NIS2: rischi e opportunità per le imprese

Introduzione e riferimenti normativi

NIS è l'acronimo di “Network and Information Security” (sicurezza delle reti e dell'informazione).<br>

Con questo acronimo, la Comunità europea ha inteso indicare l'impegno legislativo volto a definire un approccio standardizzato alla sicurezza informatica in tutti gli Stati membri dell'UE.

Nel 2018 è stato approvato il primo regolamento europeo denominato NIS1 (Direttiva UE 2016/1148), recepito a livello nazionale dal Decreto Legislativo n. 65 del 18/05/2018.

Il decreto NIS ha inoltre previsto l'adozione di una “strategia nazionale di sicurezza informatica” istituendo il CSIRT (Computer Security Incident Response Team) italiano con compiti tecnici relativi alla prevenzione, alla risposta e al monitoraggio degli incidenti informatici, in collaborazione con i CSIRT europei.<br>

La direttiva NIS 1 è stata successivamente sostituita dalla direttiva NIS 2 (Direttiva UE 2022/2555), recepita a livello nazionale con il decreto legislativo n. 138 del 4 settembre 2024.

La NIS 2 mira a superare i limiti della NIS 1, che lasciava troppa discrezionalità agli Stati membri durante il recepimento, con conseguente mancato raggiungimento dell'obiettivo di armonizzazione, ed escludeva inoltre alcune categorie di entità che avrebbero dovuto essere regolamentate data la loro importanza per il mercato europeo.

Inoltre, la NIS 2 è stata introdotta per rispondere all'aumento del tasso di digitalizzazione che ha avuto luogo in tutti gli Stati membri e che è stato accelerato dalla pandemia, il quale ha ampliato la superficie esposta agli attacchi informatici senza un corrispondente aumento dei sistemi di sicurezza.

Infine, un altro obiettivo della NIS 2 è quello di obbligare gli operatori di servizi essenziali e importanti e i fornitori di servizi digitali ad adottare misure di sicurezza adeguate e a segnalare tempestivamente gli incidenti alle autorità competenti e agli utenti dei loro servizi.

La nuova direttiva è stata allineata ad altre normative settoriali europee specifiche, tra cui:

- la direttiva sulla resilienza operativa digitale per il settore finanziario (DORA). Si tratta del regolamento approvato il 10 novembre 2022 con l'obiettivo di rafforzare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso l'attuazione di una serie di misure di sicurezza obbligatorie che garantiscano l'integrità delle informazioni e la sicurezza informatica dei servizi;

- la Direttiva sulla resilienza delle entità critiche (CER); volta a garantire chiarezza giuridica e coerenza tra le varie direttive.

Le imprese interessate sono state suddivise in:

• Enti essenziali (energia; trasporti; sanità; approvvigionamento idrico; pubblica amministrazione; finanza; settore spaziale; infrastrutture digitali)
• Enti importanti (ricerca; prodotti chimici; settore alimentare; produzione industriale; fornitori di servizi digitali; servizi postali; gestione dei rifiuti)
• Enti pubblici: Amministrazione centrale (organi costituzionali e di rilevanza costituzionale; Ufficio del Primo Ministro e ministeri; agenzie fiscali; autorità amministrative indipendenti) | Amministrazione regionale (regioni e province autonome) | Amministrazione locale (città metropolitane; comuni con più di 100.000 abitanti; capoluoghi di provincia; autorità sanitarie locali) | Altri enti pubblici (organismi di regolamentazione economica; fornitori di servizi economici; associazioni; assistenza sociale; fornitori di servizi ricreativi e culturali; organismi e istituzioni di ricerca; istituti zooprofilattici sperimentali) | Altri tipi di enti (enti che forniscono servizi di trasporto pubblico locale; istituti di istruzione che svolgono attività di ricerca; enti che svolgono attività di interesse culturale; società interne; società partecipate e società a controllo pubblico)
• Fornitori: le organizzazioni che forniscono servizi critici agli enti interessati dalla direttiva NIS2 devono rafforzare la propria sicurezza digitale, anche se non sono esplicitamente incluse nei settori soggetti all’obbligo.

