Approvata la Direttiva NIS2: quale impatto per le grandi organizzazioni e per le PMI?

Premessa: lo scopo della Direttiva NIS

La Direttiva sulla sicurezza delle reti e dell'informazione - Network and Information Security (NIS) Directive 2016/1148 - è stato il primo atto legislativo a livello europeo sulla sicurezza informatica. Il suo obiettivo specifico era quello di fornire una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi, mediante un approccio comune europeo. A tal fine, la norma disponeva “obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali”, ovvero quei soggetti da cui possono dipendere le sorti socioeconomiche di intere nazioni.

In Italia, la Direttiva NIS è stata recepita dalla Legge 109/2021, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”. Fra le altre cose, la Legge 109 ha istituito il Comitato interministeriale per la cybersicurezza (CIC) e l’Agenzia per la cybersicurezza nazionale (ACN), con l’obiettivo di razionalizzare e semplificare il sistema di competenze, esistenti a livello nazionale, e di tutelare la sicurezza nazionale dello spazio cibernetico. All’Agenzia è stato affidato il compito di predisporre la cd. “strategia nazionale di cybersicurezza 2022-2026”. 

Da un lato, quindi, è evidente che la Direttiva NIS ha avviato un processo di rafforzamento della capacità di resilienza degli Stati membri di fronte agli attacchi informatici, mediante programmi di cibersicurezza, organismi di controllo e azioni ad hoc per prevenire e contrastare il cybercrime. Dall'altro lato, tuttavia, la sua attuazione si è rivelata difficile, causando una frammentazione a diversi livelli nel mercato interno. Al tempo stesso, dal 2016 le minacce poste dalla digitalizzazione sono cambiate e nuovi attacchi si sono diffusi.

La Commissione europea, pertanto, ha presentato una proposta di aggiornamento della Direttiva, per rafforzare i requisiti di sicurezza, semplificare gli obblighi di segnalazione e introdurre misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l'UE. Tutto ciò per consentire alle organizzazioni di rispondere alle sfide attuali e future.

La Direttiva NIS2 

Durante i negoziati, gli eurodeputati hanno insistito sulla necessità di introdurre regole chiare e precise per le aziende e hanno spinto per includere il maggior numero possibile di enti governativi e pubblici nel campo di applicazione della norma. Si è giunti così alla Direttiva NIS2, approvata pochi giorni fa dal Parlamento europeo, a larga maggioranza (577 voti favorevoli, 6 contrari e 31 astensioni). 

L'eurodeputato Bart Groothuis (Renew, NL), ha dichiarato: “Il ransomware e le altre minacce informatiche hanno predato l'Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili”. Ancora, “Questa direttiva europea aiuterà circa 160.000 enti a rafforzare la propria sicurezza e a rendere l'Europa un luogo sicuro in cui vivere e lavorare” e “trasformerà l’Europa in una gestione proattiva degli incidenti informatici e orientata al servizio”.

Dopo l'approvazione del Parlamento, anche il Consiglio dovrà adottare formalmente la legge, prima che venga pubblicata sulla Gazzetta Ufficiale dell'UE.

Cosa cambia per imprese ed enti

La nuova Direttiva, come abbiamo visto, risponde alle nuove sfide della digitalizzazione, adeguando le disposizioni normative all’incremento di flussi di dati. Da tale incremento, causato principalmente dalla situazione emergenziale provocata dalla pandemia di SARS-CoV-2, infatti, è derivata una massiva diffusione di attacchi cyber, alcuni mai visti prima (per ulteriori informazioni v. qui e qui). 

Inoltre, facendo tesoro di quanto emerso in seguito alla pubblicazione e all’applicazione della prima Direttiva NIS, i nuovi provvedimenti ampliano i settori di attività, coinvolgendo un numero e una varietà sempre maggiore di organizzazioni.

Riassumendo, i principali cambiamenti riguardano: 

• Il potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri;
• Sempre al fine di favorire la cooperazione e condivisione delle informazioni tra le diverse autorità e gli Stati membri, la NIS2 crea una banca dati europea sulle vulnerabilità;
• La rideterminazione e l’ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati;
• La razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici;
• L’estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo un maggior numero di stakeholder.

