Riuscire a destreggiarsi nel panorama in costante evoluzione della sicurezza di reti e informazioni è, al giorno d'oggi, una questione cruciale. Man mano che la tecnologia diventa più complessa, emerge con sempre maggiore evidenza la necessità di politiche e regolamentazioni complete che tutelino le infrastrutture e i servizi digitali di importanza critica. Una di queste iniziative, destinata a cambiare drasticamente lo scenario digitale, è la Direttiva NIS 2.
Cos'è la Direttiva NIS 2 sulla sicurezza informatica?
La NIS 2, ovvero la Direttiva sulla sicurezza delle reti e dei sistemi informativi 2, è una normativa sulla cybersicurezza in vigore a livello europeo. La sua implementazione rappresenta un concreto passo in avanti per incrementare il livello generale di sicurezza informatica all'interno dell'Unione europea. La prima versione della normativa risale al 2016, mentre la Direttiva NIS 2 è entrata in vigore nel 2023 con l'obiettivo di modernizzare il quadro giuridico esistente.
Questo recente aggiornamento nasce dall'esigenza di rispondere alla crescente digitalizzazione e all'evoluzione continua delle minacce informatiche.
Il raggio d'azione della Direttiva NIS 2 è più ampio rispetto a quello della versione precedente. Estende le normative sulla sicurezza informatica a nuovi settori e soggetti. È stata messa a punto per incrementare la resilienza e la capacità di risposta agli incidenti da parte di enti pubblici e privati. Tale obiettivo si concretizza promuovendo la preparazione dei Paesi membri e favorendo la reciproca collaborazione.
Ad esempio, la direttiva obbliga ogni stato membro dell'UE a dotarsi di soluzioni opportune. Ciò prevede, tra le altre cose, la presenza di un Computer Security Incident Response Team (CSIRT) e di un'autorità nazionale competente per la rete e i sistemi informativi (NIS).
Quali sono gli obiettivi principali della NIS 2?
L'obiettivo primario della Direttiva NIS 2 consiste nella promozione di una robusta sicurezza informatica in tutta l'UE, che include la tutela dei settori vitali dalle minacce informatiche e l'aumento della fiducia nei servizi digitali.
Ciò viene fatto:
Stabilendo un livello standardizzato di protezione dalle minacce informatiche in tutti i Paesi membri dell'UE.
Identificando e regolamentando in modo chiaro i settori interessati dalla direttiva.
Applicando rigorose misure di sicurezza e procedure per la segnalazione degli incidenti.
Migliorando la cooperazione e il coordinamento tra i Paesi membri per la gestione delle minacce informatiche.
L'obiettivo della NIS 2 consiste nello stabilire un livello standardizzato di protezione in tutti i Paesi membri dell'UE. Identifica in modo chiaro i settori interessati e i requisiti di sicurezza, oltre a unificare gli obblighi di segnalazione. Introduce inoltre misure attuative e sanzioni. Queste iniziative hanno l'obiettivo di proteggere le infrastrutture critiche e i cittadini dell'UE dagli attacchi informatici.
Un importante miglioramento della NIS 2 rispetto alla versione precedente è rappresentato dallo specifico campo di applicazione della direttiva. Fra i settori interessati vi sono trasporti, energia, banche, sanità , forniture idriche e infrastrutture digitali. Le imprese di medie e grandi dimensioni che operano in questi settori rientrano nel campo di applicazione della NIS 2.
La NIS 2 effettua una distinzione tra soggetti "essenziali" e "importanti". Entrambi sono tenuti a rispettare le stesse misure di sicurezza. I soggetti "essenziali", tuttavia, sono sottoposti a una supervisione proattiva.
Tra le modifiche introdotte vi sono requisiti di sicurezza più stringenti, il rafforzamento attuativo, un maggior rigore nella segnalazione degli incidenti e una migliore cooperazione. La direttiva stabilisce regole per la gestione del rischio, la formazione sulla cybersicurezza, la gestione delle crisi e la crittografia dei dati. Ha come obiettivo l'eliminazione della flessibilità che, nella versione originaria della NIS, aveva causato diverse vulnerabilità .
