Images of countries flags

Come prepararsi alla Direttiva NIS2?

Francesco Suffredini

Partner Cyber Security – Attestations Services

04 giu 2024

Esplora le modifiche principali introdotte con la seconda edizione della direttiva europea relativa alle reti e ai sistemi informativi, e scopri come la tua organizzazione può adeguarsi in previsione dell'implementazione a livello nazionale

In breve

  • La NIS2 mira a far avanzare l'UE e stabilire un livello più elevato di sicurezza informatica e resilienza all’interno delle organizzazioni dell'Unione Europea.
  • La nuova Direttiva include più settori e si concentra sulla fornitura di linee guida per garantire un'attuazione uniforme nelle leggi locali degli stati membri dell'UE
  • Le organizzazioni dovrebbero iniziare a prepararsi definendo la loro roadmap di conformità e ottimizzando la consapevolezza della sicurezza informatica.

Aluglio 2016 è stata istituita la prima Direttiva sulla sicurezza dei sistemi di rete ed informativi (NIS). Questa Direttiva mirava ad aumentare la resilienza informatica in tutta l'Unione Europea attraverso misure normative. Si concentrava sul rafforzamento delle capacità di sicurezza informatica a livello nazionale, migliorando la collaborazione tra gli Stati membri e incorporando la sicurezza informatica nel DNA delle organizzazioni. L'ambito delle organizzazioni che dovevano conformarsi alla Direttiva NIS comprendeva due gruppi: gli operatori di servizi essenziali (OSE) ed i fornitori di servizi digitali rilevanti.

Attualmente, la Direttiva NIS è in vigore da diversi anni ed ha innescato un cambiamento di mentalità nell'approccio istituzionale e normativo alla sicurezza informatica. Tuttavia, ha affrontato alcune sfide in cui la legislazione non è riuscita a fornire una risposta adeguata, risultando in un approccio frammentato a livello degli Stati membri. Negli ultimi anni, la rapida espansione del panorama digitale, causata da una vasta gamma di circostanze come la rapida sequenza di innovazioni, la pandemia globale, la componente della guerra cibernetica nell'invasione russa, l’IA ecc., ha garantito una crescita equivalente del panorama delle minacce, portando a un numero crescente di attacchi informatici che prendono di mira organizzazioni e Stati membri.

In vista della NIS2

A gennaio 2023, l'Unione Europea ha adottato una nuova versione della Direttiva sulla sicurezza delle reti e delle informazioni. Questa nuova direttiva denominata "NIS2" mira a portare l'UE al passo con i tempi e stabilire un livello più elevato di sicurezza informatica e resilienza all'interno delle organizzazioni dell'Unione Europea. Gli Stati membri dell'UE dovranno recepire la NIS2 nella loro legislazione nazionale entro il 17 ottobre 2024. Le organizzazioni dovrebbero già iniziare a preparare il loro percorso per arrivare ad una conformità.

In questo articolo esploriamo i seguenti argomenti chiave:

A lady is workomg on artificial intligence screen
1

Chapter 1

Le novità della NIS2

La nuova Direttiva include nell'ambito più settori e si concentra sulla fornitura di linee guida per garantire una trasposizione uniforme tra gli Stati membri dell'UE

Estensione dell'ambito 

La NIS2 definisce due categorie di entità nel suo ambito: importanti ed essenziali. Le entità di entrambe le categorie dovranno soddisfare gli stessi requisiti. Tuttavia, la distinzione sarà nelle misure di supervisione e nelle sanzioni. Le entità essenziali dovranno soddisfare i requisiti di supervisione a partire dall'introduzione della NIS2, mentre le entità importanti saranno soggette a supervisione ex post, il che significa che in caso le autorità ricevano prove di non conformità, verranno prese azioni. La NIS2 ha semplificato l'esercizio di delimitazione che le autorità competenti devono compiere. È stata definita una lista di settori e una regola base secondo la quale:

  • grandi imprese (con oltre 250 dipendenti o con un fatturato superiore ai 50 milioni di euro)
  • piccole-medie imprese (con oltre 50 dipendenti o con un fatturato superiore ai 10 milioni di euro), appartenenti a quei settori in scope, saranno direttamente incluse nell'ambito.

