Direttiva NIS 2: cos'è, i soggetti coinvolti e come adeguarsi

La Direttiva NIS 2 aggiorna il vecchio regolamento europeo in materia di cybersecurity, e ha l’obiettivo di rafforzare il livello di sicurezza delle infrastrutture tecnologiche dei Paesi membri. 

La nuova normativa, recepita in Italia lo scorso Ottobre, stabilisce nuovi requisiti per le aziende che sono tenute a garantire un elevato livello di sicurezza informatica ed estende l’obbligo a diversi settori che non erano stati coinvolti nella direttiva NIS.

Per adeguarsi alla NIS 2 sarà necessario implementare politiche di analisi dei rischi e di sicurezza dei sistemi informatici e procedure di gestione degli incidenti, ma anche soluzioni di autenticazione a più fattori e sistemi di comunicazione protetti.

NIS 2: cos’è e a che serve

La NIS 2 (Direttiva UE 2022/2555) è un importante aggiornamento della precedente Direttiva NIS che punta a stabilire una strategia comunitaria per quanto riguarda la sicurezza informatica. 

La NIS 2 è entrata in vigore il 17 gennaio 2023 ed è stata recepita dal Governo italiano con la pubblicazione del Decreto Legislativo 4 settembre 2024, n. 138. La nuova direttiva, che ha l’obiettivo di aumentare la sicurezza dell’infrastruttura tecnologica europea e renderla capace di affrontare minacce informatiche sempre più sofisticate, introduce una serie di cambiamenti significativi al precedente regolamento.

La NIS 2 rafforza i requisiti di sicurezza, introduce nuove misure di supervisione e amplia notevolmente la platea dei soggetti coinvolti. Oggi, infatti, sono considerati critici per il funzionamento socioeconomico dell’Unione Europea anche settori non inclusi nei vecchi elenchi dei servizi essenziali (OSE), come per esempio i prestatori di servizi fiduciari e i data center.

NIS 2: a chi si applica?

In base al Decreto 138/2024, entrato in vigore lo scorso 16 ottobre, l’obbligo di adeguarsi alla Direttiva NIS 2 riguarda i settori ad alta criticità, alcune categorie di pubbliche amministrazione e altri settori critici.

Per settori ad alta criticità si intendono:

• energia (produttori, gestori e distributori di energia elettrica, gas, petrolio, teleriscaldamento, idrogeno);
• trasporti, inclusi quelli su strada;
• settore bancario;
• infrastrutture dei mercati finanziari;
• sanità (include i soggetti che svolgono ricerca e producono farmaci);
• acqua potabile;
• acque reflue;
• gestione dei servizi TIC;
• spazio;
• infrastrutture digitali (include i fornitori di DNS, i gestori di Top Level Domain, i fornitori di servizi di cloud computing, i data center, i content delivery network, i prestatori di servizi fiduciari, i fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico).

A questi vanno aggiunti altri settori considerati critici, ovvero:

• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, produzione e distribuzione di sostanze chimiche;
• produzione, trasformazione e distribuzione di alimenti;
• fabbricazione di dispositivi medici, computer, prodotti di elettronica e ottica, macchine e apparecchiature, autoveicoli e altri mezzi di trasporto;
• organizzazioni di ricerca;
• fornitori di servizi digitali, ovverosia fornitori di mercati online, motori di ricerca, piattaforme social network, servizi di registrazione dei nomi di dominio.

Come specificato nell’Allegato III, anche diversi enti pubblici devono adeguarsi al NIS 2: tra questi la Presidenza del Consiglio, i ministeri, le agenzie fiscali, le regioni, i comuni con popolazione superiore a 100.000 abitanti e le aziende sanitarie locali. 

L’Allegato IV, infine, elenca gli altri soggetti coinvolti dalla modifica alla Direttiva europea, che sono i fornitori di servizi di trasporto pubblico locale, gli istituti di istruzione che svolgono attività di ricerca, i soggetti che svolgono attività di interesse culturale e le società partecipate o a controllo pubblico.

