Direttiva NIS 2 e Cybersecurity: adempimenti per le aziende
13 Novembre 2023La Direttiva NIS (Network and Information Security) è stata emanata dal Parlamento Europeo nel 2016. Considerato uno scenario di crescenti attacchi informatici, il suo scopo era quello di accordare a livello europeo le modalità di gestione delle attività legate alla cybersecurity.
A chi si rivolgeva? Agli FSD, ossia ai Fornitori di Servizi di Società dell’Informazione (provider, online e operatori del settore). La Direttiva NIS è quindi nata per unificare le misure legislative necessarie a implementare e applicare i sistemi di sicurezza delle reti e dei sistemi informativi dei paesi UE.
A fine dicembre 2022, però, l’UE ha pubblicato la Direttiva NIS 2 sulla cybersecurity, che sostituisce la precedente. La NIS 2 è entrata in vigore dallo scorso 17 gennaio. Di cosa tratta? Quali cambiamenti sono stati fatti? Quali adempimenti comporta? Ne abbiamo parlato con Niccolò Calzi, Cybersecurity Specialist & Product Manager di Credemtel, che si occupa del coordinamento delle attività di Security Assessment dell’infrastruttura, delle procedure interne e dei software
NIS 2 e Cybersecurity
Il quadro europeo è certamente cambiato in 6 anni, rendendo quindi necessario un aggiornamento della Direttiva NIS. Il tema principale riguarda la cybersecurity, ma coinvolge anche alcune modifiche e correzioni che si sono rese inevitabili rispetto al campo di applicazione della direttiva.
Qual è lo scopo della Direttiva NIS 2? Rafforzare il livello globale di cybersicurezza e garantire che vengano adottate misure adeguate a:
Cosa non ha funzionato nella NIS 1
Il Digitale è una leva di sviluppo economico e sociale ed è in questo contesto che la Direttiva Europea n. 2555 del 2022 è nata per rappresentare al meglio il quadro strategico dell’UE in tema di sicurezza informatica.
La precedente Direttiva NIS aveva l’obiettivo di:
Come ottenere questi risultati? Attraverso obblighi di cyber sicurezza imposti ai soggetti individuati all’epoca, ossia chi forniva servizi o svolgeva attività economicamente rilevanti.
Eppure, l’attuazione si è dimostrata complicata a causa di disparità e divergenze nelle modalità di attuazione degli obblighi da parte degli Stati membri, che avevano facoltà decisionali sull’attuazione e sulla delimitazione dell’ambito applicativo.
Cosa prevede la Direttiva NIS 2?
Alla luce di questa maggiore vulnerabilità riscontrata rispetto alle possibili minacce informatiche, si è resa necessaria la stipula di una Direttiva NIS 2 che fosse in grado di eliminare le divergenze e di dare coordinamento e uniformità agli Stati membri.
Inoltre, il legislatore europeo ha ritenuto di estendere gli obblighi a un maggior numero di settori e servizi superando il differenziamento tra Operatori di Servizi Essenziali e Fornitori di Servizi Essenziali.
Entro il 18 ottobre 2024, quindi, la Direttiva NIS 2 dovrà essere recepita, allineando ai nuovi obblighi di sicurezza sia i processi che l’organizzazione e aumentando la consapevolezza della normativa sulla cyber sicurezza.
“È necessario adeguarsi per proteggersi”, precisa il Cybersecurity Specialist & Product Manager di Credemtel, Niccolò Calzi.
Chi sono i soggetti interessati alla NIS 2
La Direttiva NIS 2, quindi, ha l’obiettivo di tutelare da eventuali attacchi cyber gli Operatori di Servizi Essenziali. Di chi si tratta?
A differenza della precedente normativa, nella NIS 2 i soggetti coinvolti sono:
Data la quantità e diversità dei settori, il legislatore europeo ha ritenuto di introdurre il concetto di accountability per cybersecurity: responsabilizzare i soggetti in modo che siano anche in grado di fare un resoconto del loro operato.
“La NIS 2 nasce per attuare un processo di cybersecurity strategy a livello operativo e di governance”, conferma Niccolò Calzi.
