Riuscire a destreggiarsi nel panorama in costante evoluzione della sicurezza di reti e informazioni è, al giorno d'oggi, una questione di cruciale importanza. Man mano che la tecnologia diventa più complessa, emerge con sempre maggiore evidenza la necessità di politiche e regolamentazioni onnicomprensive che tutelino le infrastrutture e i servizi digitali essenziali. Una di queste iniziative, destinata a cambiare radicalmente il panorama digitale, è la Direttiva NIS2.
Contenuti:
Cos'è la Direttiva NIS2 sulla sicurezza informatica?
La Direttiva NIS2, ovvero la Direttiva sulla sicurezza delle reti e dei sistemi informativi 2, è una normativa sulla cybersicurezza in vigore a livello europeo. La sua introduzione ha rappresentato un concreto passo in avanti per incrementare il livello generale di sicurezza informatica all'interno dell'Unione europea. La Direttiva NIS2 è entrata in vigore nel 2023 con l'obiettivo di modernizzare il quadro giuridico esistente della prima Direttiva NIS, introdotta nel 2016.
Questo aggiornamento è stato messo a punto in risposta alla crescente digitalizzazione e all'evoluzione continua delle minacce informatiche.
Il raggio d'azione della Direttiva NIS2 è più ampio rispetto a quello della versione precedente: estende infatti le regolamentazioni sulla sicurezza informatica a nuovi settori e soggetti. È stata messa a punto per incrementare la resilienza e la capacità di risposta agli incidenti da parte di soggetti pubblici e privati; questo viene fatto promuovendo la preparazione degli stati membri e favorendo la reciproca collaborazione.
Ad esempio, la direttiva obbliga ogni stato membro dell'UE a dotarsi di soluzioni opportune. Ciò implica, tra le altre cose, la presenza di un Computer Security Incident Response Team (CSIRT), deputato alla gestione degli incidenti di sicurezza informatica, e di un'autorità nazionale competente per la sicurezza della rete e dei sistemi informativi (NIS).
Quali sono gli obiettivi principali della NIS2?
L'obiettivo primario della Direttiva NIS2 consiste nella promozione di solide misure di cybersicurezza in tutta l'UE, che includono la tutela dei settori vitali dalle minacce informatiche e l'aumento della fiducia nei servizi importanti.
Ciò viene fatto:
Stabilendo un livello standardizzato di misure di protezione della sicurezza informatica in tutti i Paesi membri dell'UE.
Definendo e regolamentando in modo chiaro i settori interessati dalla direttiva.
Ampliando le misure di sicurezza informatica e rendendo più stringenti le regole per la segnalazione degli incidenti.
Migliorando la cooperazione e il coordinamento tra gli stati membri nella gestione delle minacce informatiche.
L'obiettivo della NIS2 consiste nello stabilire un livello standardizzato di protezione in tutti i Paesi membri dell'UE. Identifica in modo chiaro i settori interessati e i requisiti minimi di sicurezza, oltre a unificare gli obblighi di segnalazione; introduce inoltre misure attuative e sanzioni. Queste iniziative hanno l'obiettivo di proteggere le infrastrutture fondamentali e i cittadini dell'UE dagli attacchi informatici.
Un importante miglioramento della NIS2 rispetto alla prima versione della NIS è rappresentato dallo specifico campo di applicazione della direttiva. Fra i settori interessati vi sono quello manifatturiero, alimentare, dei trasporti, dello spazio e delle infrastrutture digitali. Le imprese di medie e grandi dimensioni che operano in questi settori rientrano nell'ambito di applicazione della NIS2.
La NIS2 effettua inoltre una distinzione tra soggetti "essenziali" e "importanti". Entrambi sono tenuti a rispettare le stesse misure di sicurezza; i soggetti "essenziali", tuttavia, sono sottoposti a una supervisione proattiva.
Tra le modifiche introdotte vi sono requisiti di sicurezza più stringenti, il rafforzamento attuativo, un maggior rigore nella segnalazione degli incidenti e una migliore cooperazione. La direttiva stabilisce inoltre regole per la gestione del rischio, la formazione sulla sicurezza informatica, la gestione delle crisi e la crittografia dei dati. Ha come obiettivo l'eliminazione della flessibilità che, nella versione originaria della NIS, aveva causato diverse vulnerabilità.
