Intervista a Federico Alessandri, Cyber Security Specialist, e Maria Formato, Lead Consultant, Axitea, sulla Nis 2, la nuova direttiva UE sulla sicurezza informatica.

Come la direttiva Nis 2 influenzerà le pratiche di sicurezza informatica nelle aziende?

La direttiva Nis 2 avrà senza dubbio un impatto significativo sulle aziende, che devono adottare misure di sicurezza cibernetica più rigorose, allineandosi alle specificità del proprio contesto operativo e ai rischi connessi.

Innanzitutto, la direttiva introduce due nuove categorie di operatori, ossia gli Operatori dei Servizi Essenziali (Ose) e i Fornitori di Servizi Digitali (DSP), che sono chiamati a rispettare la normativa. I fornitori di servizi digitali devono notificare eventuali incidenti alle autorità competenti entro 24 ore per garantire una risposta rapida e coordinata.

Le organizzazioni che hanno già un sistema di gestione della sicurezza delle informazioni potranno rivolgere maggiore attenzione alle pratiche di risposta agli incidenti e a una scelta più oculata e consapevole dei fornitori di prodotti e servizi essenziali, con i quali rivedere anche i rapporti di fornitura.

Per le organizzazioni che non hanno un sistema di gestione della sicurezza delle informazioni, l’adozione delle indicazioni della direttiva Nis 2 comporta la necessità di definire politiche e procedure opportune a partire da un’analisi dei rischi sia interni che esterni. Questa è sicuramente un’opportunità per meglio comprendere l’esposizione dell’organizzazione e proteggerla al meglio.

Qualsiasi sia lo scenario, l’adozione delle misure previste dalla direttiva comporta la definizione di processi precisi e strutturati di gestione della sicurezza informatica.

Quali sono le sfide principali che le aziende potrebbero incontrare nell’implementare la direttiva Nis 2?

Le aziende potrebbero affrontare diverse sfide nell’implementare la direttiva Nis 2. Innanzitutto, l’adeguamento alle nuove misure di sicurezza può essere complesso e richiedere un significativo sforzo organizzativo e tecnico. Inoltre, l’implementazione di queste misure comporta costi aggiuntivi, che possono gravare sul bilancio aziendale. Garantire una conformità continua e un monitoraggio efficace delle misure di sicurezza richiede risorse dedicate, sia umane che tecnologiche.

Le aziende devono anche collaborare attivamente con le autorità competenti per notificare gli incidenti e rispondere prontamente alle richieste, il che può richiedere tempo e coordinazione. Un’altra sfida importante è sensibilizzare e formare i dipendenti sulle nuove norme, assicurando che tutti siano preparati a rispettarle. Le aziende devono identificare e proteggere adeguatamente le risorse critiche dalle minacce interne ed esterne, un compito che richiede una profonda consapevolezza e una strategia ben definita. Infine, identificare i fornitori essenziali e definire i livelli minimi di servizio che questi devono garantire rappresenta una sfida significativa, necessaria per assicurare la continuità operativa e la sicurezza complessiva.

Come la direttiva Nis 2 potrebbe influenzare la risposta alle violazioni della sicurezza informatica?

La direttiva Nis 2 potrebbe influenzare significativamente la risposta alle violazioni della sicurezza informatica, migliorandone l’efficacia e la tempestività. Le aziende saranno obbligate a notificare gli incidenti alle autorità entro 24 ore, il che richiede una risposta rapida e coordinata. Questo obbligo di notifica immediata promuove un’azione tempestiva e permette una collaborazione più stretta con le autorità competenti, facilitando le indagini e le risposte alle violazioni.

Inoltre, l’adozione di misure di sicurezza avanzate, come richiesto dalla direttiva, contribuirà a prevenire e mitigare le violazioni. La sensibilizzazione e la formazione dei dipendenti sulle nuove norme saranno essenziali per garantire una risposta efficace agli incidenti. La direttiva NIS 2 incoraggerà le organizzazioni ad aumentare la consapevolezza riguardo alla sicurezza informatica e a adottare procedure e buone pratiche che rafforzino la loro postura di sicurezza.

Questi sforzi collettivi porteranno non solo a una migliore sicurezza per le singole organizzazioni, ma anche a un rafforzamento del sistema nazionale e, in generale, dell’Unione Europea. Uno degli obiettivi dichiarati della direttiva è proprio l’aumento della consapevolezza e della resilienza, che dovrebbe tradursi in una risposta più efficace e veloce alle violazioni, riducendone il numero e l’impatto complessivo.

