, tra cui multe fino a 10 milioni di euro o al 2% del fatturato annuo globale. Le autorità hanno anche il potere di impartire istruzioni vincolanti e di sospendere temporaneamente i servizi.
• Miglioramento della collaborazione: la NIS2 mira a migliorare la cooperazione e la condivisione delle informazioni tra gli Stati membri attraverso la creazione di un nuovo gruppo di cooperazione. L’obiettivo è rafforzare la preparazione e la risposta collettiva dell’UE alle principali minacce informatiche.

Le differenze fondamentali sono che la NIS2 ha un campo di applicazione significativamente più ampio, requisiti di sicurezza più rigorosi, meccanismi di applicazione più forti e una maggiore enfasi sulla collaborazione tra i paesi membri, il tutto per aumentare il livello di base della resilienza della sicurezza informatica in tutta l’UE.

La Direttiva NIS2 delinea le misure di sicurezza informatica obbligatorie che le organizzazioni che rientrano nel campo di applicazione devono attuare ai sensi dell’Articolo 21. Questi requisiti di sicurezza informatica includono:

• Analisi dei rischi e politiche di sicurezza delle informazioni: le organizzazioni devono stabilire politiche e procedure per condurre valutazioni regolari dei rischi, identificare le vulnerabilità e implementare controlli di sicurezza adeguati per gestire i rischi identificati.
• Risposta e segnalazione degli incidenti: le entità devono disporre non solo di solide capacità di rilevamento, analisi e risposta agli incidenti, ma anche di ruoli e responsabilità definiti, nonché di processi per la segnalazione tempestiva degli incidenti alle autorità competenti.
• Controllo degli accessi e autenticazione: è necessario implementare misure adeguate di controllo degli accessi, come l’autenticazione a più fattori, per impedire l’accesso non autorizzato ai sistemi e ai dati.
• Protezione e crittografia dei dati: le organizzazioni devono garantire la riservatezza, l’integrità e la disponibilità dei dati utilizzando la crittografia e altre tecniche di protezione dei dati.
• Gestione delle vulnerabilità: le entità devono disporre di processi di gestione e divulgazione delle vulnerabilità, tra cui valutazioni periodiche delle vulnerabilità e la tempestiva applicazione di correzioni alle vulnerabilità conosciute.
• Backup e continuità operativa: è necessario stabilire solide capacità di gestione dei backup e di ripristino di emergenza per garantire la continuità dei servizi essenziali in caso di incidente grave.
• Sicurezza della catena di fornitura: le organizzazioni sono responsabili della gestione dei rischi di cybersecurity lungo la loro catena di fornitura e devono implementare misure di sicurezza adeguate per i rapporti con i fornitori diretti e i fornitori di servizi.
• Monitoraggio e registrazione della sicurezza: è necessario disporre di meccanismi completi di monitoraggio e registrazione della sicurezza per rilevare, analizzare e rispondere agli eventi di sicurezza.
• Sensibilizzazione e formazione sulla cybersecurity: le entità devono fornire regolarmente programmi di formazione sulla sensibilizzazione alla sicurezza al proprio personale, per garantire che questo sia in grado di identificare e rispondere alle minacce informatiche.
• Governance e responsabilità: il direttivo dell’organizzazione deve supervisionare e approvare attivamente le misure di cybersecurity, le strategie di gestione del rischio e i piani di risposta agli incidenti.

Queste misure rappresentano i requisiti di base della cybersecurity che le organizzazioni che rientrano nel campo di applicazione devono implementare per conformarsi alla Direttiva NIS2.

La direttiva NIS2 stabilisce due categorie principali di entità soggette ai suoi requisiti di sicurezza informatica: entità “essenziali” e “importanti”.

Entità essenziali

Le entità essenziali sono organizzazioni ritenute fondamentali per il funzionamento dell’economia e della società europea. Questa categoria comprende:

• Operatori nei settori: dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, della sanità, dell’acqua potabile, delle acque reflue e delle infrastrutture digitali.
• Fornitori di reti e servizi pubblici di comunicazione elettronica.
• Fornitori di servizi fiduciari qualificati e registri di nomi TLD (domini di primo livello).
• Enti della pubblica amministrazione a livello di governo centrale.
• Entità designate come “entità critiche” ai sensi della direttiva CER (Critical Entities Resilience) dell’UE.

Le entità essenziali sono soggette a requisiti di vigilanza più severi e a potenziali ammende più elevate in caso di non conformità rispetto alle entità “importanti”.