Tuttavia, le piccole o micro-organizzazioni non sono necessariamente escluse; gli Stati membri possono estendere questi requisiti se un'impresa soddisfa criteri specifici che indicano un ruolo chiave per la società, l'economia o per particolari settori o tipi di servizi.

Image of graphic entity scope

Registrazione delle entità essenziali e importanti

Entro il 17 aprile 2025, gli Stati membri devono identificare le entità essenziali e importanti nell'ambito della Direttiva NIS2. Gli Stati membri possono consentire alle entità di registrarsi autonomamente. Pertanto, le entità dovranno determinare se i loro servizi rientrano nell'ambito della NIS2, identificare l'elenco degli Stati membri in cui forniscono servizi "in ambito" e registrarsi entro la scadenza in ogni Stato membro.

La registrazione richiederà alle entità di fornire almeno le seguenti informazioni:

  •  Il loro nome, indirizzo e numero di registrazione
  • Il settore o sottosettore nell'ambito della NIS2 a cui appartengono
  • I loro dettagli di contatto aggiornati
  • Gli Stati membri in cui operano
  • L'elenco dei loro indirizzi IP assegnati

Il processo di registrazione finale e l'elenco delle informazioni richieste saranno definiti come parte del recepimento della Direttiva nella legislazione.

Migliore cooperazione (piattaforma CSIRT)

Un altro elemento importante della nuova Direttiva è l'intenzione di migliorare la cooperazione degli Stati membri dell'UE riguardo agli incidenti e alle minacce informatiche. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) avrà il mandato di stabilire un database europeo di divulgazione delle vulnerabilità per facilitare la condivisione delle conoscenze tra gli Stati membri. 

Segnalazione degli incidenti

Come già stabilito per la NIS1, ogni Stato membro avrà un punto di contatto centrale per la conformità alla Direttiva e un CSIRT (Computer Security Incident Response Teams) coordinatore per la segnalazione degli incidenti o un'autorità competente. In Italia, ad esempio, questo sarà il ruolo di ACN (Agenzia per la Cybersicurezza Nazionale).

La NIS2 ha progettato un nuovo cronoprogramma per la segnalazione degli incidenti. Ogni incidente con impatto significativo deve essere notificato dalle entità essenziali e importanti senza indebito ritardo. Entro 24 ore, un avviso preliminare deve essere comunicato, così come alcune prime ipotesi riguardo al tipo di incidente all'autorità competente o al CSIRT. Dopo 72 ore, deve essere comunicato un rapporto di notifica completo, contenente la valutazione dell'incidente, la gravità e l'impatto e gli indicatori di compromissione. Dopo 1 mese, deve essere comunicato un rapporto finale.

A tal riguardo, la Direttiva incoraggia gli Stati membri a semplificare il processo di segnalazione degli incidenti implementando un punto di accesso unico per ridurre l'onere amministrativo, anche per gli incidenti transfrontalieri. Il CSIRT, o se applicabile l'autorità competente, deve riferire ad ENISA gli incidenti ogni tre mesi, utilizzando informazioni anonime. Con tutte queste informazioni, ENISA a sua volta riferirà ogni sei mesi sugli incidenti nell'UE. Questa segnalazione aiuterà le organizzazioni e gli Stati membri a imparare da altri incidenti ed è un cambiamento cruciale nella nuova Direttiva NIS2.

Focus sulle catene di approvvigionamento chiave

Gli incidenti recenti in tutto il mondo hanno dimostrato l'importanza della continuità all'interno delle catene di approvvigionamento critiche, motivo per cui la NIS2 l'ha introdotta come uno dei punti focali chiave. Le singole imprese saranno responsabili di affrontare i rischi di cybersecurity nelle proprie catene di approvvigionamento, così come nei rapporti con i fornitori.

