Direttiva NIS2, cosa devono fare le imprese

La Direttiva NIS2 ha l’obiettivo di rafforzare la resilienza dei sistemi informatici e alzare il livello di sicurezza in tutti gli Stati membri della Ue, combinando il proprio effetto a quello di altre direttive precedenti come il GDPR sulla protezione dei dati e della privacy.

Entro il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa devono registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN). L’inosservanza delle indicazioni dell'ACN può dar luogo a pesanti sanzioni amministrative pecuniarie che possono raggiungere anche lo 0,1% del totale del fatturato annuo su scala mondiale.

La Direttiva interessa undici settori definiti “altamente critici” e sette, di nuova introduzione, definiti “critici”. I primi si considerano vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica. Nei secondi fanno parte altre organizzazioni che dovranno rispettare i requisiti di sicurezza imposti dalla Direttiva.

Ecco i settori principali:

• Energia: aziende e utility operanti nella generazione, distribuzione e fornitura di energia, incluse le reti elettriche intelligenti.
• Trasporti: infrastrutture ferroviarie, aeree, marittime e stradali.
• Bancario e finanziario: istituti bancari e mercati finanziari, con una particolare attenzione alla sicurezza delle transazioni digitali.
• Sanità: ospedali, fornitori di servizi sanitari e aziende farmaceutiche.
• Fornitura e distribuzione di acqua potabile: gestori dell’infrastruttura idrica.
• Infrastrutture digitali: fornitori di servizi cloud, data center, servizi DNS e reti di distribuzione dei contenuti (CDN).
• Pubblica Amministrazione: enti governativi e istituzioni pubbliche che gestiscono dati sensibili.
• Tecnologie spaziali: attività legate all’osservazione della Terra, alle telecomunicazioni satellitari e alla navigazione globale.

Tra i settori critici indicati nell’allegato 2 evidenziamo

• Produzione, trasformazione e distribuzione di alimenti
• Fabbricazione di macchinari e attrezzature (sezione C divisione 28  NACE)

Le aziende per implementare la NIS2 al loro interno devono :

• Valutazione e gestione del rischio: le aziende devono potenziare, e renderlo robusto, un sistema di gestione dei rischi legati alla sicurezza informatica valutandoli in modo continuativo ed approfondito.
• Identificazione delle vulnerabilità: ogni impresa deve effettuare una mappatura accurata delle sue infrastrutture tecnologiche, identificando i punti deboli che potrebbero essere sfruttati da attaccanti esterni. L’analisi delle vulnerabilità deve coprire reti, sistemi, processi aziendali e gestione delle risorse umane.
• Adozione di un piano di mitigazione: dopo aver identificato i rischi, l’azienda deve elaborare e attuare un piano di mitigazione basato su una valutazione di impatto che consideri la probabilità di un attacco e la gravità delle conseguenze. L’adozione di misure preventive, come firewall avanzati, crittografia dei dati e accessi privilegiati ben controllati, è cruciale per limitare i danni in caso di attacco.
• Notifica degli incidenti.

La Direttiva NIS2 non impatta solo sulla sicurezza interna aziendale, ma anche sulle filiere di approvvigionamento. In questo caso, le aziende devono:

• Monitorare i fornitori: bisogna valutare i rischi legati ai fornitori di beni e servizi critici controllando le loro politiche di sicurezza informatica e la valutazione dei potenziali impatti negativi se, tali fornitori, dovessero subire un attacco informatico.
• Imporre requisiti di sicurezza contrattuali: le aziende devono inserire nelle contrattazioni con i fornitori specifici requisiti di sicurezza informatica, come l’obbligo di utilizzare standard di protezione adeguati e di notificare tempestivamente qualsiasi incidente che possa compromettere la sicurezza.