Contenuto della direttiva NIS2

Gli obblighi generali previsti dalla direttiva NIS2 possono essere sintetizzati sulla base di quattro pilastri principali:

Governance: la direzione deve approvare le misure di gestione dei rischi adottate dall'organizzazione e valutarne l'efficacia nel tempo; seguire regolarmente corsi di formazione sulle questioni relative alla sicurezza informatica e offrire una formazione analoga ai dipendenti.

Gestione dei rischi: l'organizzazione deve valutare i rischi di sicurezza e di rete e adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei propri servizi.

Continuità operativa: l'organizzazione deve adottare soluzioni volte a garantire la continuità operativa (ad esempio, backup, piano di ripristino di emergenza e procedura di gestione delle crisi), al fine di ridurre al minimo l'impatto di eventuali interruzioni dei servizi forniti.

Catena di approvvigionamento: l'azienda deve valutare le vulnerabilità di ciascun fornitore diretto e la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori. La valutazione riguarderà i fornitori di ICT e altri fornitori critici che potrebbero causare interruzioni del servizio per il quale l'organizzazione è stata inclusa nel perimetro NIS2.<br>

Le aziende saranno quindi tenute a essere in grado di misurare e riferire in merito a:

• Analisi dei rischi e politiche di sicurezza dei sistemi informativi
  
• Procedure di gestione degli incidenti
  
• Soluzioni di continuità operativa (backup e ripristino di emergenza) e procedure di gestione delle crisi e di comunicazione
  
• Politiche di sicurezza della catena di approvvigionamento (fornitori e fornitori di servizi)
  
• Sicurezza nell'acquisizione, nello sviluppo, nella manutenzione e nella gestione delle vulnerabilità dei sistemi informativi e delle reti
  

Calendario NIS2

Le imprese e le amministrazioni pubbliche dovranno effettuare una valutazione per capire se sono soggette agli obblighi previsti dalla direttiva NIS2.

Dal 1° dicembre 2024 al 28 febbraio 2025, le aziende dovranno aver effettuato l'autenticazione sul Portale dell'ACN (Agenzia Nazionale per la Sicurezza Informatica) utilizzando le proprie credenziali SPID. Durante questo periodo, gli utenti designati come /Servizio di Registrazione.

In particolare, le aziende sono tenute a:

• Indicare se l'entità fa parte di un gruppo di società e fornire il codice fiscale della società madre, se applicabile.
  
  
• Elencare le società collegate e fornire i loro codici fiscali.
  
  
• Elencare i codici ATECO che descrivono l'attività dell'entità.<br>
• Indicare le normative settoriali dell'Unione Europea pertinenti.
  
• Fornire i dati relativi al fatturato, al bilancio e al numero di dipendenti per determinare la categoria dell'azienda.
  
• Elencare i tipi di entità a cui appartiene l'azienda.
  

Entro il 17 gennaio 2025, i gestori dei registri dei nomi di dominio di primo livello, i fornitori di servizi relativi al sistema dei nomi di dominio e di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network dovranno essersi registrati sulla piattaforma.

Entro il 31 marzo 2025, l'ACN ha compilato un elenco di entità essenziali e importanti sulla base delle registrazioni ricevute attraverso la piattaforma.

Tra il 1° aprile 2025 e il 15 aprile 2025, l'ACN ha comunicato alle entità interessate se fossero state incluse nell'elenco delle entità essenziali o importanti.

Entro il 15 aprile 2025, i soggetti che hanno ricevuto la notifica erano tenuti a designare, mediante un atto specifico, un soggetto responsabile dell'adempimento degli obblighi previsti dal decreto.

