La recente Direttiva NIS2 dell’Unione Europea mira a rafforzare le difese informatiche dei paesi membri, collocandosi come un elemento cardine della politica europea in materia di cybersecurity.
Le implicazioni di tale normativa sono ampie e coinvolgono una vasta gamma di settori, ponendo le aziende di fronte a nuove sfide e obblighi. L’approccio alla conformità richiede strategie che tengano conto non solo degli aspetti tecnici ma anche del contesto geopolitico in cui si inseriscono.
La gestione del cyber risk diventa così una componente essenziale delle operazioni aziendali, guidata dagli obiettivi della Direttiva NIS2 e integrata nel quadro normativo europeo in tema di cybersecurity.
La Direttiva NIS2 nel contesto geopolitico attuale
E nell’attuale contesto internazionale, come evidenziato da Luisa Franchina -esperta di sicurezza per le infrastrutture critiche – la tensione e instabilità sono alte e il dominio cibernetico è diventato il terreno di scontro più utilizzato dagli attori geopolitici, i quali sfruttano i vantaggi della rete internet per colpire obiettivi distanti e altamente critici nei Paesi rivali.
“Per questi motivi – continua Franchina – l’Unione europea è intervenuta in campo legislativo al fine di consolidare ed elevare il livello comune di sicurezza cibernetica con la Direttiva NIS2 (Direttiva UE 2022/2555). Questa è stata pubblicata il 27 dicembre 2022 dall’UE per abrogare la Direttiva NIS1 dal 18 ottobre 2024. Nello specifico la norma prescrive una serie di scadenze che i Paesi membri devono rispettare per conformarsi alle disposizioni. A questo riguardo si ritiene utile evidenziare i requisiti tecnici e metodologici che prevedono le misure di sicurezza da adottare per i diversi soggetti che operano come fornitori di servizi in ambito IT e ICT. Inoltre, entro il 17 aprile 2025, gli Stati membri dovranno stabilire una lista di soggetti da identificare come entità essenziali e importanti per ciascun settore. Tale lista sarà riesaminata e nel caso aggiornata regolarmente, almeno ogni due anni”.
I settori a cui si applica la NIS2
Guardando in particolare ai settori a cui la NIS2 si applica, questi in totale sono 18, dei quali 7 sono indicati come critici e 11 ad alta criticità. Tra questi si segnalano: il settore energetico, bancario e dei mercati finanziari, quello sanitario, dei trasporti, delle infrastrutture digitali, la PA, quello dell’aerospazio e i gestori di servizi ICT (Business to Business).
Altra particolarità da sottolineare è che la NIS2 suddivide le infrastrutture critiche in entità essenziali e importanti. Quelle essenziali sono entità appartenenti ai settori ad alta criticità, nonché fornitori qualificati di servizi fiduciari e registri di nomi di dominio di primo livello e fornitori di servizi DNS, indipendentemente dalle loro dimensioni.
Le entità essenziali, infatti, comprenderanno anche i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che sono considerati medie imprese, le entità della pubblica amministrazione e qualsiasi altra entità appartenente ad altri settori critici ed identificata come entità essenziale dallo Stato membro, ivi comprese le entità critiche identificate dalla direttiva CAE e, se previsto dallo Stato membro, le entità identificate come operatori di servizi essenziali ai sensi della precedente direttiva NIS.
Le implicazioni della Direttiva NIS2 per le aziende
Guardando più da vicino alle implicazioni per le aziende, Lucrezia Falciai, avvocata specializzata in cybersecurity e data protection, evidenzia che ci sono alcuni considerevoli cambiamenti che le aziende dovranno affrontare per adeguare i loro modelli gestionali.
Tra questi cambiamenti c’è la necessità di adottare un approccio onnicomprensivo nei confronti della sicurezza informatica, tale approccio infatti sarà fondamentale per potersi conformare adeguatamente alle nuove disposizioni previste.
“La Direttiva NIS2 – continua Falciai – impone l’adozione di alcune misure di gestione dei rischi di cybersecurity, le quali non saranno solo di natura tecnica ma anche organizzativa ed operativa. Inoltre, all’interno della Direttiva, si ribadisce come la cybersecurity non deve essere considerata solo come una materia per tecnici, ma come una disciplina che abbraccia diverse dimensioni della realtà aziendale e che coinvolge numerose aree di business e diversi aspetti, ivi incluso quello legale. In questo senso – prosegue Falciai – la NIS2 pone l’accento sull’importanza di garantire la sicurezza dell’intera catena di approvvigionamento e per tale motivo gli standard di cybersecurity dovranno essere garantiti non solo dai soggetti che verranno designati dai singoli Stati membri, ma anche dai loro fornitori”.
