Il 17 gennaio 2023 è entrata in vigore la Direttiva Ue NIS 2, ovvero un quadro normativo che punta alla creazione di una strategia di cybersicurezza comune a tutti gli stati Ue.
Non essendo un regolamento (come lo è il GDPR) ma una direttiva, tutti gli Stati Membri dovranno recepirla entro un periodo prestabilito, al fine di sviluppare un piano per la sicurezza e creare dei team di esperti: la data è stata fissata per il 18 ottobre 2024.
La Direttiva NIS 2 si aggiunge alle linee guida e alle norme Europee per la protezione dei dati e della privacy:
- Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR);
- Regolamento DORA;
- Direttiva CER;
- Cyber Resilience Act;
- Perimetro di Sicurezza Nazionale Cibernetica.
Per le aziende l’impatto della Normativa sarà significativo, poiché dovranno adottare maggiori misure di cybersicurezza. Verranno coinvolti, in particolare, i fornitori di servizi digitali, che avranno l’obbligo di notificare alle autorità competenti entro 24 ore gli incidenti di sicurezza.
La Direttiva prevede l’obbligatorietà di pubblicare, da parte dell’organizzazione colpita, la violazione subita sui propri canali.
La Direttiva NIS 2 è dedicata alle organizzazioni pubbliche e private che si occupano di servizi essenziali, quali:
- Società di produzione e distribuzione energia;
- Servizi sanitari;
- Trasporti;
- Infrastrutture di comunicazione elettronica;
- Servizi bancari e finanziari.
Inoltre, la nuova Direttiva si applica anche ai fornitori di servizi digitali:
- E-commerce;
- Motori di ricerca;
- Cloud computing;
- Gestione dei servizi ICT, della PA e dello spazio.
Altri settori critici
Viene introdotta una nuova tipologia di settori, chiamati “altri settori critici”:
- servizi postali e di corriere;
- gestione dei rifiuti;
- fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- produzione, la trasformazione e la distribuzione di alimenti;
- fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- fabbricazione di computer e prodotti di elettronica e ottica;
- fabbricazione di apparecchiature elettriche;
- fabbricazione di macchinari e apparecchiature n.c.a.;
- fabbricazione di autoveicoli, rimorchi e semirimorchi;
- fabbricazione di altri specifici mezzi di trasporto;
- fornitori di servizi digitali;
- organizzazioni di ricerca.
Vengono introdotte anche due nuove categorie di attori: soggetti essenziali e soggetti importanti. Gli Stati membri, entro il 17 aprile 2025, dovranno definire l’elenco di tali soggetti, e ogni due anni dovranno aggiornarli.
Cosa devono fare le aziende?
Come prima cosa, bisogna capire se si rientra all’interno delle tipologie di soggetti importanti ed essenziali, dunque, soggetti che svolgono delle attività considerate fondamentali affinché società ed economia funzionino.
Successivamente, sarà necessario definire le misure operative, tecniche e organizzative, rifacendosi al principio di “Accountability” del Gdpr. Leggiamo nel sito Mondo Privacy“:
«Il “principio di accountability” potrebbe essere tradotto, nella lingua italiana, con “principio di responsabilizzazione e di rendicontazione”. Difatti, tale termine richiama almeno due accezioni, distinte tra loro ma fondamentali allo stesso tempo, che ricomprendono gli adempimenti richiesti al Titolare: l’adempimento al dettato normativo nonché la capacità di dimostrare e comprovare la conformità al Regolamento UE 679/2016».
Le misure da attuare
Nella Direttiva NIS 2 troviamo un elenco delle misure da attuare:
- Politiche di analisi dei rischi e sicurezza dei sistemi informatici;
- Sistemi per gestire gli incidenti;
- Soluzioni di business continuity che garantiscano la continuità operativa e la gestione della crisi;
- Misure di sicurezza dell’intera supply chain;
- Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, inclusa la gestione e la divulgazione delle vulnerabilità;
- Strategie per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
- Pratiche di igiene informatica basilari e formazione in materia di sicurezza informatica;
- Procedure circa l’utilizzo della crittografia e della cifratura;
- Misure per la sicurezza delle risorse umane;
- Uso di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
Data Breach Recovery Plan
Fondamentale è la definizione di una Data Breach Recovery Plan. Nel caso in cui avvenga un incidente importante, bisognerà rispettare una procedura di notifica alle autorità competenti:
- Per prima cosa, bisogna lanciare un preallarme entro 24 ore da quando si è scoperto l’incidente;
- Successivamente, è necessario emettere una notifica entro 72 ore da quando si è venuti a conoscenza dell’incidente, aggiornando le informazioni contenute nel preallarme;
- Per concludere, entro un mese bisognerà procedere alla redazione di una relazione finale.
Nella Direttiva NIS 2 troviamo anche la definizione di Incidente Significativo:
- ha causato oppure è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
- si è ripercosso oppure è in grado di ripercuotersi su altre persone, che siano esse fisiche o giuridiche, determinando perdite considerevoli.
Nel Data Breach Recovery Plan saranno presenti anche ulteriori misure organizzative, quali:
- nominare un responsabile per la sicurezza informatica;
- definire le responsabilità e i ruoli del personale che gestisce gli incidenti;
- definire le procedure da seguire in caso di Data Breach.
Le sanzioni
Le sanzioni potranno essere amministrative o penali.
Non esiste un listino delle sanzioni, poiché la Direttiva NIS 2 lascia facoltà agli Stati Membri di adottare il proprio regime sanzionatorio.
Sono, tuttavia, previsti dei limiti massimi: gli operatori essenziali potranno incorrere in sanzioni per un massimo di 10 milioni di euro, mentre gli operatori importanti saranno interessati da sanzioni non oltre i 7 milioni di euro.
In ambito penale ogni singolo Stato Membro dovrà attenersi alla propria legislazione. In Italia, per esempio, si prevede la reclusione sino a 7 anni in caso di gravi violazioni della privacy.
L’adeguamento alla direttiva NIS 2 non è soltanto un modo per mettersi in regola, ma è anche un’ottima occasione per introdurre una cultura della sicurezza in azienda.
Hai bisogno di soluzioni per proteggere la tua azienda dagli attacchi informatici?
LEGGI ANCHE:
Nesta (COA Roma) al ministro Nordio: “Ecco le criticità da risolvere immediatamente”
Riforma fiscale: al via la consultazione pubblica sui 9 Testi unici per semplificare il sistema tributario
