La Direttiva NIS2: cosa devono sapere le organizzazioni in questo momento

Un focus sulla Direttiva NIS2

La direttiva NIS2 aumenta i requisiti minimi per la sicurezza informatica delle infrastrutture critiche e interessa un numero di organizzazioni significativamente maggiore rispetto alla norma precedente. Quali cambiamenti sono in arrivo? Cosa fare ora per essere ben preparati? Di seguito troverai le risposte alle domande più importanti. 

Che cos'è la Direttiva NIS2?

La direttiva NIS2 (Network and Information Systems 2) è una norma che fissa un obiettivo che i Paesi dell'UE devono raggiungere e definisce i requisiti minimi per la cybersecurity delle infrastrutture critiche. Con la sua attuazione, la Commissione Europea intende migliorare il livello di cybersecurity nell'Unione Europea e rafforzare la cooperazione internazionale nella lotta contro gli attacchi informatici. La Direttiva NIS2 è in vigore dal 16 gennaio 2023 e gli Stati membri devono integrarla nella loro legislazione nazionale entro il 17 ottobre 2024. La nuova direttiva riguarda circa 15.000 organizzazioni in Italia e introduce nuovi obblighi.

nis2

I cambiamenti più importanti introdotti dalla Direttiva NIS2 in sintesi

La Direttiva NIS2 rivede e sostituisce la Direttiva NIS del 2016. I cambiamenti più importanti sono i seguenti:

  • Sono interessate un numero significativamente maggiore di organizzazioni. Il numero di settori è stato portato a 18. Sono stati aggiunti sette nuovi settori importanti e le soglie sono state ridotte.
  • Le organizzazioni devono essere in grado di valutare il rischio di un cyberattack lungo tutta la loro supply chain.
  • La gestione del rischio informatico è diventata obbligatoria.
  • Le organizzazioni devono fornire formazione ai dipendenti e completare gli audit sulla cybersecurity.
  • L'alta dirigenza è personalmente responsabile di qualsiasi danno causato dal mancato rispetto degli obblighi di gestione del rischio informatico.
  • In caso di violazione, possono essere comminate sanzioni severe.
  • Devono essere rispettati rigorosi requisiti di segnalazione alle Autorità di Vigilanza.
  • Gli Stati membri devono designare un CSIRT (Computer Security Incident Response Team) nazionale. In Italia, questo ruolo sarà probabilmente assunto dall'Agenzia per la Cybersecurity Nazionale ACN. I CSIRT coopereranno in tutta l'UE e riferiranno all'autorità di coordinamento della cybersecurity ENISA (European Union Agency for Cybersecurity).

La Direttiva NIS2 mi riguarda?

Le organizzazioni devono capire se rientrano nell'ambito di applicazione della Direttiva NIS2 e, se necessario, avviare le procedure per gli adeguamenti. I criteri sono i seguenti:

Eri già un'infrastruttura critica expand_more

Eri già un'infrastruttura critica

Pertanto sei automaticamente interessato dalla Direttiva NIS2.

Operi in uno dei 18 settori expand_more

Operi in uno dei 18 settori

Inoltre, impieghi almeno 50 dipendenti e sviluppi un fatturato annuo di almeno 10 milioni di euro.

Settori essenziali vs settori importanti expand_more

Settori essenziali vs settori importanti

La Direttiva NIS2 distingue tra settori essenziali e settori importanti, nonché tra settori di medie e grandi dimensioni. Questa categorizzazione influisce sul livello delle sanzioni e della vigilanza da parte delle autorità.

