L’avvento dell’emergenza Covid-19 ed il naturale processo di accelerazione della trasformazione digitale a cui abbiamo assistito negli ultimi anni hanno spinto la Commissione Europea ad intraprendere i lavori per il superamento della direttiva NIS 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi“. Una direttiva di fondamentale importanza, in passato, per aver portato al centro della ribalta internazionale il tema della sicurezza informatica, ma che oggi, alla luce dei rapidi e notevoli cambiamenti della nostra vita quotidiana, risulta per molti aspetti incompleta.
Indice degli Argomenti
NIS2: gli adeguamenti rispetto alla prima versione e le finalità
Secondo le prime anticipazioni, con l’avvento della NIS2, la Commissione Europea punterà, in primo luogo, ad adeguare la disciplina concernente la Cyber Security in funzione soprattutto del notevole aumento del traffico sulla rete – e quindi delle minacce informatiche – dovuto alla diffusione delle attività lavorative in smart working.
Un’ulteriore finalità del nuovo documento, inoltre, sará quella di allargare i settori di competenza della direttiva, toccando un numero e una varietà sempre più ampia di organizzazioni.
In linea generale, dunque, mantenendo un segno di continuità con lo strumento di prima generazione, la NIS2 dovrebbe occuparsi delle seguenti tematiche:
- allargamento dei settori di applicazione delle norme in materia di sicurezza dei dati
- potenziamento degli organismi europei e nazionali di supervisione e sviluppo di un sistema sinergico di interrelazione fra essi
- revisione dei requisiti minimi di sicurezza e dei sistemi di notifica obbligatoria in caso di incidenti informatici
- allargamento dei concetti digestione del rischio e di analisi delle vulnerabilità all’intero sistema di supply chain con conseguente coinvgimento di un numero maggiore di stakeholder coinvolti
- superare la disomogeneità applicativa della NIS1 tra i vari paesi membri dell’Unione Europea
NIS2: gli obiettivi del nuovo documento
Uno degli aspetti principali su cui si concentrerà il nuovo documento, sarà la formazione di una vera e propria rete europea di organizzazioni (EU-CyCLONe) con lo scopo di condividere le informazioni sugli attacchi informatici e favorire un’azione di intelligence impostata sulla prevenzione e sulla collaborazione su larga scala.
NIS2: maggiore responsabilità per le PMI
Tra gli obiettivi della nuova direttiva che sta prendendo forma, troveremo anche l’innalzamento del livello di responsabilità delle PMI in materia di cyber security. In un sistema interconnesso, come quello informatico attuale, del resto, ogni singolo elemento della catena rischia di mettere a repentaglio la sicurezza altrui (oltre che la propria) qualora non adotti procedure corrette e non garantisca un alto livello di affidabilità del suo modus operandi nella rete.
Nel caso, dunque, di un eventuale incidente informatico, non sarà più considerata resonsabile soltanto l’azienda titolare del servizio, ma anche gli attori terzi che intervengono lungo la supply chain.
In quest’ottica, sulla base di quanto già previsto nella prima formulazione, la nuova direttiva comunitaria sulla sicurezza dei dati dovrebbe coinvolgere un numero più ampio di settori. In precedenza, infatti, erano stati individuati solo i seguenti campi di pertinenza: provider di servizi digitali, finanza, salute, reti idriche, energia, gas e trasporti. Con il nuovo documento, invece, dovrebbero rientrare anche altre aree di competenza come la Pubblica Amministrazione, le reti e i servizi per la comunicazione elettronica pubblica, i servizi postali, l’aerospace, i prodotti medicali, i prodotti chimici, i prodotti farmaceutici e i dispositivi medicali, i rifiuti, la filiera agro-alimentare, i data center e i social network.
Le aziende essenziali e le attività da svolgere in tema di sicurezza informatica
Al di là del settore di competenza, la Direttiva NIS2 prevederà una distinzione tra aziende essenziali e aziende importanti (quella prevista nella direttiva NIS1 riguardava gli operatori di servizi essenziali ed i fornitori di servizi digitali).
Per quel che concerne le aziende essenziali, queste dovranno garantire una serie di requisiti minimi in materia di sicurezza informatica ed in particolare dovranno:
- Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.
- Gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response
- Dotarsi di un piano di continuità di business e gestione delle crisi
- Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate
- Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
L’obiettivo centrale della NIS2, insomma, sarà quello di affermare il concetto di responsabilità condivisa rispetto alla gestione dei rischi informatici e dell’adozione delle corrette best pratices per la prevenzione e la risposta ad eventuali attacchi.