Recepita la direttiva “Nis 2” in materia di sicurezza informatica per aziende e pubbliche amministrazioni
Il 16 ottobre è entrato in vigore il Decreto Legislativo n. 138 del 4 settembre 2024 in materia di “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”.
Tale Decreto, infatti, recepisce in Italia la Direttiva UE 2022/2555 “Network and Information Security Directive 2”, comunemente nota come “NIS2”, che rappresenta un’evoluzione della precedente direttiva NIS, introducendo nuove misure ed obblighi rigorosi per molteplici imprese ed organizzazioni in ambito cybersecurity, al fine di incrementare il livello comune di sicurezza informatica nell’UE nonché, con il nuovo Decreto, a livello nazionale.
Il nuovo Decreto Legislativo abbraccerà in toto l’approccio di natura risk base che le organizzazioni (imprese e p.a.) ormai ben conoscono in ambito privacy, e che diventerà un vero e proprio mantra per le stesse nel rafforzare la sicurezza delle proprie infrastrutture c.d. “critiche” e migliorare la propria resilienza operativa, con una forte enfasi sulla conformità e la trasparenza, anche nei confronti delle autorità verso cui la nuova norma prevede flussi di comunicazioni dettagliati e stringenti in caso di incidenti informatici. Pena, sanzioni importanti per le violazioni accertate, proprio come per la normativa privacy, per le aziende anzitutto diventerà essenziale dotarsi quanto prima di un vero e proprio “Modello Organizzativo Cyber”.
Come prepararsi alla NIS2?
È importante che le imprese ed organizzazioni si preparino alla NIS2 per garantire la resilienza delle loro infrastrutture, proteggere i dati (ricordiamo, anzitutto quelli personali ma non solo) e ridurre il rischio di incidenti inf essenziale una pianificazione accurata, poiché l’implementazione delle diverse misure richiede tempo e budget; prima si entra nell’ottica dell’adeguamento, meglio si potrà gestire e programmare.
Anziché delegare la responsabilità dell’adozione delle migliori pratiche ai soggetti essenziali ed importanti, la nuova normativa NIS2 addotta un approccio normativo più rigoroso, imponendo di implementare un elenco minimo di misure fondamentali per la sicurezza informatica.
Queste misure comprendono:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informatici al fine di poter valutare le avversità cyber che potrebbero verificarsi, le conseguenze che potrebbero comportare qualora si dovessero concretizzare e le regole da adottare a protezione dei propri sistemi, dati, infrastrutture tecnologiche e servizi;
• Piano di risposta agli incidenti per poter reagire prontamente in caso di incidente cyber definendo ruoli e responsabilità, strategie per identificare e segnalare gli incidenti con la necessaria rapidità (comprese le comunicazioni verso gli stakeholders), e le azioni per il contenimento e ripristino;
• Piani di Business Continuità (continuità operativa) e Disaster Recovery (ripristino in caso di disastro come incendi o attacchi ransomware su vasta scala) che comprendano backup regolari e loro periodica verifica, nonché procedure per il pronto ripristino dei sistemi più critici. Questi piani devono essere affiancati da un efficace piano di crisis management (gestione delle crisi) per garantire la continuità delle operazioni durante e dopo l’incidente;
• Sicurezza della Supply Chain (catena di approvvigionamento) a garanzia del rispetto delle misure di sicurezza da parte dei fornitori e dei sub-fornitori, su cui sia il nuovo Decreto che la Direttiva NIS2 pongono particolare attenzione;
Gestione del ciclo di vita dei sistemi che integri gli aspetti di sicurezza relativi all’acquisizione, allo sviluppo e alla manutenzione, con l’obiettivo di assicurare l’assenza di vulnerabilità note, incorporare misure di sicurezza durante le fasi di progettazione e sviluppo, e implementare un piano di Vulnerability Management;
• Valutazione dell’efficacia delle misure di cybersicurezza tramite l’esecuzione periodica di attività di Penetration Testing;
• Pratiche di igiene informatica di base e formazione in materia di cybersicurezza inclusa l’adozione di best practices per l’uso di password sicure, strategie per una navigazione web protetta e campagne di sensibilizzazione e formazione rivolte a dipendenti e collaboratori;
• Politiche sull’uso della crittografia al fine di proteggere la confidenzialità e l’integrità dei dati e dei sistemi: sul punto, ricordiamo che già l’Agenzia per la Cybersicurezza Nazionale (ACN), in collaborazione con il Garante Privacy, nel dicembre 2023 ha emanato specifiche linee guida in materia;
• Sicurezza delle risorse umane, controllo dell’accesso e gestione degli attivi attraverso l’applicazione dei principi di need to know (necessità di sapere), least privilege (privilegio minimo), segregation of duties (segregazione dei compiti) o Role Based Access Control (Controllo degli accessi basato sul ruolo);
• Utilizzo di più fattori di autenticazione per le utenze privilegiate e gli amministratori di sistema.
Il metodo per adeguamento NIS2:
tale metodo deve prevedere un approccio sistematico che inizia con un’attività di Assessment per valutare lo stato attuale del sistema verificando quali requisiti NIS2 il soggetto (azienda privata o ente pubblico) deve ancora implementare o implementare in maniera più efficace (Gap Analysis). Infine, si procede alla selezione di uno o più framework o standard di cybersecurity, come ad esempio l’ISO27001, il NIST CFS o il CIS Controls, per individuare come raggiungere i requisiti minimi fissati dalla direttiva e culminare nel processo di Remediation e Implementation per la ‘messa a terra’ delle azioni necessarie.