La NIS 2 si applica alle piccole imprese?

In alcuni casi, la normativa si applica anche alle piccole imprese. Ciò avviene nel caso in cui l’ente in questione sia un fornitore identificato come critico, ovvero nel caso in cui sia:

• fornitore di reti pubbliche di comunicazione elettronica;
• fornitore di servizi di comunicazione elettronica accessibili al pubblico;
• prestatore di servizi fiduciari;
• gestore di registri di dominio di primo livello o fornitore di servizi di sistema dei nomi a dominio;
• fornitore di servizi di registrazione dei nomi a dominio;
• l’unico fornitore nazionale di un servizio essenziale;
• fornitore di un servizio che, se perturbato, potrebbe comportare un rischio sistemico significativo;
• critico in quanto considerato soggetto importante a livello nazionale;
• critico in quanto elemento sistemico della catena di approvvigionamento di soggetti essenziali o importanti.

In questa lista vanno inseriti anche i soggetti già individuati come critici nella precedente Direttiva NIS.

Come adeguarsi alla NIS 2: l’approccio multirischio

La prima novità sostanziale della NIS 2 riguarda le responsabilità delle misure di cybersicurezza, che escono dal perimetro del reparto IT e diventano una questione centrale, di cui sono chiamati a rispondere anche gli organi di gestione.

In base alla nuova Direttiva, spettano al Consiglio di Amministrazione dell’azienda non solo l’approvazione delle misure per la gestione del rischio, ma anche la supervisione e l’implementazione delle stesse. Gli organi di gestione, inoltre, sono invitati a partecipare a “formazioni specifiche su tematiche di cyber security, estendendo quest’opportunità anche ai loro collaboratori, al fine di valutare l’efficacia e l’adeguatezza delle misure di sicurezza adottate”.

Le misure indicate nella NIS 2 sono infatti basate su un approccio multirischio che deve includere, nella valutazione completa dei rischi, anche elementi non digitali come calamità naturali, guasti hardware e mancanza di formazione del personale. 

Oltre a ciò, la nuova Direttiva richiede che le organizzazioni coinvolte siano in grado di rispondere agli incidenti, e che si impegnino a notificare ogni evento alle autorità competenti “senza indebito ritardo e comunque entro 24 ore dalla conoscenza dell’incidente che ha un impatto significativo sulla fornitura dei loro servizi”.

I requisiti della Direttiva NIS 2

Gli elementi fondamentali dell’approccio multirischio indicato dalla NIS 2 includono:

• politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• gestione degli incidenti;
• continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
• sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza;
• pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
• politiche e procedure relative all'uso della crittografia e, se necessario, della cifratura;
• sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

NIS 2: l’autenticazione multifattoriale (MFA)

L’autenticazione a più fattori rientra tra i requisiti della NIS 2: adottare un metodo di autenticazione forte come la 2FA e la multi factor authentication (MFA), infatti, permette di proteggere l’accesso ai sistemi informativi e garantire l’autenticità delle informazioni.

Nel 2019, uno studio di Google sugli account ha rilevato che le autenticazioni a più fattori hanno impedito il 100% degli attacchi automatici, il 96% degli attacchi di phishing in massa e il il 76% degli attacchi mirati.

In una ricerca più recente di Microsoft, che ha preso in esame un elenco di utenti che avevano registrato attività sospette, si legge che “l’implementazione della MFA offre protezione eccezionale, con oltre il 99,99% degli account abilitati all'MFA rimasti sicuri durante il periodo di indagine”.

Integrare questi sistemi di autenticazione non è necessariamente difficile: esistono metodi basati sul possesso fisico di un oggetto (es. un token) e altri che sfruttano le caratteristiche fisiche dell’utente, ovvero i dati biometrici, ma ci sono anche sistemi più agili, come quelli che utilizzano passcode monouso, QR code e la verifica tramite SMS.