Inoltre, osservando da vicino le novità introdotte dalla NIS2, si evidenzia in primis il rafforzamento degli obblighi di notifica degli incidenti, con tempi ben definiti per le modalità di segnalazione dell’incidente o dell’attacco subito. In relazione a questo si segnale anche che la direttiva introduce nuove responsabilità a carico del management degli enti, il quale sarà chiamato ad avere un ruolo attivo nella compliance tramite l’approvazione delle misure di gestione dei rischi da implementare, e di seguito dovrà sovraintendere all’attuazione di tali misure. “Tale ruolo – riporta Falciai – viene ribadito dagli obblighi di formazione per i vertici del management che la normativa introduce affinché questi possano comprendere la portata del proprio coinvolgimento. Come ulteriore elemento strettamente connesso alla responsabilità del management vi è la facoltà attribuita agli Stati membri di stabilire sanzioni penali per la violazione della normativa di recepimento. Infine – conclude Falciai – sebbene sia necessario attendere di capire come il legislatore italiano recepirà il testo della Direttiva NIS2, le aziende possono già iniziare a definire quale strategia adottare per essere conformi e favorire un approccio onnicomprensivo che tenga conto degli aspetti tecnici, ma anche di quelli legali e organizzativi”.
Approccio e strategie aziendali per la conformità alla Direttiva NIS2
Invece, per comprendere meglio come le aziende possono adeguarsi al loro interno per essere conformi con la direttiva, Lisa Bassetto, Chief Sales Officer di HWG Sababa, azienda che opera in Italia e all’estero nel settore della cybersecurity, evidenzia che un approccio multirischio ovvero basato su una metodologia tecnica e organizzativa complessa si rivela essenziale. A questo si dovranno unire un’accurata analisi dei rischi per cybersicurezza e una corretta gestione degli incidenti, compresa la predisposizione di un’adeguata business continuity. Altri aspetti da considerare riguardano:
- la sicurezza nei processi di acquisizione;
- sviluppo e manutenzione dei sistemi informatici e di rete;
- la gestione e la comunicazione delle vulnerabilità;
- le policy e le procedure di crittografia e cifratura;
- la sicurezza delle risorse umane;
- sistemi di Multifactor Authentication (MFA) e la protezione di comunicazioni vocali, video e testuali tenendo presenti anche i più attuali usi malevoli dell’AI generativa”.
“In altre parole – continua Bassetto – si rende necessaria una strategia di sicurezza allineata agli obiettivi aziendali. In tale strategia, tra gli obiettivi prioritari, dovrà esserci ridurre al minimo l’esposizione aziendale alle minacce informatiche. Per questo dovrà essere previsto un assessment iniziale per delineare il posizionamento di sicurezza (o la security posture) dell’azienda e di seguito delineata un’apposita roadmap per impostare un miglioramento continuo nei processi di gestione IT. Questo percorso è progettato nei minimi dettagli e tiene conto della maturità che la singola azienda presenta rispetto al cyber risk. Per fare questo è prevista una fase iniziale dove è necessario comprendere in modo approfondito l’esposizione informatica dell’organizzazione nelle sue aree chiave. Tramite questa sarà effettuata una verifica degli elementi organizzativi e un’analisi dell’infrastruttura presente (Framework Gap Analysis), la quale prevede anche assessment dello stock tecnologico presente”.
“Sulla base di questo – prosegue Bassetto – saranno individuati i punti di miglioramento e determinato il Security Maturity Factor dell’organizzazione con lo scopo di definire tre differenti livelli di maturità: Inaccettabile, Critico o Accettabile. Per dare un’effettiva contezza di queste attività sono generati un Report Tecnico che illustra le evidenze raccolte per ogni specifica analisi condotta e un Executive Summary, che fornisce informazioni consolidate sulla situazione esaminata. L’insieme dei dati prodotti nei report andrà a costituire le evidenze su cui muovere le azioni immediate da intraprendere”.
Il quadro normativo europeo in tema di cybersecurity
Mentre, andando a prendere in considerazione le norme europee, il Professor Maurizio Mensi, docente alla LUISS e alla Scuola nazionale dell’amministrazione in materia di Diritto dell’informazione e della comunicazione, evidenzia che la Direttiva NIS2 entra in vigore insieme ad altri due importanti tasselli del mosaico normativo UE in tema di cybersicurezza. Questi tasselli sono il regolamento DORA, volto ad armonizzare la sicurezza informatica e la resilienza dei sistemi IT utilizzati dal settore dei servizi finanziari e la nuova direttiva UE sulla resilienza dei soggetti critici (“CER”), che mira a rafforzare la resilienza delle cosiddette infrastrutture critiche per fronteggiare eventi quali rischi naturali, attacchi terroristici, minacce interne e sabotaggi.
“Il legislatore europeo – afferma Mensi – ha quindi voluto dare un impulso positivo in materia di sicurezza informatica, fornendo un quadro normativo volto a proteggere gli Stati membri e a garantire nuovi approcci ai soggetti operanti al loro interno, a fronte della crescente minaccia informatica. In tale contesto, la Direttiva NIS2 include nuovi ambiti di applicazione e stabilisce requisiti più severi, rafforzando nel contempo la cooperazione a livello europeo”.
