La Direttiva NIS2 ha l’obiettivo di rafforzare la resilienza dei sistemi informatici e alzare il livello di sicurezza in tutti gli Stati membri della Ue, combinando il proprio effetto a quello di altre direttive precedenti come il GDPR sulla protezione dei dati e della privacy.
Entro il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa devono registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN). L’inosservanza delle indicazioni dell'ACN può dar luogo a pesanti sanzioni amministrative pecuniarie che possono raggiungere anche lo 0,1% del totale del fatturato annuo su scala mondiale.
La Direttiva interessa undici settori definiti “altamente critici” e sette, di nuova introduzione, definiti “critici”. I primi si considerano vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica. Nei secondi fanno parte altre organizzazioni che dovranno rispettare i requisiti di sicurezza imposti dalla Direttiva.
Ecco i settori principali:
- Energia: aziende e utility operanti nella generazione, distribuzione e fornitura di energia, incluse le reti elettriche intelligenti.
- Trasporti: infrastrutture ferroviarie, aeree, marittime e stradali.
- Bancario e finanziario: istituti bancari e mercati finanziari, con una particolare attenzione alla sicurezza delle transazioni digitali.
- Sanità: ospedali, fornitori di servizi sanitari e aziende farmaceutiche.
- Fornitura e distribuzione di acqua potabile: gestori dell’infrastruttura idrica.
- Infrastrutture digitali: fornitori di servizi cloud, data center, servizi DNS e reti di distribuzione dei contenuti (CDN).
- Pubblica Amministrazione: enti governativi e istituzioni pubbliche che gestiscono dati sensibili.
- Tecnologie spaziali: attività legate all’osservazione della Terra, alle telecomunicazioni satellitari e alla navigazione globale.
Tra i settori critici indicati nell’allegato 2 evidenziamo
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di macchinari e attrezzature (sezione C divisione 28 NACE)
Le aziende per implementare la NIS2 al loro interno devono :
- Valutazione e gestione del rischio: le aziende devono potenziare, e renderlo robusto, un sistema di gestione dei rischi legati alla sicurezza informatica valutandoli in modo continuativo ed approfondito.
- Identificazione delle vulnerabilità: ogni impresa deve effettuare una mappatura accurata delle sue infrastrutture tecnologiche, identificando i punti deboli che potrebbero essere sfruttati da attaccanti esterni. L’analisi delle vulnerabilità deve coprire reti, sistemi, processi aziendali e gestione delle risorse umane.
- Adozione di un piano di mitigazione: dopo aver identificato i rischi, l’azienda deve elaborare e attuare un piano di mitigazione basato su una valutazione di impatto che consideri la probabilità di un attacco e la gravità delle conseguenze. L’adozione di misure preventive, come firewall avanzati, crittografia dei dati e accessi privilegiati ben controllati, è cruciale per limitare i danni in caso di attacco.
- Notifica degli incidenti.
La Direttiva NIS2 non impatta solo sulla sicurezza interna aziendale, ma anche sulle filiere di approvvigionamento. In questo caso, le aziende devono:
- Monitorare i fornitori: bisogna valutare i rischi legati ai fornitori di beni e servizi critici controllando le loro politiche di sicurezza informatica e la valutazione dei potenziali impatti negativi se, tali fornitori, dovessero subire un attacco informatico.
- Imporre requisiti di sicurezza contrattuali: le aziende devono inserire nelle contrattazioni con i fornitori specifici requisiti di sicurezza informatica, come l’obbligo di utilizzare standard di protezione adeguati e di notificare tempestivamente qualsiasi incidente che possa compromettere la sicurezza.