La NIS-2 spiegata in breve

Dal 16 ottobre 2024 è entrata in vigore per l’Italia la normativa di derivazione europea NIS-2 (Network and Information Security), il cui obiettivo è aumentare il livello di sicurezza informatica delle aziende e delle Pubbliche Amministrazioni.
Per l’Italia, l’Agenzia responsabile e competente per la NIS-2 è l’ACN – Agenzia per la Cybersicurezza Nazionale.

In assoluto, possiamo dire che:

La NIS-2 punta a migliorare le capacità di resilienza e di risposta agli incidenti informatici da parte di operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE.

LA NIS-2 IN ESTREMA SINTESI

La precedente normativa NIS focalizzava l’attenzione sulla “disponibilità delle reti e dei sistemi relativi ai servizi essenziali di pochi soggetti altamente critici“.

Con la nuova normativa NIS-2 gli obblighi riguardano le tre dimensioni classiche della sicurezza informatica – riservatezza, integrità e disponibilità dei dati – secondo un approccio multi-rischio, coinvolgendo nuovi e diversi ambiti.
Ecco i punti salienti della NIS-2:

1. Gestione del rischio e Formazione | Gli organi aziendali di gestione devono approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
2. Responsabilità aziendale | I soggetti sono tenuti a adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi.
3. Continuità del business | I soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
4. Obblighi di comunicazione | I soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi all’ACN (preallarme entro 24 ore e notifica completa/integrativa entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo)
5. Sicurezza della catena di approvvigionamento (aspetto molto importante, come vedremo tra poco) | I soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.

SOGGETTI INTERESSATI ALLA NIS-2

La NIS-2, quindi, estende il campo di applicazione a molti nuovi soggetti, distinti in essenziali e importanti. I soggetti obbligati ad adeguarsi alla normativa NIS-2 rientrano in 18 ambiti elencati specificamente dalla normativa (vedi immagine sotto). All’interno di questi 18 ambiti, inoltre, si applicano alcune soglie a livello di fatturato e numero dipendenti. In particolare, ecco le definizioni di medie e grandi imprese:

Medie imprese = da 50 a 249 dipendenti, fatturato inferiore a 50 milioni di euro e/o bilancio inferiore a 43 milioni di euro.

Grandi aziende = almeno 250 dipendenti, fatturato di almeno 50 milioni di euro e/o bilancio di almeno 43 milioni di euro.

Ecco l’ambito di applicazione della NIS-2 nello specchietto dell’ACN:

Attenzione, però: anche i soggetti non strettamente obbligati dalla normativa dovranno migliorare le loro strutture informatiche (lo vedremo tra poco).

DATE DA RICORDARE E SCADENZE

Ecco le scadenze e le date da ricordare legate alla NIS-2:

• entro il 17 gennaio 2025 i soggetti obbligati (essenziali o importanti) devono iscriversi alla piattaforma di registrazione ACN
• entro il 15 aprile 2025 ACN pubblicherà il proprio elenco di soggetti a cui si applica la NIS2
• entro il 1° gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti; questo richiede come minimo di stabilire il processo di gestione degli incidenti
• entro il 1° gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche
• entro ottobre 2026, i soggetti a cui si applica la NIS2 devono adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi), 24 (gestione dei rischi e implementazione delle misure di sicurezza) e 29 (relativo alla banca dati dei nomi a dominio)

GLI INCIDENTI E I QUASI-INCIDENTI

Il punto nodale della NIS-2 riguarda gli incidenti informatici. La normativa, come scritto all’inizio, punta a “migliorare le capacità di resilienza e di risposta agli incidenti informatici…“. In concreto, abbiamo visto negli ultimi anni gli attacchi informatici, a tutti i livelli, anche verso le PMI, siano in costante crescita e sfruttino tecnologie sempre più sofisticate. La risposta del sistema, soprattutto dei “soggetti che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE” deve essere tempestiva.

Ma cos’è un incidente informatico? La definizione NIS-2 è la seguente: “Un incidente è un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.

E cos’è, invece, un quasi-incidente, definizione prevista dalla stessa NIS-2? “Un quasi-incidente (near-miss) è un evento che avrebbe potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato, ivi incluso il caso in cui l’incidente sia stato efficacemente evitato“.

GESTIONE DI INCIDENTI E QUASI-INCIDENTI | Secondo l’art. 23 della NIS-2, “i soggetti essenziali e importanti devono obbligatoriamente a notificare al CSIRT Italia, istituito presso l’Agenzia per la Cybersicurezza Nazionale, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi senza ingiustificato ritardo (entro 24 ore da quando sono venuti a conoscenza di un incidente significativo devono effettuare una pre-notifica e, comunque, entro 72 ore una notifica dell’incidente)”. Inoltre, la notifica finale deve essere inviata entro 60 giorni dall’incidente.

L’art. 26 estende questi requisiti anche ai quasi-incidenti, che devono essere notificati con le stesse modalità.

