Il decreto legislativo che recepisce la Direttiva NIS2 in Italia è stato pubblicato in Gazzetta Ufficiale: per le aziende è tempo di agire Di Aldo Maugeri, Data Protection Officer di Sanmarco Informatica, e Giuseppe Cossalter, esperto di Sicurezza Informatica per SMITech, la Business Unit di Sanmarco Informatica che si occupa di Cybersecurity Negli ultimi anni il panorama della sicurezza informatica ha subito un cambiamento drastico, segnato dall’aumento esponenziale di minacce cibernetiche sempre più sofisticate. La Direttiva NIS2 (Network and Information Security Directive 2) rappresenta la risposta europea a questa crescente minaccia, stabilendo requisiti minimi per la protezione delle infrastrutture critiche e dei servizi essenziali. In questo articolo vedremo perché la conformità alla NIS2 non deve essere vista solo come un obbligo legale, ma come un’opportunità per rafforzare la sicurezza delle proprie infrastrutture informatiche. In un contesto così dinamico come quello caratterizzante la complessità delle infrastrutture IT & OT aziendali del XXI secolo, chi ha tempo non aspetti tempo: la prevenzione e la preparazione sono essenziali per mitigare rischi di cybersicurezza. NIS2: cos’è, cosa sta succedendo, chi è impattato e perché è importante La Direttiva NIS2 è l’evoluzione della NIS1, introdotta dall’Unione Europea nel 2016 per aumentare la resilienza delle reti e dei sistemi informativi in settori critici. L’obiettivo principale della NIS2 è migliorare ulteriormente la sicurezza informatica in tutta l’UE, riducendo la frammentazione tra gli Stati membri e rafforzando i requisiti di sicurezza. La direttiva ha un impatto significativo su una vasta gamma di settori che forniscono servizi essenziali, come energia, trasporti, sanità, servizi bancari e infrastrutture digitali. Rispetto alla NIS1, la NIS2 espande la sua portata, includendo imprese attive in ambiti come gestione di servizi IT, settore alimentare, gestione dei rifiuti e fabbricazione. I soggetti rientranti devono inoltre essere classificati in due categorie: essenziali e importanti, in base alla loro rilevanza e dimensioni. I regimi di vigilanza differenziati mirano a bilanciare i requisiti basati sui rischi con gli oneri amministrativi derivanti dalla conformità. Interdipendenze critiche e vulnerabilità nella società interconnessa: il ruolo della NIS2 Le crescenti interdipendenze tra settori considerati essenziali o importanti dalla Direttiva NIS2, come energia, trasporti, infrastrutture digitali, acque potabili, sanità e pubblica amministrazione, creano una rete sempre più interconnessa e transfrontaliera. Molti di questi settori fanno affidamento su infrastrutture chiave distribuite in tutta l’Unione Europea. Tali interdipendenze comportano che qualsiasi perturbazione in un soggetto o settore possa generare effetti a cascata, con conseguenze negative diffuse e durature sulla fornitura di servizi essenziali. La pandemia di COVID-19 ha rivelato quanto sia interconnessa, e di conseguenza vulnerabile, la nostra società, evidenziando l’impatto che attacchi cibernetici su larga scala potrebbero avere per il mercato digitale, anche in scenari di bassa probabilità. La NIS2 si presenta quindi non solo come uno strumento per gestire queste complessità, ma come un’opportunità per aumentare la resilienza del mercato comune di fronte a tali rischi. Perché è così importante? Le minacce informatiche sono in continua evoluzione e diventano sempre più difficili da contrastare. Gli attacchi ransomware, il furto di dati sensibili e l’interruzione dei servizi essenziali sono solo alcuni esempi. In un mondo interconnesso un attacco a una singola azienda può avere ripercussioni sistemiche sull’intero ecosistema economico e sociale che caratterizza il mercato digitale europeo. La NIS2 non è solo una normativa, ma un passo cruciale per proteggere la nostra società digitale. Tempistiche: le scadenze definite dalla normativa italiana L’adozione della NIS2 in Italia ha finalmente definito scadenze chiare e tassative per le organizzazioni coinvolte. Con l’entrata in vigore della normativa, le imprese italiane che rientrano nell’ambito di applicazione avranno le seguenti tempistiche da seguire per garantire la conformità: entro il 31 dicembre 2024: assessment per verificare l’obbligo NIS2; 1° gennaio – 28 febbraio 2025: registrazione sulla piattaforma ACN per i soggetti obbligati; entro il 31 marzo 2025: redazione dell’elenco dei soggetti essenziali e importanti da parte dell’ACN; 1° – 15 aprile 2025: notifica ai soggetti registrati dell’inserimento nell’elenco; entro il 15 aprile 2025: nominare un responsabile interno per la conformità; 15 aprile – 31 maggio 2025: fornire ulteriori informazioni richieste tramite la piattaforma; dal 1° gennaio 2026: obbligo di notifica degli incidenti; entro il 1° ottobre 2026: adempimenti amministrativi ed applicazione delle necessarie misure di sicurezza. Durante questo periodo, sarà