Direttiva NIS 2, guida alla compliance: a chi si applica e quali misure di sicurezza adottare

Nel 2024, il digitale permea ogni ambito dell'economia e della società. Questo rende fondamentale poter contare su un impianto normativo solido, possibilmente sovranazionale e rivolto a minimizzare i rischi connessi alle minacce informatiche e al loro impatto sulle infrastrutture critiche e sui servizi essenziali.  

La Direttiva NIS 2 risponde a questa necessità, definendo nuovi standard di sicurezza per organizzazioni pubbliche e private europee. 

Cos’è NIS 2: una panoramica della Direttiva e le differenze con NIS 

La Direttiva NIS 2 (Network and Information Security 2) è un atto legislativo comunitario che aggiorna e amplia il quadro sulla sicurezza delle reti e dei sistemi informativi, andando a sostituire la precedente Direttiva NIS del 2016.  

La Direttiva NIS e l’evoluzione verso NIS 2 

NIS ha gettato le basi per un quadro normativo europeo unificato in materia di cybersecurity, promuovendo la standardizzazione delle pratiche di sicurezza e segnando un punto di svolta nell'approccio alla protezione dei sistemi informativi, soprattutto nei settori critici per l’economia e la società. 

Pur rappresentando un deciso passo avanti, NIS si è rivelata nel tempo inadeguata a fronteggiare l'evolversi delle minacce. Da un lato, l'aumento esponenziale degli attacchi informatici (+12% nel 2023, secondo Clusit), sempre più sofisticati e mirati; dall'altro, la digitalizzazione pervasiva dei settori e dei servizi essenziali, unita all'aumento di valore dei dati, hanno spinto verso l’aggiornamento e la revisione del quadro normativo. La Direttiva NIS 2 nasce da questa esigenza e introduce requisiti più stringenti, nonché un approccio proattivo alla gestione dei rischi cyber. In particolare, le differenze con NIS riguardano (almeno) 5 aree:  

• L’ambito di applicazione della norma, più ampio rispetto a NIS; 

• Requisiti di sicurezza e di reporting più stringenti che in passato; 

• Sanzioni: NIS 2 introduce un regime sanzionatorio europeo uniforme e severo; 

• Responsabilità degli organi di gestione: con NIS 2, la cyber security diventa responsabilità diretta degli organi di gestione aziendale, non solo dell’IT; 

• Focus sulla Supply Chain: NIS 2 richiede alle organizzazioni di considerare la sicurezza lungo tutta la catena di approvvigionamento. 

NIS 2, entrata in vigore 

La Direttiva NIS 2 è formalmente in vigore dal 17 gennaio 2023. Non trattandosi però di un Regolamento, che come tale avrebbe avuto efficacia immediata, deve essere recepita dagli Stati Membri attraverso una legge nazionale, il cui termine ultimo è fissato per il 17 ottobre 2024. Ecco perché, al momento in cui si scrive (e lo sarà ancora per molto tempo), NIS 2 è un tema di stretta attualità.  

A quali aziende si applica NIS 2 

L’ambito di applicazione è uno dei temi chiave della Direttiva europea, nonché una delle differenze nette nei confronti del dettato normativo precedente. Il legislatore europeo, infatti, ha riconosciuto l'interconnessione sempre più stretta tra i sistemi informativi, l'economia e la società, e ha quindi voluto ampliare in modo significativo la platea dei soggetti tenuti a conformarsi alle sue disposizioni. A chi si applica, dunque, la Direttiva NIS 2?  

1. In primis, a soggetti pubblici e privati che offrono servizi o svolgono attività all'interno dell'Unione Europea.  
2. È poi necessario che tali soggetti rientrino in uno dei settori specificati negli allegati della Direttiva, che sono di due tipi: settori ad alta criticità in senso stretto e altri settori critici. Tra i primi rientrano l'energia, i trasporti, le banche, la sanità, l'approvvigionamento idrico e le infrastrutture digitali (come i provider di servizi cloud). Il secondo gruppo include, tra gli altri, servizi postali e di spedizione, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione e trasformazione alimentare, fornitori di servizi digitali (e-commerce, motori di ricerca, piattaforme di social network…) e altri ambiti che svolgono un ruolo chiave nell’economia e nella vita stessa di ogni Paese.  
3. Vige infine un criterio dimensionale: NIS 2 si applica obbligatoriamente solo ad aziende di medie e grandi dimensioni. Come parametri di partenza, si considerano i 50 dipendenti e i 10 milioni di euro di fatturato.  

