Direttiva NIS2: nuovo standard per la sicurezza informatica in Europa

La sicurezza informatica è una priorità fondamentale per aziende, istituzioni e privati cittadini. I rischi associati agli attacchi informatici, che spaziano dalla sottrazione di dati sensibili all’interruzione di servizi essenziali, richiedono misure di prevenzione e protezione sempre più solide. A tal proposito, l’Unione Europea ha introdotto la Direttiva NIS2 (Direttiva (UE) 2022/2555) che ha come obiettivo quello di rafforzare la sicurezza informatica e la resilienza delle infrastrutture critiche in Europa. Essa sostituisce la precedente Direttiva NIS. Ma cerchiamo di capire meglio in cosa consiste e quali sono le differenze tra le due prendendo come fonte principale Ehiweb, un affermato provider specializzato in servizi internet per casa e lavoro come linee FIBRA, VoIP, SIM Mobile, SMS, Fax Online e servizi web.

Cos’è la Direttiva NIS2?

La Direttiva NIS2 (Network and Information Security) è, ovviamente, un aggiornamento della precedente normativa NIS, quindi punta a garantire un livello elevato e uniforme di sicurezza informatica per tutti gli Stati membri dell’UE. Con questo nuovo regolamento, precisamente entrato in vigore il 16 gennaio 2023, sono state introdotte delle norme più rigorose e restrittive volte proteggere le reti ed i sistemi informativi dei settori più critici. Le principali novità evidenziate da Ehiweb sono quattro. Iniziamo con l’ampliamento del campo di applicazione. Rispetto alla NIS originale, la NIS2 include un numero maggiore di settori e imprese essenziali per la sicurezza economica e sociale dell’Unione Europea. Esse hanno ora obblighi più stringenti, devono adottare misure di gestione del rischio informatico e dimostrare la loro conformità alle autorità competenti. La terza novità riguarda il rafforzamento della cooperazione tra Stati membri, viene quindi incentivata la collaborazione tra le autorità di sicurezza informatica degli Stati UE per la gestione degli incidenti e la condivisione delle informazioni. Ovviamente, in caso di mancato rispetto della normativa, le aziende rischiano sanzioni più severe e responsabilità legali.

Settori coinvolti nella Direttiva NIS2

Come anticipato, la NIS2 amplia significativamente il numero di settori coinvolti, includendo non solo quelli considerati “essenziali” (Essential Entities), ma anche quelli “importanti” (Important Entities) o critici. Tra i principali settori regolamentati troviamo:

Energia (fornitori di elettricità, gas, petrolio e centrali nucleari)
Trasporti (compagnie aeree, ferroviarie, marittime e gestori delle infrastrutture stradali)
Sanità (ospedali, case farmaceutiche e laboratori di ricerca)
Bancario e finanziario (banche, assicurazioni e fornitori di servizi finanziari)
Infrastrutture digitali (fornitori di cloud computing, data center, provider di servizi internet come Ehiweb)
Pubblica amministrazione (enti governativi, ministeri e autorità locali)
Gestione delle acque e rifiuti

Oltre a questi troviamo anche il settore aerospaziale, la fabbricazione, produzione e distribuzione di sostanze chimici e alimenti, i servizi di ricerca, servizi postati e, ovviamente, tutta la Pubblica Amministrazione.

Requisiti e obblighi per le aziende

Per adeguarsi alla Direttiva NIS2, le aziende devono implementare diverse misure di sicurezza informatica, tra cui la gestione del rischio e sicurezza delle informazioni. Le organizzazioni coinvolte devono adottare strategie di mitigazione del rischio che comprendano una protezione attiva contro malware e ransomware, l’utilizzo di sistemi di autenticazione avanzati, la continua formazione dei dipendenti su tali tematiche e la protezione della supply chain. Le aziende dovranno anche monitorare e segnalare gli incidenti, ossia dotarsi di processi atti al controllo, alla identificazione e alla risposta rapida contro gli attacchi informatici. Essi devono essere segnalati entro le 24 ore successive alle autorità competenti, poi dovrà essere emesso un rapporto dettagliato entro le 72 ore. Molto importante anche la resilienza operativa e continuità del servizio. Le organizzazioni devono garantire la continuità operativa attraverso dei piani di disaster recovery, sfruttando backup periodici e sicuri oltre che con soluzioni di ripristino rapido. Chi deve assicurarsi che tutto venga fatto secondo le nuove norme? Ovviamente la dirigenza aziendale che ha l’obbligo di supervisionare l’implementazione delle misure di sicurezza e potrà essere ritenuta direttamente responsabile in caso di violazioni.