La segnalazione degli incidenti oggi deve rispettare obbligatoriamente tempistiche più stringenti, essendo richiesto un rapporto iniziale entro 24 ore dal riscontro di un problema di sicurezza informatica: ciò consente alle autorità di prendere provvedimenti più efficaci contro le potenziali minacce. La Direttiva NIS2 promuove inoltre la cooperazione e la comunicazione tra i Paesi membri e, per farlo, ha istituito una Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe). Ciò rende la sicurezza della rete uno sforzo collettivo.
Quali sono le implicazioni pratiche della Direttiva NIS2 per le aziende?
Avendo esteso il suo raggio d'azione, la Direttiva NIS2 si applica a una gamma più ampia di imprese; sono interessate soprattutto le aziende che forniscono servizi digitali o infrastrutture di importanza critica all'interno dell'UE.
È perciò fondamentale che questi soggetti siano consapevoli delle disposizioni previste dalla direttiva. Potrebbe essere necessario adottare misure più efficaci per migliorare la gestione del rischio e soddisfare gli obblighi in materia di segnalazione degli incidenti.
In base alle disposizioni della Direttiva NIS2, uno dei nodi centrali che le imprese devono affrontare è la sicurezza delle reti e dei sistemi informativi.
Per soddisfare i requisiti della direttiva, le aziende devono istituire un solido programma di gestione del rischio informatico. Questo programma dovrebbe includere misure tecniche e organizzative tra cui autenticazione, autorizzazione, crittografia e monitoraggio sistematico, per garantire la sicurezza di reti, sistemi informativi e API.
Ecco alcuni dei passaggi fondamentali per la creazione di un programma completo per la sicurezza di reti e sistemi informativi:
Eseguire una valutazione integrale dei rischi di sicurezza informatica. In questo modo è possibile identificare potenziali rischi riguardanti la rete, i sistemi informativi e le API.
Implementare opportune misure per gestire i rischi identificati. Tra le principali misure ricordiamo ad esempio l'autenticazione, l'autorizzazione, la crittografia e il monitoraggio sistematico delle reti e dei sistemi informativi.
Sviluppare solidi meccanismi di segnalazione degli incidenti. È necessario dotarsi di soluzioni tecniche in grado di rilevare e segnalare gli incidenti di sicurezza a carico dei propri sistemi informativi e di rete.
Garantire la conformità alle normative e agli standard in vigore. Oltre che alla Direttiva NIS2, le aziende devono garantire la propria conformità alle altre normative pertinenti, come il GDPR e altre leggi in vigore sulla protezione dei dati.
Promuovere la formazione e la consapevolezza. Infine, le aziende devono educare i propri dipendenti, collaboratori esterni e fornitori terzi in merito alle migliori prassi di sicurezza per le reti e i sistemi informativi. I temi trattati possono riguardare ad esempio le pratiche per la codifica e la distribuzione sicure, nonché le procedure di risposta in caso di incidenti.
Concentrandosi su questi aspetti, le aziende possono garantire di essere preparate per le disposizioni della Direttiva NIS2. Potranno proteggere adeguatamente i propri sistemi e reti da potenziali minacce informatiche; saranno inoltre avvantaggiate nel dimostrare la propria conformità alle autorità nazionali che si occupano di cybersicurezza, aumentando così la fiducia nei confronti dei loro servizi o infrastrutture essenziali.
Quali settori sono interessati dalla NIS2?
La Direttiva NIS2 estende il proprio raggio d'azione rispetto alla versione iniziale della NIS, abbracciando una gamma più ampia di settori.
Tra i soggetti interessati vi sono i fornitori di servizi essenziali in settori come:
Energia
Trasporti
Servizi bancari
Assistenza sanitaria
Servizi digitali, come marketplace online, piattaforme di social network e motori di ricerca
Ricerca
Gestione di servizi ICT
Spazio
Imprese che forniscono servizi di registrazione di nomi di dominio
Le aziende che operano in questi settori devono rispettare le disposizioni e i requisiti stabiliti dalla Direttiva NIS2.
Quando entra in vigore la NIS2?
Ai Paesi membri è stata concessa una finestra di 21 mesi, che terminerà il 17 ottobre 2024, per recepire nei rispettivi ordinamenti giuridici nazionali le misure stabilite nella Direttiva NIS2.