La segnalazione degli incidenti è oggi obbligatoria ai sensi della Direttiva NIS 2, che richiede un rapporto iniziale entro 24 ore dal riscontro di un problema di sicurezza informatica. Ciò consente alle autorità di prendere provvedimenti più efficaci contro le potenziali minacce. La Direttiva NIS 2 promuove inoltre la cooperazione e la comunicazione tra i Paesi membri. Per farlo, ha istituito una Rete europea di organizzazioni di collegamento per le crisi informatiche (CyCLONe). Ciò rende la protezione dei dati uno sforzo collettivo.
Quali sono le conseguenze della Direttiva NIS 2 per le aziende?
Avendo un ambito di applicazione più esteso, la Direttiva NIS 2 si applica a un ventaglio più ampio di imprese. Sono interessate soprattutto le aziende che forniscono servizi digitali o infrastrutture di importanza critica all'interno dell'UE.
È perciò fondamentale che questi soggetti siano perfettamente al corrente delle disposizioni previste dalla direttiva. Potrebbe essere necessario adottare misure più efficaci per migliorare la gestione del rischio e soddisfare gli obblighi in materia di segnalazione degli incidenti. Le aziende sono inoltre tenute a cooperare con le autorità nazionali che si occupano di sicurezza informatica e a rispettare la direttiva.
Uno dei nodi centrali che le imprese devono affrontare, in base a quanto previsto dalla Direttiva NIS 2, è la sicurezza delle reti e dei sistemi informativi. Ciò include le interfacce di programmazione delle applicazioni (API).
Per rispettare le disposizioni della direttiva, le aziende devono istituire un robusto programma di sicurezza delle API. Questo programma deve essere comprensivo di misure tecniche e organizzative. Tra le misure previste vi sono l'autenticazione, l'autorizzazione, la crittografia e il monitoraggio sistematico per la sicurezza delle API.
Ecco alcuni dei passaggi fondamentali per la creazione di un programma di sicurezza completo delle API:
Eseguire una valutazione integrale dei rischi di sicurezza informatica. Grazie a questa valutazione è possibile identificare possibili rischi riguardanti la rete, i sistemi informativi e le API.
Implementare opportune misure per gestire i rischi identificati. Tra le principali misure ricordiamo ad esempio l'autenticazione, l'autorizzazione, la crittografia e il monitoraggio sistematico delle API.
Sviluppare solidi meccanismi di segnalazione degli incidenti. È necessario mettere a punto dei sistemi in grado di rilevare e segnalare gli incidenti di sicurezza relativi alle API.
Garantire la conformità alle normative e agli standard in vigore. Oltre che alla Direttiva NIS 2, le aziende devono garantire la propria conformità alle altre normative pertinenti, come il GDPR e altre leggi in vigore sulla protezione dei dati.
Formazione e sensibilizzazione. Infine, le aziende devono educare i propri dipendenti, appaltatori e fornitori terzi in merito alle migliori prassi di sicurezza per le API. Le tematiche trattate possono riguardare ad esempio le pratiche per la codifica e la distribuzione sicure, nonché le procedure di risposta in caso di incidenti.
Concentrandosi su questi aspetti, le aziende possono garantire di essere preparate per la Direttiva NIS 2. Potranno proteggere adeguatamente i propri sistemi e reti da potenziali minacce informatiche. Saranno inoltre avvantaggiate nel dimostrare la propria conformità alle autorità nazionali che si occupano di cybersicurezza, aumentando così la fiducia nei confronti dei loro servizi digitali o infrastrutture essenziali.
Quali settori sono interessati dalla NIS 2?
La Direttiva NIS 2 amplia il proprio raggio d'azione rispetto alla versione iniziale della NIS, estendendosi a una gamma più ampia di settori.
Tra i soggetti interessati vi sono i fornitori di servizi essenziali in settori come:
Energia
Trasporti
Servizi bancari
Settore sanitario
Fornitura di servizi digitali, come siti di compravendita online, servizi di cloud computing e motori di ricerca
Le imprese che operano in questi settori devono rispettare le disposizioni e i requisiti stabiliti dalla Direttiva NIS 2.
Quando entra in vigore la NIS 2?
Ai Paesi membri è stata concessa una finestra di 21 mesi, che terminerà il 17 ottobre 2024, per recepire nei rispettivi ordinamenti giuridici nazionali le misure stabilite nella Direttiva NIS 2.
