Che cos’è la direttiva NIS2?

Proposta per la prima volta nel 2020 e implementata il 16 gennaio 2023, NIS2 è l’acronimo di Network and Information Security 2, ufficialmente nota come Direttiva (UE) 2022/2555. La Commissione Europea (UE) ha proposto che la NIS2 si basi sulla direttiva NIS originaria, o direttiva (UE) 2016/1148, correggendone le carenze. La direttiva NIS2 mira a migliorare la sicurezza informatica nell’UE e prepara le organizzazioni ad essere pronte per qualsiasi potenziale minaccia informatica.

Gli Stati membri dell’UE devono recepire la direttiva NIS2 nel loro diritto nazionale entro il 17 ottobre 2024 e le misure inizieranno a entrare in vigore il 18 ottobre 2024. Al momento dell’entrata in vigore, ogni organizzazione coperta dalla direttiva dovrà seguire legalmente i requisiti di sicurezza entro il prossimo anno. Nel white paper di Eversheds Sutherland si racconta che la nuova legislazione aiuterà circa 160.000 entità a migliorare la sicurezza, rendendo l’Europa un luogo sicuro in cui vivere e lavorare.

Perché è entrata in vigore la NIS2?

Considerando l’aumento delle minacce informatiche come phishing, software dannosi e attacchi DoS, diversi governi in tutto il mondo hanno applicato normative sulla sicurezza informatica. Nell’agosto 2016, l’UE ha introdotto la direttiva NIS, un regolamento volto a migliorare la capacità degli Stati membri di gestire gli attacchi informatici. Inizialmente, l’attenzione si è concentrata sulla segnalazione degli incidenti e sull’implementazione di misure informatiche. La direttiva NIS si applicava a due gruppi: gli operatori di servizi essenziali e i fornitori di servizi digitali che erano pertinenti.

Ciononostante, la direttiva NIS iniziale ha incontrato numerosi ostacoli nel suo obiettivo di migliorare gli standard di sicurezza informatica delle nazioni dell’UE. Questi ostacoli includono implementazioni fallite, sforzi non costanti e standard/requisiti diversi. La recente digitalizzazione, accelerata dalla pandemia globale, ha inevitabilmente alimentato la crescita delle minacce informatiche. Pertanto, per affrontare meglio tali attacchi e garantire una cibersicurezza uniforme in tutti gli Stati dell’UE, è emersa la richiesta di migliorare la direttiva NIS.

Qual è la differenza tra NIS e NIS2?

Come accennato in precedenza, la NIS2 è un’espansione della direttiva NIS originale. L’ultima direttiva succede alla precedente in termini di copertura più ampia, con obblighi e sanzioni più severe. Mira inoltre ad appianare la differenza nell’attuazione e nella segnalazione informatica tra gli Stati dell’UE.

Inoltre, NIS2 rafforza le normative per l’adesione alla sicurezza informatica, comprendendo la segnalazione iniziale obbligatoria degli incidenti, una gestione del rischio ampliata e un ruolo appena definito della responsabilità della sicurezza informatica di livello C.

Cosa c’è di nuovo nel NIS2?

1)Requisiti più severi

Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la direttiva NIS2 ha incluso nuovi requisiti organizzativi estesi in quattro aree. Le aree sono la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità aziendale.

  • Gestione del rischio: NIS2 richiede alle organizzazioni di adottare misure di sicurezza per ridurre i rischi informatici. Alcune misure includono una maggiore sicurezza della rete e della catena di approvvigionamento, un migliore controllo degli accessi e la crittografia.
  • Responsabilità aziendale: Le organizzazioni devono formare le autorità competenti per supervisionare, approvare le misure di sicurezza e affrontare e mitigare i rischi informatici.
  • Obblighi di segnalazione: Con la nuova direttiva entrano in vigore obblighi di comunicazione più semplici. Le entità nell’ambito della NIS2 dovrebbero essere in possesso di una tempestiva segnalazione degli incidenti. Inoltre, l’ultima direttiva impone termini di notifica specifici, come un “allarme rapido” di 24 ore.
    Le organizzazioni devono inviare un avviso all’autorità competente o al team di risposta agli incidenti di sicurezza informatica (CSIRT) entro 24 ore. Questo avviso dovrebbe comprendere ipotesi preliminari sull’incidente.
    Un report completo deve essere inviato dopo 72 ore (circa 3 giorni). Questo rapporto dovrebbe incapsulare la valutazione dell’evento, la sua gravità, gli impatti e gli indicatori di compromissione. Dopo un mese, deve essere trasmessa una relazione finale.
  • Continuità aziendale: La conformità NIS2 include anche la pianificazione della continuità aziendale anche a fronte di gravi incidenti informatici. Ciò include il ripristino del sistema, le procedure di emergenza e la creazione di team di risposta agli incidenti di sicurezza.

