Direttiva NIS2: cos'è e perché migliorerà la risposta alle minacce informatiche

A novembre 2022 l’Unione Europea ha deciso di adottare una direttiva che mira a migliorare la sicurezza delle reti e delle informazioni. Si chiama NIS2, Network and Information Security Directive, ed è una direttiva che sostituisce la precedente, introdotta nel 2016.
Rispetto alla normativa precedente, NIS2 prevede un campo d’azione più ampio, che interessa un maggior numero di soggetti operanti in settori “ad alta criticità”, sia pubblici che privati come l’energia, i trasporti, le banche, l’acqua e le acque reflue, limitandoci alle sole infrastrutture critiche. Nuovi obblighi vengono introdotti anche per coloro che operano in altri settori “critici” come quello manifatturiero, alimentare, chimico, della gestione dei rifiuti, dei servizi postali e della logistica.

La nuova normativa è una risposta alla crescente dipendenza dei settori critici dalla digitalizzazione e alla loro maggiore esposizione alle minacce informatiche.

Le imprese classificate come “ad alta criticità” sono tenute ad adottare misure tecniche e operative per conformarsi alla direttiva NIS2: risposta agli incidenti, sicurezza della supply chain, utilizzo della crittografia e segnalazione delle vulnerabilità, un’adeguata analisi dei rischi, la verifica e il controllo delle strategie di cybersecurity e piani di crisis management per garantire la business continuity.

In caso di incidente informatico i soggetti interessati devono presentare una prima notifica entro 24 ore e trasmettere informazioni più dettagliate entro 72 ore.
NIS2 introduce anche sanzioni in caso di mancata conformità, tra cui la sospensione della certificazione e la responsabilità personale per le posizioni manageriali.

Con NIS2 nasce anche European Cyber Crises Liaison Organization Network, EU-CyCLONe, per facilitare la cooperazione tra le agenzie e le Autorità nazionali responsabili della sicurezza informatica. Ogni Paese membro dell’Unione Europea è chiamato a individuare un unico punto di contatto per segnalare gli incidenti informatici.

Fabio Buccigrossi, Country Manager di ESET Italia spiega perché l’adozione della nuova normativa NIS2 debba essere vista come un’opportunità da cui partire e non come un problema da risolvere.
L’SMB Digital Security Sentiment Report di ESET pubblicato il mese scorso, ha rilevato che mentre l’83% delle PMI ritiene che la cyber war sia una minaccia molto reale e il 71% ha una fiducia da moderata a elevata nella propria capacità di indagare sulle cause alla radice dei cyberattacchi, il 43% considera la mancanza di consapevolezza dei dipendenti come la principale causa di preoccupazione. L’effettiva adozione di soluzioni EDR (endpoint detection and response), che assistono specificamente in questo ambito, è pari solo al 32%.

NIS2 entrerà in vigore dopo che gli Stati membri avranno recepito la direttiva nelle rispettive legislazioni nazionali, entro settembre 2024.
Come spiega ESET, che accoglie con favore l’approvazione della direttiva NIS2, le organizzazioni dovrebbero prepararsi in anticipo, non solo per essere tempestive nel processo di implementazione, ma anche per testare diverse buone pratiche sulla gestione degli incidenti, sulle policy di controllo e segnalazione.
NIS2 definisce infatti, in Europa, un livello minimo comune in termini di dotazioni sul piano della cybersecurity. Come minimo, quindi, le nuove disposizioni volute dal legislatore europeo svolgeranno quanto meno un importante ruolo di sensibilizzazione, ad esempio per quelle aziende che non sono obbligate a conformarsi, ma possono sviluppare una maggiore consapevolezza.

NIS2: anche le PMI sono obbligate a conformarsi?

ESET ricorda che NIS2 stabilisce “l’applicazione della regola del size-cap, secondo cui tutte le medie e grandi imprese, come definite dalla raccomandazione 2003/361/CE della Commissione, che operano nei settori o forniscono il tipo di servizi coperti dalla direttiva, rientrano nel suo campo di applicazione“.

Pur escludendo le piccole e micro imprese dall’obbligo di conformarsi alle nuove norme, sono previste alcune eccezioni, ad esempio per le PMI che operano nei settori dell’electronic communication network (ECN) e dei servizi di comunicazione elettronica accessibili al pubblico, dei provider di servizi fiduciari e dei registri di dominio di primo livello (TLD).

Le piccole e medie imprese, aggiunge ESET, sono sempre più spesso bersaglio di attacchi alla supply chain a causa delle limitate risorse che vengono stanziate per gestire il tema della sicurezza. “Questi attacchi possono avere un effetto a cascata sulle organizzazioni con cui operano. Gli Stati membri dovrebbero, attraverso le loro strategie nazionali di cybersecurity, aiutare le PMI ad affrontare le sfide della loro supply chain. Dovrebbero inoltre disporre di un punto di contatto dedicato a livello nazionale o regionale, che fornisca orientamento e assistenza o le indirizzi agli organismi competenti per l’orientamento e l’assistenza in merito alle questioni relative alla cybersicurezza“.