Entità importanti

Pur non essendo critiche come le entità essenziali, le entità importanti sono organizzazioni che svolgono comunque un ruolo importante nell’economia e nella società europea. Questa categoria comprende:

• Fornitori di servizi postali e di corriere
• Enti di gestione dei rifiuti
• Produttori di prodotti chimici, alimentari, dispositivi medici, apparecchiature elettriche e altri prodotti
• Fornitori di servizi digitali come: piattaforme di mercato online, motori di ricerca e social media
• Organizzazioni di ricerca (esclusi gli istituti di istruzione)

Le entità importanti sono soggette a un approccio di vigilanza a posteriori più flessibile, in cui le autorità possono intervenire se ricevono prove di non conformità.

La distinzione tra entità essenziali e importanti si basa su fattori quali le dimensioni, il settore e il potenziale impatto di un’interruzione. Le organizzazioni più grandi che operano in settori ad alto rischio hanno maggiori probabilità di essere classificate come essenziali, mentre le entità più piccole o meno critiche sono considerate importanti.

In particolare, la Direttiva NIS2 può essere applicata anche a entità non appartenenti all’UE che forniscono servizi essenziali o importanti al mercato europeo, anche se non sono fisicamente situate all’interno dell’UE.

La Direttiva NIS2 stabilisce un solido schema di implementazione con sanzioni significative per le organizzazioni che non si conformano ai suoi requisiti. La direttiva autorizza le autorità nazionali a imporre sanzioni sia finanziarie che non finanziarie alle entità essenziali e importanti che violano le norme sulla sicurezza informatica.

Sanzioni finanziarie

La Direttiva NIS2 stabilisce chiare linee guida per le sanzioni pecuniarie massime che possono essere applicate:

• Per le entità essenziali, la sanzione massima è pari a 10 milioni di euro o al 2% del fatturato annuo globale dell’organizzazione.
• Per le entità importanti, la sanzione massima è pari a 7 milioni di euro o all’1,4% del fatturato annuo globale dell’organizzazione.

Queste multe sono state concepite per essere sufficientemente severe da avere un effetto deterrente e incentivare le organizzazioni ad adottare le misure necessarie per garantire la conformità.

Sanzioni non finanziarie

Oltre alle sanzioni economiche, le autorità nazionali possono imporre una serie di sanzioni non monetarie alle entità non conformi, tra cui:

• ordini di conformità che richiedono all’organizzazione di porre rimedio alla violazione
• istruzioni vincolanti su specifiche misure di sicurezza da implementare
• controlli di sicurezza obbligatori
• ordini di notifica ai clienti dell’organizzazione di potenziali rischi
• divieti temporanei di fornire servizi o attività

Responsabilità personale dei dirigenti

La direttiva NIS2 introduce anche nuove misure per ritenere i dirigenti responsabili in prima persona delle carenze in materia di sicurezza informatica. Se viene riscontrata una grave negligenza a seguito di un incidente informatico, le autorità possono:

• richiedere all’organizzazione di divulgare pubblicamente la violazione della compliance
• emettere dichiarazioni pubbliche che identifichino le persone responsabili
• per le entità essenziali, imporre a determinati manager il divieto temporaneo di ricoprire incarichi esecutivi.

Queste disposizioni mirano a garantire che la sicurezza informatica sia trattata come una priorità assoluta ai livelli più alti dell’organizzazione, piuttosto che come una semplice preoccupazione del reparto IT.

La severità delle sanzioni previste dalla NIS2 sottolinea l’impegno dell’Unione europea a migliorare gli standard di sicurezza informatica e la resilienza. Le organizzazioni che non adottano le misure necessarie per conformarsi ai requisiti della direttiva rischiano di subire notevoli danni finanziari e di reputazione.

Abbiamo elencato i passi essenziali che le organizzazioni devono compiere per prepararsi ad ottemperare alla Direttiva NIS2:

1. Valuta la tua attuale strategia di cybersecurity

Inizia con una valutazione approfondita dei sistemi IT, dei controlli di sicurezza e delle pratiche di cybersecurity esistenti. Individua eventuali lacune o punti deboli rispetto ai requisiti NIS2.

2. Informare e coinvolgere la direzione

Assicurati che il management dell’organizzazione comprenda appieno le implicazioni e i requisiti della direttiva NIS2. Presenta un business case chiaro che illustri i rischi della non conformità e i vantaggi di misure proattive di cybersecurity.