Le implicazioni sono chiare: le imprese devono prepararsi e adeguarsi al nuovo scenario della sicurezza di reti e informazioni.
Nuove direttive sulla cybersicurezza: la Direttiva CER
Oltre alla Direttiva NIS2, un'altra importante normativa è la Direttiva europea sulla resilienza dei soggetti critici (CER). La principale differenza tra NIS2 e CER consiste nel fatto che, mentre la Direttiva NIS2 è incentrata sulla sicurezza informatica, la Direttiva CER si focalizza invece sulla sicurezza fisica in caso di disastri naturali, inondazioni, incendi e altre calamità.
La Direttiva CER ha sostituito la Direttiva sulle infrastrutture critiche europee del 2008. Introduce regole più stringenti per migliorare la resistenza delle infrastrutture critiche nei confronti delle minacce, come ad esempio pericoli naturali, attacchi terroristici, minacce interne e sabotaggi.
La Direttiva CER è entrata in vigore il 16 gennaio 2023; gli stati membri hanno tempo fino al 17 ottobre 2024 per recepire le disposizioni di questa direttiva nei rispettivi ordinamenti giuridici nazionali. Entro tale data, ogni Paese membro è tenuto ad adottare e pubblicare le misure necessarie per ottemperare alla direttiva, che devono entrare in vigore dal 18 ottobre 2024.
In base a quanto previsto dalla Direttiva CER, gli stati membri devono sviluppare una strategia per migliorare la resilienza dei soggetti critici entro il 17 gennaio 2026. L'obiettivo di questa strategia è rafforzare le capacità dei soggetti critici di prepararsi, affrontare, proteggersi, rispondere e riprendersi da incidenti che potrebbero interrompere la fornitura di servizi essenziali.
La Direttiva CER si applica a undici settori: energia, trasporti, banche, infrastrutture del mercato finanziario, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e alimenti. I Paesi membri sono tenuti ad adottare una strategia a livello nazionale e a condurre periodiche valutazioni del rischio.
In conclusione
La Direttiva NIS2 sta per diventare un quadro di riferimento fondamentale per la sicurezza informatica nell'UE e le aziende che rientrano nel suo ambito di applicazione sono tenute ad adottare rigorose misure tecniche, operative e organizzative.
Il termine ultimo per il recepimento della direttiva a livello nazionale è ormai incombente: le aziende interessate devono iniziare a prepararsi per soddisfare i requisiti della NIS2.
Nell'ambito della conformità alla Direttiva NIS2, NordPass offre un prezioso aiuto in qualità di gestore di password: le sue funzionalità sono appositamente progettate per migliorare la sicurezza delle password delle aziende.
Una funzionalità di altissimo livello è la cassaforte delle password protetta da crittografia, che conserva in totale sicurezza tutte le password e le informazioni legate all'azienda, crittografate con il robusto algoritmo XChaCha20. L'architettura a conoscenza zero di NordPass garantisce che solo gli utenti autorizzati possano accedere ai dati.
NordPass offre anche un generatore di password. Questo strumento consente di creare con facilità password complesse e univoche, in grado di resistere agli attacchi di forza bruta così come ai tentativi di indovinarle. La funzionalità di verifica della salute delle password aiuta a capire quanto siano effettivamente robuste, identificando eventuali password vulnerabili o usate più volte che potrebbero mettere a rischio gli account.
NordPass è inoltre provvisto di un rilevatore di violazioni di dati. Questo strumento permette di controllare automaticamente se domini o e-mail aziendali sono stati compromessi nell'ambito di violazioni di dati: così facendo, è possibile prendere provvedimenti tempestivi per mitigare i potenziali rischi e proteggere gli account. La funzionalità della politica sulle password consente di istituire solidi criteri per le password a livello amministrativo.
Il registro delle attività di NordPass offre trasparenza e chiarezza in merito alle responsabilità di ogni utente, aiutando a mantenere il controllo totale degli accessi su scala aziendale. L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza, riducendo il rischio di accessi non autorizzati.
Tutte queste funzionalità aiutano le imprese a migliorare la sicurezza delle password e la conformità alle disposizioni della Direttiva NIS2, contribuendo a creare un ambiente digitale più sicuro e resiliente.