Oggi ci rendiamo conto di quanto sia sempre più importante il tema della sicurezza informatica (vedi anche Global Cybersecurity Index).
Dal sito ufficiale direttivanis2.eu:
La direttiva NIS 2 stabilisce i requisiti principali che le organizzazioni devono soddisfare per raggiungere un elevato livello di sicurezza informatica
NIS 2 è parte di una strategia più ampia della Commissione Europea per creare un mercato unico di prodotti e servizi sicuri e resilienti.
La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell'Unione Europea
Commento: WooW! Davvero, l'uniformità a livello europeo è fondamentale (il Global Cybersecurity Index che ho precedentemente linkato, rende molto chiara l'dea): quindi aumentare il livello comune di sicurezza, riducendo rischi e danni causati dal cybercrimine.
La direttiva (NIS 2) dovrà essere adottata dall’Italia entro il 17 ottobre 2024
1 ottobre 2024 pubblicazione in Gazzetta ufficiale del d.lgs 138 del 04/09/2024 [ovvero: 138. Recepimento della direttiva (UE) 2022/2555] – in vigore dal 16/10/2024
Il testo ufficiale, per intero, si trova su eur-lex.europa.eu.
Gli obiettivi di NIS2, questo nuovo standard, riportati su direttivanis2.eu, sono (riportandoli integralmente):
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità
- Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche
- Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi
- Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
- Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità
- Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica
- Pratiche di igiene di base e di formazione in materia di sicurezza informatica
- Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura
- Sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti
- Uso di soluzioni di autenticazione a più fattori, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno
- Vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi
- I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi (1à notifica entro 24 ore)
Le aziende pubbliche e private hanno quindi l'obbligo di adeguarsi (vedi nota). In particolare la cosa diventa di fondamentale importanza se la società rientra nei settori definiti "essenziali o importanti".
Nota: grandi imprese (oltre 250 dipendenti e/o fatturato superiore a 50 milioni di euro), medie imprese (meno di 50 dipendenti ma fatturato oltre 10 milioni di euro) e le piccole e micro imprese nei casi rientrino nel "perimetro di applicazione NIS 2" (dipende dal settore in cui operano e importanza relativa); i settori coinvolti sono 18 (ognuno con altre suddivisioni, approfondimento su acn.gov.it), ovvero:
- Settori ad alta criticità (Allegato I)
- energia
- trasporti
- settore bancario
- infrastruttura dei mercati finanziari
- settore sanitario
- acqua potabile
- acque reflue
- infrastrutture digitali
- gestione dei servizi TIC B2B
- spazio
- altri settori critici (Allegato II)
- servizi postali e di corriere
- gestione dei rifiuti
- sostanze chimiche
- alimentari
- fabbricazione di varie apparecchiature (computer, dispositivi medici, veicoli)
- fornitori di servizi digitali
- ricerca
- Amministrazioni centrali, regionali, locali e di altro tipo (Allegato III)
- pubbliche amministrazioni
- Ulteriori tipologie di soggetti (Allegato IV)
- ulteriori tipologie di soggetti (Soggetti a eventuale individuazione dell’Autorità)
Le aziende vengono poi suddivise in "essenziali" e "importanti", anche eventuali sanzioni ad opera dell'Acn, l'Agenzia per la cybersicurezza nazionale si basano su questo.
Dal 1 dicembre 2024 presso acn.gov.it sarà possibile registrarsi, per le aziende che pensano di poter rientrare in lista (fra parentesi, la legge è già operativa ma la piattaforma alla quale è obbligatorio registrarsi non è ancora entrata in vigore) ed entro il 31 marzo 2025 l'Acn comunicherà l'esito, se l'azienda risulta inserita nel Nis2 (e quindi deve adeguarsi al rispetto degli obblighi) oppure no. Ovviamente gli obblighi riguardano degli step da intraprendere per la cybersecurity e c'è poi l'obbligo di segnalare eventuali incidenti, attacchi. Gli organi di amministrazione hanno la responsabilità e sono anche tenuti a formare i dipendenti in tema di sicurezza informatica (davvero utilissimo! La competenza e consapevolezza medi è purtroppo ancora molto bassa, in molti settori, vedi anche Cybersecurity per il Parlamento). Il completo adempimento di tutti i nuovi obblighi, dovrà avvenire entro ottobre 2026.
Che dire, in conclusione possiamo riassumere che si tratta di un aggiornamento importantissimo, su un tema sempre più di cruciale importanza. Praticamente per ogni tipo di business la cybersecurity ha un forte impatto e, lato funzionalità, servizi e anche economico (pensiamo ai danni anche economici che causa un disservizio dovuto ad un cyber attacco ad un'azienda che fornisce servizi su larga scala... Per non pensare a veri e propri attacchi terroristici sul tema medico, bancario, energia, ecc).