3. Assegna budget e risorse sufficienti

Collabora con la direzione per garantire il budget e le risorse necessarie per implementare i controlli e i processi di sicurezza richiesti. Ciò può comportare investimenti in nuove tecnologie, personale, formazione e manutenzione continua.

4. Sviluppa una tabella di marcia e un piano di attuazione

Sulla base della valutazione delle lacune, crea una tabella di marcia dettagliata e un piano di implementazione per soddisfare i requisiti NIS2. Dai priorità alle aree più critiche e che richiedono più tempo per garantire il rispetto della scadenza dell’ottobre 2024.

5. Migliora le politiche e le procedure di sicurezza

Rivedi e aggiornare le politiche di sicurezza dell’organizzazione, i piani di risposta agli incidenti e altre procedure pertinenti per allinearsi ai mandati della Direttiva NIS2. Ciò include misure per la gestione del rischio, il controllo degli accessi, la protezione dei dati e la sicurezza della catena di approvvigionamento.

6. Implementa i controlli tecnici di sicurezza

Implementa i necessari controlli tecnici di sicurezza, come l’autenticazione a più fattori, la crittografia, la gestione delle vulnerabilità e le funzionalità di monitoraggio e registrazione della sicurezza.

7. Offri una solida formazione sulla sicurezza informatica

Assicurati che tutti i dipendenti ricevano regolarmente una formazione sulla consapevolezza della cybersecurity per aiutarli a identificare e rispondere alle potenziali minacce. Si tratta di un requisito fondamentale previsto dalla direttiva NIS2.

8. Valuta e gestisci i rischi della catena di fornitura

Valuta la solidità della struttura della cybersecurity dei fornitori e dei gestori di servizi della tua organizzazione e implementa misure di sicurezza adeguate per mitigare i rischi lungo tutta la catena di fornitura.

9. Preparati alla segnalazione di incidenti e agli audit

Stabilisci solide procedure di rilevamento, analisi e segnalazione degli incidenti per soddisfare i rigorosi requisiti di notifica della direttiva NIS2. Inoltre, tieniti pronto per potenziali audit e ispezioni da parte delle autorità di regolamentazione.

Affrontando in modo proattivo queste aree chiave, le organizzazioni possono mettersi nella posizione migliore per ottenere la conformità alla NIS2 e migliorare la loro resilienza complessiva in materia di sicurezza informatica prima che la direttiva entri in vigore.

Proofpoint offre una gamma di soluzioni di cybersecurity che possono aiutare le organizzazioni a soddisfare i requisiti di conformità della direttiva NIS2:

• Threat Detection e Risk Assessment: Proofpoint Targeted Attack Protection (TAP) fornisce funzionalità avanzate di rilevamento delle minacce e di valutazione dei rischi, offrendo alle organizzazioni una visibilità approfondita sulle minacce che entrano nei loro ambienti. Ciò contribuisce a soddisfare il requisito NIS2 per la ricezione e l’analisi delle informazioni sulle minacce e sulle vulnerabilità.
• Sicurezza email e risposta agli incidenti: Proofpoint Email Protection identifica e blocca le frodi e le minacce informatiche basate sulle email, impedendo a queste minacce di raggiungere gli utenti finali. Ciò è in linea con i requisiti di risposta e mitigazione degli incidenti della direttiva NIS2. Proofpoint Email Encryption consente inoltre una comunicazione sicura per la segnalazione degli incidenti.
• Threat Intelligence e Awareness: Proofpoint Threat Intelligence Service offre rapporti dettagliati sulle minacce e accesso agli esperti di sicurezza. La simulazione di phishing e la formazione sulla consapevolezza della sicurezza di Proofpoint consentono ai dipendenti di riconoscere e rispondere alle minacce informatiche, come richiesto dal NIS2.
• Protezione dei dati e conformità: le soluzioni Proofpoint Email Data Loss Prevention (DLP) e Data Discover possono aiutare le organizzazioni a proteggere i dati sensibili e a garantire la conformità alle normative sulla protezione dei dati come il GDPR, che sono strettamente legate alla direttiva NIS2.

Sfruttando le soluzioni complete di cybersecurity e conformità di Proofpoint, le organizzazioni possono implementare in modo più efficace le misure tecniche e organizzative richieste dalla direttiva NIS2 e migliorare la loro resilienza informatica complessiva. Per ulteriori informazioni, contatta Proofpoint.