Come affrontare il tema della conformità a NIS 2 

Il tema della compliance a NIS 2 è notoriamente complesso e richiede un affiancamento consulenziale da parte di soggetti esperti. Questi devono essere in grado di accompagnare l’azienda in un percorso che consta di un assessment approfondito, di una gap analysis successiva, del coinvolgimento di tutti gli stakeholder di riferimento, della progettazione e dell’implementazione delle soluzioni adeguate, che non sono soltanto tecniche ma anche organizzative, e quindi portano con sé la necessità di gestire cambiamento e discontinuità.  

A livello puramente normativo, le organizzazioni sono tenute ad adottare misure tecniche, operative e organizzative adeguate a fronteggiare i rischi posti alla sicurezza dei sistemi e delle reti che i soggetti usano nelle loro attività o per erogare i loro servizi. Il legislatore europeo adotta quindi il tipico approccio risk-based, richiedendo a ogni struttura di selezionare misure congrue dopo aver valutato il proprio grado di esposizione ai rischi, nonché la probabilità e la gravità dei possibili incidenti. 

L’approccio multirischio e le misure da adottare 

Entrando più nello specifico delle misure di protezione, il legislatore europeo (Art.21) stabilisce che esse debbano essere “basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti”. Il tema dell’approccio multirischio è centrale in NIS 2 perché fa capire l’intento del legislatore: andare oltre gli attacchi tecnici (il tipico attacco cyber dall’esterno), abbracciando una sicurezza a 360° che comprende la capacità di prevenzione e di risposta a rischi fisici e ambientali, errori umani, a rischi legati alla catena di approvvigionamento, a interruzioni di processo e molto altro.  

Sempre nell’ambito delle misure di prevenzione e gestione del rischio cyber, il legislatore europeo identifica le 10 aree fondamentali, che riportiamo direttamente dal testo della norma:  

1. Politiche di analisi dei rischi e di sicurezza dei sistemi informatici; 
2. Gestione degli incidenti; 
3. Continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; 
4. Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; 
5. Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; 
6. Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza; 
7. Pratiche di igiene informatica di base e formazione in materia di cibersicurezza; 
8. Politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura; 
9. Sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi; 
10. Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso. 

Nell’elenco, è di particolare interesse tutto il tema della business continuity (3), della sicurezza delle Supply Chain (4) e le pratiche di igiene informatica (7), che di fatto impongono alle aziende destinatarie della norma l’organizzazione di percorsi di security awareness.  

Reporting e sanzioni: le novità di NIS 2 

La nuova Direttiva europea fissa regole di reporting degli incidenti più stringenti di un tempo, e definisce anche un apparato sanzionatorio piuttosto rigido. La normativa, infatti, specifica nel dettaglio le informazioni da fornire e i tempi entro cui procedere alla comunicazione al CSIRT: 24 ore per il preallarme e massimo 72 ore per la notifica di incidente.  

Per quanto riguarda le sanzioni, NIS 2 stabilisce che esse debbano essere effettive, proporzionate e dissuasive, ovvero derivino da una valutazione attenta delle circostanze di ogni singolo caso. Qui si fa distinzione tra le entità cosiddette essenziali e importanti, che verranno definite dagli Stati Membri entro aprile 2025: per le prime, le sanzioni possono arrivare fino a un massimo di 10 milioni di euro o al 2% del fatturato annuo a livello globale, a seconda dell’importo maggiore. Per le entità importanti, invece, il tetto massimo è fissato a 7 milioni di euro o nell'1,4% del fatturato globale.