Normativa DORA, CER e panorama normativo
Vista la presenza di altre normative europee settoriali specifiche, l’UE ha dovuto allineare la nuova NIS 2 anche alla direttiva sulla resilienza operativa digitale per il settore finanziario, il Regolamento DORA (Digital Operational Resilience Act). Si tratta di un regolamento di fine 2022 che incrementa le misure di sicurezza obbligatorie del settore finanziario.
Lo stesso discorso vale anche per la Direttiva CER sulla resilienza delle entità critiche, per la coerenza e chiarezza giuridica tra le diverse direttive, per il Cyber Resilience Act, il Perimetro di Sicurezza Nazionale Cibernetica (a livello nazionale) e il GDPR, tutti atti che si intersecano con la normativa NIS 2.
L’obiettivo è quello di raggiungere una sovranità digitale attraverso una rete di norme che tuteli i principali aspetti della società dell’informazione. Si tratta di una strategia cyber con l’obiettivo di aumentare i livelli di sicurezza in tutta l’area UE.
Quali adempimenti per le aziende?
La Direttiva NIS 2 adotta misure di sicurezza cibernetica più rigorose attraverso un approccio risk based. Cosa significa? “Gestione del monitoraggio proattivo”, come suggerisce il Cybersecurity Specialist & Product Manager di Credemtel, “monitorare, controllare e agire sulla infrastruttura IT prima che il problema si presenti e avere processi ben definiti per rispondere ad eventuali incidenti critici”.
“Non basta più il classico antivirus e firewall, servono tecnologie unite a monitoraggio proattivo da parte di analisti esperti di un SOC 24×7”, dice Niccolò Calzi. Il nuovo approccio di gestione per le aziende, quindi, deve essere fondato sul rischio.
Ma partiamo dal principio. Già con il GDPR esisteva l’obbligo di notifica di data breach entro 72 ore. Con la NIS 2 i soggetti sono chiamati ad adottare «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.» (art. 21 Dir. 2022/2555)
“Per gestire la Cybersecurity bisogna sempre chiedersi: ho applicato tutte le difese? È necessario essere in grado di governare il processo in ogni momento”, come sa bene Niccolò Calzi.
NIST e NIS 2
Dopo aver analizzato il rischio, quindi, si valuta l’efficacia delle misure prese per proteggere la continuità operativa e le informazioni. I controlli sono standard e provengono da una lista che deriva da alcuni richiami al GDPR e dal NIST Cybersecurity Framework version 1.1. Con il termine NIST (National Institute of Standards and Technology) si intende l’agenzia governativa americana che si occupa della gestione delle tecnologie.
Il Framework NIST CSF offre uno strumento operativo alle organizzazioni pubbliche e private per predisporre i processi di cybersecurity.
Il ruolo del Data Protection Officer
“La NIS 2 rappresenta un lavoro di collaborazione tra Data Protection Officer, con IT Manager e CISO, coinvolge quindi diverse tipologie di figure”, conferma Niccolò Calzi. Serve dunque un approccio integrato fra data protection e sicurezza informatica: grazie ai controlli interni è possibile ottenere un equilibrio tra le esigenze di sicurezza e quelle di tutela degli interessati.
Il DPO interviene perciò nella gestione del rischio secondo l’approccio risk-based che è già insito nei suoi compiti. Considerando il contesto esterno, esistono nuove minacce emergenti? Quali sono le best practices di sicurezza da attuare? È a quel punto che bisognerà implementare e controllare le misure predisponendo un modello organizzativo che sia più approfondito.
NIS 2 e Credemtel
In tema di privacy, protezione dati e cybersecurity, Credemtel è da sempre vicina ai suoi clienti. “Grazie a servizi di cybersecurity 24×7 e auditing, accompagniamo le aziende ad avere le capacità di gestione, analisi e valutazione della sicurezza”, rassicura Niccolò Calzi, Cybersecurity Specialist & Product Manager di Credemtel.
“In Credemtel gestiamo tutto il processo di Cybersecurity quindi dormi sogni tranquilli, ci pensiamo noi!”