Questo requisito potrebbe influenzare indirettamente molti fornitori che non rientrano nell'ambito della nuova Direttiva NIS2, ma che potrebbero fornire servizi o prodotti a un'entità nell'ambito della NIS2. Pertanto, il loro cliente potrebbe imporre una maturità minima in materia di cybersecurity al fornitore. Il fornitore non sarà supervisionato dalle autorità nazionali riguardo alla NIS2, ma dal cliente. Quindi, anche se l’organizzazione non è nell'ambito, potrebbe comunque essere influenzata a seconda dei servizi e del settore.

Responsabilità della gestione

Un'altra importante aggiunta alla NIS1 è la responsabilità che la nuova Direttiva assegna alla gestione delle organizzazioni nell'ambito. Sarà obbligatorio per la gestione assumersi la responsabilità riguardo alla propria maturità in materia di cybersecurity. Questo includerà la conduzione di valutazione del rischio e l'approvazione dei piani di risk management da implementare, tra altri compiti. Per svolgere queste azioni, la gestione dovrà seguire una formazione in cybersecurity. La Direttiva suggerisce anche di formare non solo la gestione, ma anche i dipendenti, per una conoscenza più approfondita della cybersecurity.

Complessità giurisdizionale

Secondo la Direttiva NIS2, le entità essenziali e importanti sono considerate sotto la giurisdizione dello Stato membro in cui forniscono i loro servizi.Se l'entità fornisce servizi in più di uno Stato membro, essa dovrebbe ricadere sotto la giurisdizione di ciascuno di questi Stati membri. Per le entità in cui il servizio è fornito o dipende da operazioni al di fuori dell'UE, esse devono garantire la continuità dei loro servizi nell'UE in caso di interruzione delle loro operazioni extra-UE.

Sanzioni

La NIS1 prevedeva sanzioni per la non conformità da parte degli OES e dei DSP, mentre la NIS2 introduce sanzioni più severe per la non conformità, inclusi multe fino al 10% del fatturato annuale di un'entità. Per le entità essenziali: sanzioni amministrative fino a €10.000.000 o almeno il 2% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità essenziale, a seconda di quale importo sia superiore. Per le entità importanti: sanzioni amministrative fino a €7.000.000 o almeno l'1,4% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità importante, a seconda di quale importo sia superiore. r.

Communication network all over the city
2

Chapter 2

Come preparare la tua organizzazione per la NIS2?

Sulla base delle lezioni apprese dalla NIS, scopri gli aspetti chiave che la tua organizzazione dovrebbe considerare per essere sulla strada giusta per la conformità alla NIS2

Anticipa e inizia a prepararti

Una preparazione tempestiva è un elemento chiave nel percorso di un'organizzazione verso la conformità. Ottenere il sostegno della dirigenza, l'adesione degli interessati e il budget e le risorse necessarie richiederà tempo. Prevedi i ritardi e impegna te stesso in una pianificazione rigorosa con scadenze ferree. Inoltre, l'implementazione di alcuni dei nuovi requisiti può essere considerata come successi rapidi e predisposta in anticipo, come il processo di escalation degli incidenti e di segnalazione alle autorità competenti.

Identifica i processi critici della tua organizzazione

Il punto di partenza nel percorso di conformità è identificare i servizi, i processi e gli asset critici dell'organizzazione che forniscono il servizio essenziale come definito nel NIS2. Un metodo per raggiungere ciò è una valutazione dell'impatto aziendale a livello di organizzazione per evidenziare i processi critici dell'organizzazione e la loro dipendenza dai sistemi di rete e informatici. Un elemento critico per l'esercizio di definizione del campo di applicazione è la definizione dei criteri di impatto aziendale che renderanno un processo, un sito o un asset oggetto di interesse.