2)Copertura più ampia

La direttiva NIS ha iniziato con 7 settori considerati infrastrutture critiche, ma la nuova direttiva ne include altri 8, per un totale di 15. NIS2 divide i settori in due entità: Essential Entity (EE) e Important Entity (IE). Alcuni di questi includono infrastrutture digitali come fornitori di servizi cloud, spazio, energia, produzione, salute e finanza.

3)Misure minime

Oltre ai severi requisiti, NIS2 richiede che le organizzazioni dispongano di misure minime di sicurezza informatica. Ciò include l’esecuzione di  risk assessments, l’esecuzione di backup, la formazione per la sicurezza informatica, l’utilizzo dell’autenticazione a più fattori, l’utilizzo della crittografia e dell’encryption e altro ancora.

4)Sanzioni elevate

Per promuovere sanzioni coerenti in tutti gli Stati membri dell’UE, la NIS2 ha introdotto nuove norme uniformi. Le organizzazioni dell’UE che non rispettano la direttiva NIS2 possono essere soggette a tre tipi di sanzioni. Queste sanzioni includono rimedi non monetari, sanzioni amministrative e sanzioni penali.

Le entità essenziali (Essential Entities – EE) possono incorrere in sanzioni amministrative fino a 10 milioni di euro o al 2% del loro fatturato annuo globale, a seconda di quale sia il valore più alto. Le entità importanti (Important Entities – IE) possono incorrere in una multa fino a 7 milioni di euro o all’1,4% delle loro entrate annuali, a seconda di quale sia il valore più alto.

A chi si applica la NIS2?

Insieme ai 7 settori della precedente direttiva, la NIS2 è applicabile a 15 settori, classificati come entità essenziali e importanti. La divisione si basa sulla criticità del settore e sulla dimensione organizzativa.

– Entità Essenziali (Essential Entities – EE)

NIS2 classifica 8 categorie come Entità Essenziali. Si tratta di Energia, Trasporti, Finanza, Pubblica Amministrazione, Sanità, Spazio, Approvvigionamento idrico e Infrastrutture digitali. NIS2 è applicabile alle organizzazioni di questi settori con oltre 250 dipendenti, un fatturato annuo di almeno 50 milioni di euro o uno stato patrimoniale di almeno 43 milioni di euro.

– Entità Importanti (Important Entities – IE)

7 settori rientrano tra gli Enti Importanti. Sono i servizi postali, la gestione dei rifiuti, i prodotti chimici, la ricerca, gli alimenti, la produzione e i fornitori digitali. La NIS2 si applica alle imprese di questi settori con un numero di dipendenti compreso tra 50 e 250 e un fatturato annuo non superiore a 50 milioni di euro o uno stato patrimoniale non superiore a 43 milioni di euro.

Come prepararsi alla direttiva NIS2?

  • Riconoscimento dei processi critici: Per prepararti alla direttiva NIS2, inizia identificando i processi importanti dell’organizzazione che potrebbero essere attaccati. È necessario implementare solide misure di sicurezza per garantire la sicurezza di tali processi. Misure di sicurezza informatica di prim’ordine dovrebbero proteggere la rete e i sistemi informativi dell’azienda.
  • Anticipazione e preparazione: Sebbene sia impossibile prevedere gli attacchi futuri, le organizzazioni possono anticipare eventuali minacce potenziali in base alla cronologia precedente. Sulla base di questi dati, possono costruire una difesa informatica abbastanza forte da mitigare tali attacchi. Qualsiasi possibile punto vulnerabile, come i dispositivi remoti endpoint, deve essere identificato e protetto.
  • Educazione e consapevolezza: La sicurezza informatica di un’organizzazione è responsabilità di tutti coloro che sono al suo interno. Tutti devono essere a conoscenza degli attacchi informatici, delle misure di sicurezza e dei piani di emergenza. Pertanto, la dirigenza deve assicurarsi che tutti siano ben addestrati in materia di sicurezza informatica, come per esempio sulla gestione e sulla segnalazione degli incidenti in modo tempestivo.