NIS2 e i disordini geopolitici

Le attuali tensioni geopolitiche che stanno riguardando i principali fulcri commerciali attuali, hanno reso ancora più evidente la necessità di proteggere le infrastrutture critiche dagli attacchi informatici. Come evidenziato anche da Ehiweb, i conflitti internazionali e conseguenti minacce derivanti dal cybercrimine sponsorizzato dagli stati, stanno ponendo i governi e le aziende davanti a sfide ben differenti rispetto a quelle protagoniste dei decenni passati.

La guerra digitale è ormai una realtà, un elemento che sta alla base dei conflitti moderni, come anche lo spionaggio industriale ed il conseguente sabotaggio. Ciò obbliga le aziende ad innalzare la protezione verso i dati sensibili custoditi e verso le loro operazioni quotidiane. Non è da trascurare anche la propaganda digitale basata sulla disinformazione. La divulgazione di notizie false, infatti, può far scaturire problematiche davvero serie e pericolose.

In tutto quello appena scritto, si reputa che la Direttiva NIS2 rappresenti una misura cruciale e necessaria per aumentare la resilienza delle infrastrutture digitali e proteggere l’economia europea dalle minacce cyber.

A tal proposito, abbiamo intervistato un responsabile di Ehiweb e gli abbiamo formulato due importanti quesiti:

Quali misure specifiche ha adottato Ehiweb per conformarsi alla Direttiva NIS2 e garantire la sicurezza delle proprie infrastrutture digitali?

La normativa prevede un cronoprogramma per la sua applicazione e adozione, al momento è stato superato il primo step del censimento sulla piattaforma ACN. Sono state emesse delle prime linee guida e siamo in attesa che ACN ci confermi l’ambito su cui dobbiamo operare.
Da quel momento seguiremo il cronoprogramma di adozione in base alle linee guida che ci sono e che emergeranno nel tempo.
Tutti i dipartimenti fondamentali di Ehiweb stanno collaborando in sinergia: direzionale, regolatorio, DPO per eseguire una analisi e verificare le misure in campo e migliorarle ove necessario quando previsto dalla norma.

In che modo Ehiweb valuta l’importanza della sicurezza informatica nel contesto degli attuali disordini geopolitici e quali strategie ha implementato per affrontare queste nuove sfide?

Internet è da sempre sotto attacco, noi viviamo in questo mondo e siamo abituati a vivere in uno stato di perenne allerta. Gli attuali disordini geopolitici non fanno altro che confermare il trend che c’è sempre stato, magari in questo periodo gli eventi sono più focalizzati verso certi target ma il modus operandi dei threat actor è sempre il medesimo. Serve una cultura e una gestione operativa continua, finalizzata a mitigare il rischio e gestire gli eventi in maniera tempestiva e efficace.

Come avrete capito, la Direttiva NIS2 rappresenta quindi un passo significativo verso un’Europa più sicura e resiliente dal punto di vista cibernetico. Tuttavia, la sua efficacia dipenderà molto dalla corretta implementazione da parte delle aziende e dalla cooperazione tra gli Stati membri. Con l’aumento delle minacce informatiche, la sicurezza digitale diventa una responsabilità condivisa che richiede un impegno congiunto da parte di istituzioni, imprese e cittadini per affrontare le sfide del futuro. Ehiweb è molto attenta e sensibile su questo argomento e lavora attivamente per far si che la cybersecurity sia sempre ai massimi livelli, per loro e per tutti i loro clienti.