fondamentale effettuare una valutazione approfondita delle infrastrutture di sicurezza, identificare aree di debolezza e definire un piano d’azione per affrontare le nuove sfide. I requisiti richiesti dalla NIS2, incluse le misure organizzative come l’identificazione e la gestione dei rischi, l’assegnazione di responsabilità per la sicurezza e l’attuazione di piani di risposta agli incidenti, possono richiedere tempo e risorse per essere implementati, rendendo cruciale non rimandare gli interventi. Per alcune aziende, caratterizzate da un livello di maturità ad hoc o repeatable per i processi di gestione della sicurezza informatica, il progetto di adeguamento alla NIS2 richiederà uno sforzo significativo. Altre aziende con un livello di maturità elevato (ad esempio defined o addirittura optimized), in quanto hanno già completato percorsi di certificazione, ad esempio ISO 27001, dovranno comunque assicurare i nuovi aspetti burocratici della normativa e l’applicabilità delle misure già implementate al nuovo ambito NIS2. Analisi del rischio informatico: la NIS2 non è solo una normativa, ma una misura di sicurezza Uno dei maggiori rischi legati alla NIS2 è quello di vederla solo come una normativa da rispettare, anziché come un’opportunità per migliorare la sicurezza dell’organizzazione. Le aziende spesso percepiscono queste normative come oneri burocratici, ma questo approccio può limitare la visione delle opportunità per rafforzare la resilienza aziendale. L’importanza delle politiche di igiene informatica, che includono pratiche come aggiornamenti software, cambi di password, gestione delle installazioni e backup dei dati è essenziale per fornire una protezione proattiva per reti, sistemi e dati aziendali, migliorando la sicurezza e la preparazione contro incidenti o minacce informatiche. A differenza del GDPR, che si concentra sulla protezione dei dati personali, e della ISO 27001, focalizzata sulla sicurezza delle informazioni, la NIS2, avendo come obiettivo il corretto funzionamento del mercato interno, è destinata ad avere un impatto significativo sulla sicurezza delle Tecnologie Operative (Operational Technology – OT). Queste includono i sistemi che supportano i processi industriali e operativi, come le tecnologie IoT (Internet of things) utilizzate nella produzione e i software utilizzati per i test sui prodotti o per la gestione della qualità. Anche se molte aziende hanno investito nella protezione dei dati e delle informazioni, potrebbero trascurare la sicurezza delle loro infrastrutture operative, lasciando scoperti aspetti critici legati alla sicurezza della produttività. Ad esempio, un rischio per le aziende non conformi alla NIS2 è che i cybercriminali possano sfruttare le vulnerabilità nei software OT utilizzati per i test sui prodotti. Attacchi informatici su questi sistemi potrebbero causare interruzioni operative o compromettere l’accuratezza dei risultati dei test, influenzando negativamente la qualità dei prodotti, esponendo i consumatori a rischi anche seri e danneggiando la reputazione aziendale. L’adeguamento alla NIS2 non può quindi prescindere dall’adozione di misure di sicurezza specifiche per le infrastrutture operative, come il monitoraggio continuo e la gestione delle vulnerabilità. Questi requisiti non dovrebbero essere visti come semplici obblighi, ma come investimenti per garantire la qualità e l’affidabilità dei processi produttivi. Un’analisi del rischio informatico che consideri le specificità della NIS2 deve, infatti, includere la protezione dei sistemi operativi e industriali, oltre alla sicurezza delle informazioni. In questo modo, le aziende possono prevenire interferenze sulla propria infrastruttura critica legata alla produzione, assicurando che la disponibilità e la qualità dei prodotti non venga compromessa. Gestione dei rischi della catena di approvvigionamento Affrontare i rischi legati ad attacchi alla catena di approvvigionamento (supply chain attack) e quindi ai fornitori di servizi di conservazione ed elaborazione dei dati, servizi di sicurezza gestiti e software, è fondamentale per minimizzare il rischio di attacchi informatici. Molti incidenti recenti hanno evidenziato come i criminali informatici siano riusciti a compromettere la sicurezza sfruttando vulnerabilità di terze parti. I soggetti essenziali e importanti devono quindi valutare attentamente la qualità, la resilienza dei prodotti e servizi utilizzati e le misure di gestione del rischio di cybersicurezza integrate nei sistemi forniti. È consigliato che queste valutazioni vengano formalizzate all’interno degli accordi contrattuali con fornitori e partner, per garantire una maggiore protezione. Oltre a valutare i fornitori diretti, le aziende dovrebbero considerare i rischi associati ad altri livelli della catena di approvvigionamento. Le valutazioni coordinate a livello europeo devono prendere in considerazione fattori sia tecnici che non tecnici, come indicato