Come l’Italia prevede di implementare la NIS2: un breve studio

L’Italia punta a raggiungere l’autonomia strategica nazionale ed europea puntando sul dominio digitale. Il Paese ha lanciato la National Cybersecurity Strategy (NCS), che mira ad attuare 82 misure entro il 2026, attraverso tre obiettivi chiave: protezione, risposta e sviluppo.

Il quadro del National Cyber Crisis Management è suddiviso in tre livelli: politico, operativo e tecnico. Ciascuno di questi livelli ha un organo di governo che ne è responsabile della supervisione dei problemi e dell’implementazione. Ad esempio, a livello tecnico, CSIRT Italia è responsabile delle crisi rilevanti. Il paese seguirà un approccio graduale alle misure di gestione del rischio e agli obblighi di segnalazione.

In che modo Sangfor può aiutare la tua organizzazione con la conformità NIS2?

Sangfor Technologies è leader nelle soluzioni di sicurezza informatica e infrastruttura cloud con 20+ anni di esperienza. Sangfor assiste le organizzazioni nell’adesione alla direttiva NIS2 offrendo una suite completa di soluzioni di sicurezza. Questi includono:

  • Network Secure: un firewall di nuova generazione progettato per salvaguardare le reti.
  • Endpoint Secure: una piattaforma di protezione degli endpoint che garantisce la sicurezza dei dispositivi.
  • Internet Access Gateway: un gateway web sicuro per un accesso sicuro a Internet.
  • Cyber Command: una soluzione di Network Detection and Response (NDR) focalizzata sul rilevamento delle minacce di rete avanzate sotto forma di comportamenti anomali.
  • Access Secure: una soluzione SASE (Secure Access Service Edge) per l’accesso remoto sicuro alle risorse di rete e cloud.
  • Servizi Cyber Guardian: una gamma di servizi, tra cui Managed Detection and Response (MDR), Incident Response e Security Risk Assessment, per una maggiore sicurezza.

L’integrazione di questi prodotti nel framework XDDR (eXtended Detection, Defense, and Response) fornisce un solido ecosistema di sicurezza. Questa integrazione è in linea con i requisiti della direttiva NIS2 per una gestione completa del rischio. Essa aiuta le organizzazioni a ottenere informazioni in tempo reale su potenziali rischi come vulnerabilità, errori di configurazione e password deboli, che sono obiettivi primari per le minacce informatiche.

Utilizzando l’intelligenza artificiale (IA) e l’apprendimento automatico (Machine Learning), le nostre soluzioni offrono un rilevamento preciso e rapido delle minacce. La natura interconnessa di questi prodotti consente una risposta automatizzata e coordinata, riducendo significativamente l’impatto degli incidenti di sicurezza e supportando l’enfasi posta dalla direttiva NIS2 sulle strategie di sicurezza proattive e reattive.

Le tecnologie di Sangfor migliorano anche il rilevamento delle minacce correlando i dati tra diversi livelli di sicurezza, fornendo un contesto dettagliato per gli eventi della rete. Questa funzione è anche fondamentale per adempiere agli obblighi di comunicazione completi della direttiva NIS2, mentre gli strumenti di segnalazione integrati di Sangfor aiutano a generare i report necessari per la conformità normativa.

Per la continuità operativa, Sangfor incorpora funzionalità di ripristino all’interno delle sue soluzioni. Ad esempio, Endpoint Secure include funzionalità di ripristino ransomware, che consentono il ripristino dei dati in caso di attacco. Inoltre, il servizio Cyber Guardian Incident Response (IR) offre assistenza esperta per una risposta tempestiva agli incidenti di sicurezza, per aiutare le aziende a tornare alle operazioni in totale sicurezza.

Per scoprire come Sangfor può aiutarti a migliorare la tua sicurezza informatica e a garantire la conformità con NIS2, visitaci sul nostro sito web www.sangfor.it o contattaci con le tue richieste.