I settori coinvolti 

Da quanto visto, si evince che l’obiettivo finale della Direttiva NIS2 è quello di estendere gli obblighi in materia di sicurezza informatica per creare un clima di responsabilità condivisa. Ma quali attori sono direttamente coinvolti? Si tratta di medie e grandi imprese che operano in mercati critici o che erogano servizi in settori essenziali (“essential sectors”) ma anche in altri settori importanti (“important sectors”). 

Fra i settori essenziali, la Direttiva cita:

• energia, 
• trasporti, 
• banche, 
• sanità, 
• infrastrutture digitali, 
• pubblica amministrazione,
• spazio.

Fra i settori importanti, la Direttiva cita: 

• servizi postali, 
• gestione dei rifiuti, 
• prodotti chimici, 
• alimenti, 
• produzione di dispositivi medici, 
• elettronica, 
• macchinari, 
• veicoli a motore 
• fornitori di servizi digitali. 

Tutte le medie e grandi imprese dei settori selezionati rientreranno nel campo di applicazione della normativa.

Quali conseguenze per le PMI

L’ampliamento dei settori coinvolti costituisce una delle novità più importanti. Le PMI, che di fatto erano rimaste ben al di fuori della portata della NIS originale potrebbero ora ritrovarsi coinvolte, nella situazione di dover rispondere in solido nel caso in cui si verifichino delle violazioni dei dati e dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura. In altri termini, nella malaugurata ipotesi in cui dovesse verificarsi un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri stakeholder che intervengono lungo la supply chain.

Peraltro, è bene evidenziare come il rafforzamento del livello di security a livello centrale, abbia provocato un incremento degli attacchi rivolti proprio alla supply chain, in particolare verso gli anelli individuati come più deboli (fra cui le PMI). In questo modo, spiega Gastone Nencini, country manager di Trend Micro Italia “l’attacco riesce a penetrare le infrastrutture e arriva poi a colpire l’obiettivo finale, che può essere un’azienda che segue la direttiva NIS2”. 

Oggi più che mai la minaccia è concreta: secondo ENISA (Agenzia dell’Unione europea per la cibersicurezza) la compromissione della catena di fornitura di servizi, mediante attacchi rivolti alla supply chain, rientra fra i top dieci threats alla sicurezza informatica delle organizzazioni di tutta Europa che emergeranno entro il 2030.

Cosa fare

Molti degli obblighi di sicurezza imposti dalla nuova Direttiva NIS2 coincidono con le best practices attualmente applicabili in materia di cibersicurezza, prassi che la maggior parte delle organizzazioni dovrebbe attivare per garantire la sicurezza del proprio business e la protezione dei dati personali dei propri clienti. Alla luce delle principali tendenze nel settore del cyber crime, fra cui l’incremento esponenziale di attacchi alla supply chain, emergono tre principali esigenze per le organizzazioni (grandi o piccole che siano):

1. Identificare le minacce e i principali fattori di rischio, in funzione dei vari trattamenti svolti. Ciò si traduce in operazioni quali vulnerability assessment, penetration test, etc., da effettuarsi a cadenza periodica; 
2. Associare ad una condotta reattiva anche una componente proattiva, volta a prevenire le minacce identificate, con la consapevolezza che sarà sempre più difficile restare immuni da offensive di ultima generazione. All’atto pratico, ciò significa implementare un piano di mitigazione dei rischi, che consenta sia di prevenire che di rispondere efficacemente ad eventuali attacchi; 
3. Orientare sempre più strategie ed investimenti nella ricerca di partner e fornitori affidabili. Questo significa, concretamente, valutare le misure di sicurezza, le garanzie e le certificazioni dei fornitori; nonché raccogliere – mediante checklist, audit, questionari e altri strumenti affini – informazioni sugli eventuali sub fornitori, in modo da ricostruire e presidiare tutta la supply chain. 

Il team di consulenti Labor Project è a disposizione per fornire supporto, alla tua organizzazione, in questo fondamentale processo di assessment e prevenzione. Contattaci per un analisi della tua azienda e un preventivo.