Quali sono le aspettative per l’armonizzazione delle normative sulla cybersecurity tra gli Stati membri dell’UE sotto la direttiva Nis 2?

La direttiva Nis 2 si inserisce in un contesto normativo europeo in continua evoluzione. Lo sforzo del legislatore è quello di definire con attenzione i possibili punti di sovrapposizione fra le norme. L’impianto generico che si evidenzia in queste norme è però comune: si parte dall’analisi dei rischi specifici per costruire un piano di mitigazione.

Si prendano, ad esempio, norme come il Gdpr e la direttiva Dora (in via di promulgazione). In entrambi i casi l’approccio è lo stesso di Nis 2. In particolare, Dora interviene su un insieme di organizzazioni che sono anche nel perimetro di Nis 2. In questo caso, la normativa Dora definisce esplicitamente e in modo più specifico i dettami relativi alle misure che devono seguire gli istituti finanziari. In tal modo è chiaramente definito il perimetro di applicazione di entrambe le norme.

Che impatto avrà la Nis 2 sulle supply chain delle imprese, in particolare per quanto riguarda le pmi che forniscono prodotti o servizi alle medie e grandi imprese che devono adeguarsi alla direttiva?

La Direttiva Nis 2 stabilisce delle norme minime che tutti gli Stati membri dell’Unione Europea devono rispettare per avere una maggiore armonizzazione a livello di legislazioni e procedure di cybersicurezza. Il focus sulla supply chain è uno dei punti caratterizzanti della direttiva. Le organizzazioni che ne sono soggette hanno l’obbligo di definire livelli di sicurezza adeguati per tutta la supply chain.

I singoli Stati sono liberi di approvare norme nazionali ancora più severe, decidendo di innalzare ulteriormente il loro livello di protezione. Come già succede in alcuni casi, le organizzazioni potranno definire anche un determinato livello di postura di sicurezza e resilienza fra i criteri di scelta dei fornitori. Per quanto riguarda le PMI che forniscono prodotti o servizi alle medie e grandi imprese, l’impatto della NIS 2 dipenderà dalla loro posizione nella catena di approvvigionamento e dal settore in cui operano. Queste aziende dovranno adeguarsi alle misure di sicurezza previste dalla direttiva, collaborare con le autorità competenti e garantire la notifica tempestiva degli incidenti di sicurezza.

Tutto quello che devi sapere sulla NIS2

All’atto pratico, cosa devono fare le imprese per farsi trovare preparate all’entrata in vigore della Nis 2, quando questa sarà ratificata dai singoli Stati?

Per prepararsi all’entrata in vigore della direttiva Nis 2, le imprese devono adottare una serie di misure concrete e strategiche. Innanzitutto, è essenziale stabilire un solido quadro di governance della cybersicurezza per gestire i rischi e controllare le attività. Questo include la formazione periodica obbligatoria sulla sicurezza informatica per i consigli di amministrazione e i dipendenti, garantendo che tutti siano aggiornati sulle migliori pratiche e le ultime minacce.

La gestione dei rischi è un altro aspetto cruciale. Le imprese devono effettuare una valutazione completa dei rischi, tenendo conto degli impatti sul business di tutte le possibili minacce. Questo processo dovrebbe identificare i principali punti di debolezza, consentendo di implementare sistemi e procedure per mitigare gli impatti delle minacce individuate. Inoltre, è importante analizzare le criticità nella supply chain e valutare i fornitori anche dal punto di vista della sicurezza delle informazioni.

Un altro passo fondamentale è la definizione di un piano di risposta agli incidenti, con procedure chiare per la segnalazione e la gestione degli incidenti di sicurezza. Questo piano deve essere supportato dallo sviluppo e dal mantenimento di un registro delle vulnerabilità informatiche, come richiesto dalla direttiva Nis 2, per monitorare e gestire le vulnerabilità scoperte.

Le organizzazioni devono inoltre prestare particolare attenzione alle misure previste dall’articolo 21 della direttiva, con un focus specifico sulla formazione del personale. Questo garantirà che tutti i membri dell’organizzazione siano preparati e consapevoli delle loro responsabilità in materia di sicurezza informatica.

In sintesi, le imprese devono iniziare o aggiornare un percorso che comprenda la valutazione dei rischi, l’identificazione e la mitigazione delle vulnerabilità, l’analisi della supply chain, la definizione di un piano di risposta agli incidenti e la formazione continua del personale. Questi sforzi congiunti aiuteranno le organizzazioni a rimanere preparate e resilienti di fronte alle minacce informatiche, in linea con i requisiti della direttiva Nis 2.