SANZIONI

La NIS-2 prevede un inasprimento delle sanzioni per i soggetti obbligati. Nel dettaglio, sono previste sanzioni modulate in base alla qualifica dell’azienda coinvolta (soggetto essenziale o importante).

• I soggetti essenziali saranno sottoposti a sanzioni pecuniarie fino a un massimo di 10 milioni di euro o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.
• Ai soggetti importanti potranno essere comminate sanzioni pari a un massimo di Euro 7 milioni di euro o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

QUINDI, COME AGIRE CONCRETAMENTE? I SOGGETTI OBBLIGATI

Dopo aver illustrato normativa, soggetti coinvolti e scadenze varie, la domanda che molti imprenditori, responsabili IT e consulenti aziendali si pongono è: “Ok, ma concretamente cosa dobbiamo fare per adeguarci alla NIS-2?“.

Per i soggetti obbligati (essenziali e importanti) il discorso diventa ancora più ampio. Non si tratta, infatti, di adeguare semplicemente le proprie strutture informatiche, ma di cambiare prospettiva e migliorare l’intero ecosistema aziendale a livello di sicurezza e gestione dei dati. Significa iniziare, se non lo si è già fatto, un processo simile a quello che porta alle certificazioni ISO (ad esempio ISO27001 sulla gestione della sicurezza delle informazioni), con l’audit della situazione di partenza, l’adeguamento degli strumenti informatici, l’instaurazione e il rispetto di procedure aziendali codificate, la formazione costante del personale e la verifica della catena dei propri fornitori, chiedendo anche a loro degli standard di sicurezza più elevati.

Ecco alcune linee guida utili per la conformità alla NIS-2 dei soggetti obbligati (essenziali e importanti):

• Valutazione dell’attuale livello di sicurezza dei dati: significa scattare una fotografia, attraverso un audit completo, delle pratiche di sicurezza attualmente in uso per individuare criticità e lacune rispetto ai requisiti minimi previsti dalla NIS 2;
• Predisposizione di un piano di gestione del rischio in azienda: vale a dire stabilire un piano formale per la gestione del rischio, con procedure chiare per la prevenzione e la risposta agli incidenti;
• Collaborazione con fornitori e partner: vanno predisposti accordi con fornitori terzi per assicurarsi che rispettino gli standard di sicurezza minimi richiesti, con contratti che prevedano clausole specifiche sulla conformità alla NIS 2;
• Formazione del personale: dipendenti e collaboratori devono essere adeguatamente e costantemente formati sulle misure di sicurezza richieste e sulle procedure di segnalazione degli incidenti.

Ora che la NIS-2 è entrata in vigore, cosa devono fare concretamente le aziende obbligate?

Devono migliorare l’intero ecosistema aziendale a livello di sicurezza e gestione dei dati, pensando e lavorando in chiave
“certificazione ISO”. In pratica, devono effettuare un audit iniziale evidenziando criticità e lacune del proprio sistema, adeguare gli strumenti informatici, introdurre e rispettare procedure aziendali codificate, fare costantemente formazione al proprio personale, verificare la catena dei propri fornitori, chiedendo anche a loro degli standard di sicurezza più elevati, monitorare e segnalare tempestivamente gli eventuali incidenti o quasi-incidenti.

SOGGETTI COINVOLTI IN MODO INDIRETTO (NON OBBLIGATI)

Sintetizzando al massimo la normativa NIS-2, come abbiamo visto: “I soggetti (obbligati ad adeguarsi alla NIS-2) sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza“.

Ciò significa che anche i soggetti non obbligati in modo diretto dalla NIS-2 devono adeguare la sicurezza delle loro strutture informatiche, perché i soggetti obbligati dalla NIS-2 hanno il compito di verificare l’adeguatezza a livello informatico dei propri fornitori. In parole povere, il tema dell’affidabilità della struttura informatica della propria azienda sarà sempre più centrale nelle trattative commerciali con le aziende medio-grandi e le PMI che non garantiranno livelli accettabili di sicurezza informatica alle aziende obbligate, saranno progressivamente escluse dal mercato.

Firewall, PC aggiornati e dotati di antivirus con I.A, sistemi di backup, sistemi di monitoraggio del proprio sistema informatico, cifratura dei dati e autenticazione multi-fattore (MFA) saranno il kit base per qualsiasi azienda (non obbligata direttamente dalla NIS-2) che voglia continuare a collaborare come fornitore delle aziende medio-grandi.

Firewall, PC aggiornati e dotati di antivirus con I.A, sistemi di backup, sistemi di monitoraggio del proprio sistema informatico, cifratura dei dati e autenticazione multi-fattore (MFA) saranno il kit base per qualsiasi azienda (non obbligata direttamente dalla NIS-2) che voglia continuare a collaborare come fornitore delle aziende medio-grandi.

DIVENTARE CONFORMI ALLA NIS-2

Grazie ai suoi consulenti informatici e legali, CREMONAUFFICIO S.p.A. ti può aiutare a capire concretamente quali sono le procedure da seguire e i prodotti e servizi da implementare per essere conformi alla normativa NIS-2 sulla sicurezza informatica.