Approvata la direttiva NIS2: l’Europa rafforza la cyber security
da Ilaria Mugnai | Nov 22, 2022 | Sicurezza Informatica
Il Parlamento UE approva la Direttiva NIs2: nuovi obblighi in materia di sicurezza dei dati.
Il Parlamento UE approva la Direttiva NIs2: nuovi obblighi in materia di sicurezza dei dati. Grande attenzione su risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazioni dei prodotti per la cybersecurity.
In origine fu la NIS1: la Direttiva che plasmò il volto della cyber security europea
Approvata nel 2016, la Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.
Per approfondire > LA DIRETTIVA NIS – Network and Information Security
In Italia è stata recepita con ben 4 decreti, volti a costituire e dare corpo al piano di cyber security nazionale.
Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano
NIS 2: perchè?
La direttiva NIS 2 (Network and Information System Security) è stata approvata dal Parlamento europeo il 10 Novembre. Ricalca, negli scopi, quanto già abbozzato con la NIS1, ovvero la costruzione di una norma comune per la difesa dell’Unione Europea dalle cyber minacce. Quel che però si propone di fare è stabilire,a partire da una realtà già mutata rispetto a quella che fece da contesto alla NIS1, un percorso e degli obiettivi di lungo periodo in continuità con i principi della precedente direttiva.
D’altronde c’è stata una pandemia mondiale di mezzo, che ha portato a profondi cambiamenti nel mondo del lavoro e non solo. Il Covid19 ha prodotto, tra le altre cose, un considerevole aumento del traffico nella rete ma anche delle superifici di attacco (basti considerare la forza lavoro in smart working e in telelavoro). Insomma, la prima direttiva andava necessariamente rivista, sia per ampliare i campi di applicazione sia per preparare le aziende ad un panorama di cyber minacce profondamente evoluto in pochissimo tempo.
Non solo: per quanto la NIS1 abbia fatto fare grandi passi avanti, in fatto di cyber-resilienza, la sua applicazione è stata piuttoso disomogenea, anche perchè era previsto un ampio grado di discrezionalità agli Stati Membri. Una riarmonizzazione quindi era necessaria.
NIS 2: quali novità?
Il testo della Direttiva NIS2 è molto complesso, rendiamo in breve i punti più salienti. Ecco le novità:
gli organi le attività di supervisione comunitari sono potenziati: l’obiettivo è migliorare la collaborazione nella risposta ai cyber incidenti, mettendo in condivisione know how ed esperienze;
i requisiti minimi di sicurezza e le procedure di notifica obbligatoria degli incidenti informatici sono stati razionalizzati;
i conctetti di “gestione del rischio” e “valutazione delle vulnerabilità” sono stati estesi. Il legislatore europeo non ha potuto non prendere in considerazione i casi di attacchi supply chain ed ha deciso di estendere questi concetti a tutta la suppky chain prevedendo il coinvolgimento di tutti o della maggior parte degli stakeholder coinvolti;
sono stati rideterminati e sono stati ampliati gli ambiti di applicazione della normativa in tema di protezione e sicurezza dei dati.
I punti centrali sono comunque l’allargamento del perimetro di azione della direttiva precedente e l’individuazione di due categorie di settori di applicazione: quelli altamente critici e i settori critici. Sono quindi sottoposti alla NIS2 in quanto settori altamente critici quelli dell’energia, delle banche e dei mercati finanziari, delle infrastrutture digitali, della sanità, la Pubblica Amministrazione e spazio ecc.. Sono invece settori critici quello dei servizi postali, la gestione dei rifiuti, la produzione e distribuzione alimentare, i provider di servizi digitali, la ricerca ecc… Per far questo sono stati anche armonizzati i parametri per individuare i soggetti sottoposti agli obblighi della NIS2.
Cosa comporta la NIS2 per gli Stati Membri?
La norma prevede che ogni stato membro adotti una strategia nazionale di cyber security entro tre mesi dall’approvazione della normativa che preveda
obiettivi e priorità della strategia cyber dello Stato, soprattutto in relazione ai settori critici ed altamente critici,
una governance chiara che puntualizzi ruoli e responsabilità dei portatori di interesse a livello nazionale;
una strategia di rafforzamento del coordinamento tra le autorità competenti nazionali e quelle competenti a norma della direttiva europea;
un piano di informazione, sensibilizzazione e misure pratiche per aumentare il livello generale di consapevolezza dei cittadini in fatto di cyber security.
L’ENISA e la Commissione saranno il punto di collegamento con il punto di contatto nazionale: quest’ultimo sarà designato dalle autorità competenti e i responsabili della cybersecurity nazionale.
In dettaglio: i requisiti minimi previsti dalla NIS2
La NIS2, stabiliti i settori di applicazione, dettaglia i requisiti minimi che i soggetti sottoposti alla normativa dovranno garantire:
analisi e valutazione dei rischi dei sistemi informativi (penetration testing, vulnerability assessment ecc…);
prevedere un piano di risposta per gestire gli attacchi e garantire un’attività di monitoraggio continuativa. L’Incident Response Plan diviene nei fatti obbligatorio;
adottare un piano di Business Continuity;
testare regolarmente l’infrastruttura IT e l’efficacia delle misure di mitigazione dei rischi adottate in azienda / ente;
garantire la sicurezza della supply chain: occorrerà verificare che i fornitori dispngano di adeguati requisiti in termini di sicurezza.