Implementa un sistema di gestione dei rischi e della sicurezza delle informazioni

Le aziende oggetto della Direttiva NIS2 dovranno gestire i rischi per la sicurezza delle informazioni. Per soddisfare tale requisito, deve essere implementato un sistema di gestione dei rischi e della sicurezza delle informazioni. Tale sistema di gestione della sicurezza delle informazioni mira a identificare, trattare e monitorare i rischi per la sicurezza delle informazioni dell'azienda e ad assicurare che le responsabilità siano definite e che i processi chiave siano operativi, come:

  • Politiche di gestione dei rischi e della sicurezza delle informazioni
  • Gestione degli incidenti
  • Continuità aziendale e gestione delle crisi (backup, disaster management)
  • Sicurezza della catena di approvvigionamento
  • Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi di rete e informatici, inclusa la gestione e la divulgazione delle vulnerabilità
  • Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi informatici
  • Crittografia e multifactor authentication
  • Persone, consapevolezza e formazione

Avvia il processo di gestione della sicurezza della catena di approvvigionamento IT

Dai un'occhiata ai tuoi fornitori IT, specialmente quelli che sono fondamentali per la continuità delle tue operazioni. Comprendendo le debolezze della tua catena di approvvigionamento IT e le lacune nella sicurezza dei tuoi fornitori, puoi iniziare il lungo processo di rimediare alle tue vulnerabilità contrattuali, operative o tecniche.

Instaura una cultura orientata alla cybersecurity

Uno degli elementi più citati, ma difficile da implementare in molte organizzazioni, è avere una cultura orientata alla cybersecurity e un livello di consapevolezza della sicurezza delle informazioni maturo tra i dipendenti. I dipendenti dovrebbero essere consapevoli dei loro ruoli e delle loro responsabilità riguardo all'ecosistema della sicurezza delle informazioni. I dipendenti IT dovrebbero avere le conoscenze necessarie per applicare i controlli richiesti. E, ultimo ma non meno importante, la dirigenza dovrebbe abbracciare la cybersecurity come elemento chiave della sopravvivenza dell'organizzazione in questa era digitale.

Cerca la guida e l'assistenza appropriate nel tuo percorso

Il nostro gruppo di esperti ha conquistato la NIS1 ed è qui per guidarti e assisterti nel tuo percorso verso la NIS2. EY può aiutarti a valutare la tua preparazione, definire il tuo percorso verso la conformità, identificare il tuo campo di applicazione, impostare e implementare i tuoi quadri di gestione dei rischi e della sicurezza, proteggere la tua catena di approvvigionamento IT e ottimizzare il tuo programma di consapevolezza della cybersecurity.

In conclusione

La direttiva NIS2 mira a potenziare la cybersecurity e la resilienza nelle organizzazioni dell'Unione Europea. Questa direttiva amplia il suo campo di applicazione per includere più settori e si concentra sulla necessità di un'attuazione coerente in tutti gli Stati membri dell'UE. Pertanto, le organizzazioni dovrebbero iniziare a prepararsi per la conformità creando una roadmap e aumentando la consapevolezza della cybersecurity.

Summary

Esplora le modifiche principali introdotte con la seconda edizione della direttiva europea relativa alle reti e ai sistemi informativi, e scopri come la tua organizzazione può adeguarsi in previsione dell'implementazione a livello nazionale

About this article

Francesco Suffredini
Partner Cyber Security – Attestations Services
Francesco ha una importante esperienza in diversi ambiti quali Attestation, Cyber Security Strategy and Governance, Revenue Assurance, accompagnati da una profonda conoscenza del mercato regolato.
Related topics
Cybersecurity

EY si riferisce all'organizzazione globale, e può riferirsi a una o più delle società membri di Ernst & Young Global Limited, ciascuna delle quali è un'entità legale separata. Ernst & Young Global Limited, una società britannica a responsabilità limitata, non fornisce servizi ai clienti.