Le implicazioni sono chiare: Le aziende devono prepararsi e adeguarsi al nuovo scenario della sicurezza di reti e informazioni.
Nuove direttive sulla cybersicurezza: la Direttiva CER
Oltre alla Direttiva NIS 2, un'altra iniziativa degna di nota che si profila all'orizzonte è la Direttiva europea sulla resilienza dei soggetti critici (CER). La Direttiva CER ha come obiettivo il rafforzamento della resilienza dei soggetti critici in settori come l'energia, i trasporti, le risorse idriche, la salute e le infrastrutture digitali.
La Direttiva CER abroga la Direttiva sulle infrastrutture critiche europee del 2008. Introduce regole più stringenti per migliorare la resistenza delle infrastrutture critiche nei confronti delle minacce, come ad esempio pericoli naturali, attacchi terroristici, minacce interne e sabotaggi.
La Direttiva CER è entrata in vigore il 16 gennaio 2023. I Paesi membri hanno tempo fino al 17 ottobre 2024 per recepire le disposizioni della Direttiva CER nei rispettivi ordinamenti giuridici nazionali. Entro tale data, ogni Paese membro è tenuto ad adottare e pubblicare le misure necessarie per ottemperare alla direttiva. Queste misure devono entrare in vigore dal 18 ottobre 2024.
In base a quanto previsto dalla Direttiva CER, i Paesi membri devono sviluppare una strategia per migliorare la resilienza dei soggetti critici entro il 17 gennaio 2026. L'obiettivo di questa strategia è rafforzare le capacità dei soggetti critici di prepararsi, affrontare, proteggersi, reagire e riprendersi da incidenti che potrebbero interrompere la fornitura di servizi essenziali.
La Direttiva CER si applica a undici settori: energia, trasporti, banche, infrastrutture del mercato finanziario, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e alimenti. I Paesi membri sono tenuti ad adottare una strategia a livello nazionale e a condurre periodiche valutazioni del rischio.
In conclusione
La Direttiva NIS 2 sta per diventare un quadro di riferimento fondamentale per la sicurezza informatica nell'UE. Le aziende che rientrano nel suo ambito di applicazione sono tenute ad adottare rigorose misure tecniche.
Il termine ultimo per il recepimento della direttiva a livello nazionale è ormai incombente. Le aziende interessate devono iniziare a prepararsi, al fine di rispettare le disposizioni della NIS 2.
Per quanto concerne la conformità alla Direttiva NIS 2, NordPass offre un prezioso aiuto in qualità di gestore di password. Le sue funzionalità sono appositamente progettate per migliorare la sicurezza delle password delle aziende.
Una funzionalità di primo piano è il vault delle password crittografato. Al suo interno sono conservate in totale sicurezza tutte le password e le informazioni legate all'azienda, che vengono crittografate con l'algoritmo sicuro XChaCha20. L'architettura a conoscenza zero di NordPass garantisce che solo gli utenti autorizzati possano accedere ai dati.
NordPass fornisce anche un generatore di password. Questo strumento consente di creare con facilità password forti e univoche, in grado di resistere sia ai tentativi di chi cerca di indovinarle che agli attacchi di forza bruta. La funzionalità di verifica della sicurezza delle password aiuta a capire quanto siano realmente robuste le proprie password. Identifica eventuali password vulnerabili o usate più volte, che potrebbero mettere a rischio i relativi account.
NordPass offre anche un rilevatore delle violazioni di dati. Permette di controllare automaticamente se eventuali domini o e-mail aziendali siano stati compromessi nell'ambito di violazioni di dati. Questo prezioso strumento consente di prendere provvedimenti tempestivi per mitigare i potenziali rischi e proteggere gli account. La funzionalità dedicata alla politica delle password consente di istituire solidi criteri per le password a livello amministrativo.
L'opzione del registro delle attività di NordPass offre trasparenza e chiarezza in merito alle responsabilità individuali. Permette quindi di mantenere il pieno controllo degli accessi su scala aziendale. L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza, riducendo il rischio di accessi non autorizzati.
Tutte queste funzionalità aiutano le aziende a migliorare la sicurezza delle password e la conformità alle disposizioni della Direttiva NIS 2. Così facendo, è possibile creare un ambiente digitale più sicuro e resiliente.