nelle raccomandazioni UE sulla sicurezza delle reti 5G. I criteri principali per individuare le catene di approvvigionamento critiche includono la dipendenza da servizi TIC specifici, l’importanza di tali servizi per funzioni critiche, la disponibilità di alternative, la resilienza lungo tutto il ciclo di vita e l’importanza futura di tali tecnologie emergenti. Infine, è necessario considerare eventuali influenze esterne, come i requisiti imposti da paesi terzi, che potrebbero rappresentare ulteriori rischi per la sicurezza delle infrastrutture. L’importanza della NIS2 per le aziende che non vi rientrano Molte aziende che non rientrano nei settori regolati dalla Direttiva NIS2 si chiedono perché dovrebbero preoccuparsi di questa normativa. La risposta è semplice: nessuna organizzazione è immune dagli attacchi informatici. Le imprese obbligate a rispettare la NIS2 rafforzeranno le proprie difese, rendendo più probabile che i cybercriminali spostino la loro attenzione verso aziende che, non essendo coperte dalla direttiva, non hanno investito in sicurezza e sono meno protette. Le piccole imprese e le medie imprese che non rientrano nella Direttiva NIS2, in particolare, possono diventare i nuovi bersagli ideali di attacchi informatici, soprattutto nel caso in cui negli anni avessero impiegato limitate risorse per la sicurezza informatica. Anche se non tutte le aziende sono soggette agli obblighi della NIS2, seguire le sue linee guida rappresenta una scelta strategica per rafforzare le difese e prevenire minacce future. In un panorama dove i cybercriminali cercano costantemente punti deboli, prepararsi adeguatamente è un obiettivo strategico essenziale per garantire la continuità operativa e proteggere il proprio business. Tale principio è ribadito dalla stessa Direttiva NIS2 che, al Considerando 13, afferma che a causa delle crescenti minacce informatiche, gli Stati membri dovrebbero garantire che i soggetti esclusi raggiungano comunque un alto livello di cybersicurezza, attuando misure di gestione dei rischi equivalenti, adeguate alla natura sensibile di tali soggetti. I prossimi passi: l’approccio aziendale al rischio Per massimizzare i benefici della NIS2, le aziende devono adottare un approccio proattivo e strategico alla gestione del rischio informatico. Sulla base dell’esperienza dei propri consulenti nel campo della Governance aziendale e della cybersicurezza, Sanmarco Informatica ha definito il seguente MODELLO IN 4 FASI. Fase 1 – Analisi dei processi aziendali Mappare i processi aziendali, identificando dipendenze interne ed esterne; Assegnare valori di rischio ai processi in base alla loro pertinenza alla NIS2. Fase 2 – Analisi dei rischi Identificare le infrastrutture organizzative e tecnologiche (IT & OT) che supportano i processi in ambito NIS2; Analizzare le minacce e i rischi, documentando la valutazione. Fase 3 – Implementazione dei controlli Identificare e implementare controlli (tecnologici, di processo, sulle persone) per mitigare i rischi; Documentare la valutazione dei controlli. Fase 4 – Sistema di gestione e miglioramento continuo Assicurare una chiara direzione strategica e creare processi per monitorare i rischi; Segnalare e monitorare incidenti, formare il personale e assegnare i ruoli necessari. Migliora la sicurezza informatica della tua azienda Investire nella sicurezza informatica è diventato fondamentale per le aziende di ogni dimensione. La NIS2 non deve essere vista solo come un obbligo normativo, ma come un’opportunità per migliorare la gestione della sicurezza informatica. Per le figure con responsabilità per le infrastrutture IT di una azienda, come i Chief Information Officer (CIO), i Chief Information Security Officer (CISO) e gli IT Manager, la direttiva può costituire una leva per ottenere supporto dai vertici aziendali. Le aziende pronte ad affrontare le sfide della sicurezza informatica non solo eviteranno sanzioni, ma potranno anche beneficiare di un vantaggio competitivo, garantendo continuità e affidabilità ai propri clienti. Affidati a Sanmarco Informatica per la tua conformità alla NIS2 La normativa NIS2 rappresenta una sfida concreta, ma con il giusto supporto la tua azienda può navigare con successo attraverso i requisiti tecnici e legali. Sanmarco Informatica offre consulenze specializzate per garantire che la tua azienda sia pienamente conforme. I nostri esperti in ambito legale, insieme ai nostri specialisti in cybersicurezza, sono pronti a fornirti un supporto completo, mirato e personalizzato. Non lasciare che la complessità della NIS2 metta a rischio la tua attività: compila il form sottostante per essere ricontattato e scoprire come possiamo aiutarti a raggiungere la conformità in modo efficiente e sicuro. Richiedi maggiori informazioni Potrebbe interessarti anche... Strumenti digitali per la gestione del credito Sanmarco Informatica e Intelligenza Artificiale ERP e soluzioni digitali integrate per diversi mercati