Successivamente, i soggetti interessati dalla direttiva dovranno ottemperare a ulteriori requisiti:

• entro il 1° gennaio 2026, obbligo di segnalazione degli incidenti
  
• entro il 1° ottobre 2026, devono essere adempiuti gli obblighi relativi agli organi amministrativi e alle misure di sicurezza
  

Ogni anno l'ACN aggiornerà l'elenco dei soggetti interessati. Le imprese e le amministrazioni pubbliche avranno la possibilità di registrarsi ogni anno, tra gennaio e febbraio, qualora ritengano di rientrare tra i soggetti interessati.

Rischi per le imprese, ma anche opportunità

A seguito dell'entrata in vigore della direttiva NIS2 e dell'identificazione degli operatori interessati, le autorità competenti potranno effettuare attività di sorveglianza e controlli a campione per verificare la loro conformità alla direttiva. In caso di non conformità, saranno applicate sanzioni alle aziende coinvolte.

Le sanzioni sono molto severe: per le grandi aziende, fino a 10 milioni di euro o al 2% del fatturato globale; per le medie imprese, fino a 7 milioni di euro o all'1,4% del fatturato globale.

Sebbene la conformità alle normative richieda un impegno e un investimento evidenti da parte delle aziende, va anche riconosciuto che le normative stesse mirano a fornire una soluzione concreta al problema degli attacchi informatici, ai quali le aziende italiane sono ancora molto esposte e che spesso tendono a nascondere per motivi di immagine. In termini economici, il danno medio stimato per ogni singolo attacco informatico supera i 2 milioni di euro, indipendentemente dal fatturato dell’azienda.<br>

Come ERA può aiutare nella gestione della conformità alla NIS2

Nonostante tutto quanto sopra, che potrebbe suggerire che le aziende siano estremamente interessate e coinvolte nelle questioni di sicurezza informatica, non è raro, specialmente tra le piccole PMI, trovare aziende che hanno fatto poco o nulla in merito a tali questioni e che attualmente non sono in grado di definire la propria posizione in termini di rischi a cui sono esposte, sia dal punto di vista tecnico che in termini di conformità alle varie normative esistenti.

Alcune aziende affrontano la questione della sicurezza informatica ricorrendo a coperture assicurative. Tuttavia, le compagnie assicurative sono spesso riluttanti a offrire questo tipo di protezione alle aziende che non hanno mai intrapreso azioni concrete in ambito informatico. Ciò è dovuto al fatto che non esiste un metodo affidabile per stimare con precisione i danni causati da un attacco informatico. Di conseguenza, i “pacchetti NIS2” si concentrano sui servizi di valutazione del rischio informatico, ma lasciano alle aziende il compito di adottare le misure necessarie per colmare eventuali lacune. ERA è in grado di offrire un servizio più completo, avvalendosi di una rete di fornitori altamente qualificati a condizioni commerciali molto competitive.<br>

In dettaglio, il supporto di ERA consiste in:<br>

• Una valutazione della struttura organizzativa e tecnica dell'azienda, con l'ausilio di questionari di autovalutazione che utilizzano indicatori predefiniti;<br>
• Corsi di sensibilizzazione e formazione, con corsi di base per tutto il personale e moduli avanzati per il top management e il middle management, in linea con le linee guida NIS2;
  
• Test specifici e altamente qualificati sull'analisi delle vulnerabilità, la gestione del phishing e la valutazione del rischio ransomware;
  
• Supporto da parte di consulenti dedicati durante la fase di rimedio a seguito della valutazione;
  
• Supporto specializzato da parte di consulenti dedicati per guidare le decisioni strategiche nel campo della sicurezza informatica.
  

La nostra soluzione prevede l'analisi della conformità alla normativa NIS2, che rappresenta certamente la priorità più urgente, ma è anche in grado di affiancare il cliente nella gestione del progetto relativo alla fase di adeguamento, ovvero quella in cui il cliente deve porre rimedio alle varie “lacune” individuate durante il processo di diagnosi; si tratta della fase in cui le difficoltà di alcune aziende risultano più evidenti, sia in termini di competenze interne che di disponibilità di tempo e risorse.<br>