Direttiva NIS 2 e Cybersecurity. I nuovi obblighi

La sicurezza informatica dovrebbe rappresentare oggi un tema fondamentale per gli imprenditori, eppure i numeri segnalano – anno dopo anno – un peggioramento continuo. Secondo il Rapporto Clusit, negli ultimi sei anni (il confronto è tra il 2018 e il 2024) gli attacchi informatici sono infatti cresciuti del 40% nel mondo e del 300% in Italia, e il nostro Paese – che rappresenta l’1% del PIL mondiale – subisce il 10% degli attacchi informatici a livello mondiale.

In questo contesto – che è particolarmente critico per l’Italia ma che riguarda pesantemente anche gli altri Paesi – l’Unione Europea ha deciso di intervenire introducendo la nuova Direttiva NIS 2, che aggiorna e amplia la precedente Direttiva NIS, che era stata approvata nel 2016 e che era entrata in vigore nel 2018 (Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione – Direttiva NISUE 2016/1148).

La Direttiva NIS 2 è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita e implementata in tutti gli Stati membri entro il 18 ottobre 2024.

Rispetto alla precedente NIS, la nuova NIS 2 introduce delle novità decisive che avranno un impatto enorme sulle aziende italiane e più in generale europee.

In primo luogo viene estesa radicalmente la platea delle aziende interessate dalla Direttiva. Nella NIS del 2018 ad essere soggette agli obblighi della Direttiva erano soltanto le aziende pubbliche o private dei settori energia, acqua potabile, infrastrutture digitali, telecomunicazioni, infrastrutture del mercato bancario e finanziario, salute, trasporti, fornitura di servizi digitali (motori di ricerca, servizi di cloud computing, piattaforme di commercio elettronico, gestione dei servizi ICT con particolare riferimento a quelli della pubblica amministrazione). Nella nuova NIS 2, che è vincolante a partire dal 18 ottobre del 2024, accanto ai settori essenziali poc’anzi menzionati, vengono aggiunti “altri settori critici”, e precisamente i seguenti: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro; fabbricazione di computer e prodotti di elettronica e ottica; fabbricazione di apparecchiature elettriche; fabbricazione di macchinari e apparecchiature n.c.a.; fabbricazione di autoveicoli, rimorchi e semirimorchi; fabbricazione di altri specifici mezzi di trasporto; fornitori di servizi digitali; organizzazioni di ricerca.

Le MEDIE e GRANDI imprese appartenenti ai suddetti settori (la MEDIA impresa, ai sensi all’articolo 2 – paragrafo 1 dell’allegato alla raccomandazione 2003/361/CE, ha tra i 50 e i 250 dipendenti e un fatturato compreso tra i 10 e 50 milioni di euro) devono rispettare i NUOVI OBBLIGHI introdotti dalla NIS 2, obblighi che prevedono – in estrema sintesi – di adottare le seguenti misure:
1. Definire un Data Breach Recovery Plan
2. Rispettare un ben preciso e dettagliato iter di notifica alle autorità competenti in caso di incidente informatico significativo
3. Elaborare politiche di analisi dei rischi e di sicurezza dei sistemi informatici
4. Definire una strategia per la gestione degli incidenti
5. Garantire continuità operativa, gestione del backup e ripristino in caso di evento disastroso
6. Garantire la sicurezza della catena di approvvigionamento
7. Essere a norma rispetto alla sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete
8. Elaborare strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica
9. Mettere in atto best practices di igiene informatica di base e formazione in materia di sicurezza informatica
10. Definire policy e procedure relative all’uso della crittografia e della anonimizzazione o pseudomizzazione
11. Garantire la sicurezza delle risorse umane e mettere in atto strategie di controllo dell’accesso e di gestione dei varchi attivi
12. Mettere in pratica l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.

Quindi attenzione: a dover rispettare le stringenti regole europee in materia di sicurezza informatica non sono più soltanto le grandi aziende di settori come energia, banche, telecomunicazione, sanità e trasporti, ma anche le classiche medie aziende industriali di produzione, comprese aziende chimiche, alimentari e metalmeccaniche.

E attenzione: le aziende devono – e questo è un cardine delle nuove regole – attivarsi non solo sul fronte della PREVENZIONE degli attacchi informatici ma anche dal punto di vista delle CONTROMISURE DA ADOTTARE NEI CASI DI ATTACCHI CHE SONO GIÀ ANDATI A BUON FINE, con l’obiettivo di ridurre al minimo l’impatto degli incidenti. A questo proposito si veda di nuovo, nell’elenco numerato qui sopra, i seguenti punti: 1 Definire un Data Breach Recovery Plan / 2 Rispettare un ben preciso e dettagliato iter di notifica alle autorità competenti in caso di incidente informatico significativo / 4 Definire una strategia per la gestione degli incidenti / 5 Garantire continuità operativa, gestione del backup e ripristino in caso di evento disastroso.

Questo è un problema fondamentale e si può affrontare soltanto rivolgendosi ai tecnici specializzati di società come Datasys Network, che da sempre eroga alle aziende italiane servizi di Cloud, Hosting, Monitoring, Business Continuity e Disaster Recovery.

Datasys Network, software house di Milano che è punto di riferimento di settore, aiuta da sempre le aziende nell’implementazione – in modo estremamente rapido, semplice ed economico – di un servizio di Disaster Recovery che dà l’ASSICURAZIONE di poter ripartire immediatamente in caso di attacco hacker. Un servizio che rappresenta una grande opportunità per le aziende e che oggi è fondamentale anche per poter rispettare le regole europee in materia di sicurezza evitando di incorrere in multe e sanzioni.

Ricordiamo a questo proposito che la Direttiva NIS 2 prevede sanzioni pecuniarie fino a 10 milioni di euro per chi non rispetta le regole. E ricordiamo che potranno esserci anche responsabilità, in caso di mancato rispetto della Direttiva, per le persone fisiche che ricoprono in azienda ruoli amministrativi e posizioni dirigenziali. È meglio dunque fare subito il punto della situazione e intervenire per mettersi a norma!

In occasione dell’entrata in vigore della Direttiva NIS 2 stiamo proponendo delle offerte speciali per le aziende italiane!
Scrivimi a luigi.torriani@datasys.it e ti metterò subito in contatto con i nostri tecnici e consulenti per valutare insieme le esigenze della tua azienda.