Dimensione dell'azienda expand_more

Dimensione dell'azienda

All'interno dei settori si applicano le seguenti soglie:

  • Medie imprese = da 50 a 249 dipendenti, fatturato inferiore a 50 milioni di euro e/o bilancio inferiore a 43 milioni di euro.
  • Grandi aziende = almeno 250 dipendenti, fatturato di almeno 50 milioni di euro e/o bilancio di almeno 43 milioni di euro.
Casi particolari expand_more

Casi particolari

Diversi casi speciali di soggetti inclusi nella categoria dei settori essenziali sono interessati dalla Direttiva NIS2 indipendentemente dalle loro dimensioni, come i fornitori di servizi fiduciari qualificati, servizi digitali e di networking pubblici.

Settori essenziali e settori importanti

La Direttiva NIS2 identifica i seguenti 18 settori

Settori essenziali

  • Energia (elettricità, petrolio, acqua, idrogeno)
  • Salute (ospedali, laboratori, ricerca e sviluppo, prodotti farmaceutici, produttori di dispositivi medici)
  • Trasporti (aerei, ferroviari, di navigazione, su strada)
  • Banche e finanza
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali (IXP, fornitori di servizi, datacenter, CDN, TSP, fornitori di sistemi di comunicazioni elettroniche)
  • Gestione dei servizi ICT in modalità B2B
  • Spazio
  • Pubblica amministrazione (governo centrale, governi regionali)

Settori importanti

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Prodotti chimici
  • Prodotti alimentari
  • Industrie di trasformazione/produzione
  • Servizi digitali (mercati online, motori di ricerca, social network)
  • Ricerca
immagine

Sei un fornitore di un settore essenziale o importante?

Allora anche tu sei indirettamente interessato dalla Direttiva NIS2, perché la direttiva impone ai fornitori di infrastrutture critiche e ai settori importanti ed essenziali inclusi nei 18 settori individuati di considerare la cybersecurity nelle loro catene di fornitura. Chi vuole continuare a ricevere ordini deve partire dal presupposto che in futuro le discussioni sulla cybersecurity diventeranno la norma nelle trattative contrattuali. 

Requisiti della Direttiva NIS2 per CEO/dirigenti di alto livello

La Direttiva NIS2 pone l'accento sulla gestione del rischio informatico come parte integrante della gestione del rischio aziendale e per una buona ragione, dato che i cyberattack sono il rischio maggiore che le imprese devono affrontare oggi. Garantire la continuità operativa è particolarmente importante nel settore delle infrastrutture critiche. Per questo motivo la Direttiva NIS2 attribuisce la responsabilità ai CEO: essi devono sostenere le misure per la gestione del rischio informatico e monitorarne l'attuazione. I CEO che non adempiono ai loro obblighi di gestione del rischio informatico sono personalmente responsabili dei rischi e/o dei danni associati.

Per i CEO che finora non hanno avuto molto a che fare con la cybersecurity, la gestione del rischio informatico è un terreno completamente nuovo. In pratica, la Direttiva NIS2 implica che i CEO debbano essere in grado di identificare e valutare i rischi informatici e decidere quali sono accettabili per l'organizzazione e quali no. Ciò implica considerare la probabilità e la portata prevista dei danni dei cyberattack per la loro organizzazione. Un prerequisito essenziale a tal fine è lo svolgimento di incontri regolari con il singolo o i singoli responsabili della sicurezza informatica. Tuttavia, secondo uno studio di Trend Micro, il 51% dei team IT inclusi nell'indagine parla già dei rischi informatici con la direzione una volta alla settimana.

Requisiti della Direttiva NIS2 per i CISO/responsabili della sicurezza informatica

I responsabili della sicurezza informatica sono coloro che devono affrontare la sfida dell'attuazione della Direttiva NIS2. L'articolo 21 della direttiva elenca i requisiti minimi per la cybersecurity. Oltre alla gestione del rischio informatico, l'elenco comprende anche, ad esempio, la gestione dei backup, la gestione degli incidenti, le politiche e le procedure relative all'uso della crittografia, nonché il controllo degli accessi e la gestione delle identità. La buona notizia: se disponi di best practice di sicurezza standard, puoi già contrassegnare come soddisfatti molti dei requisiti.

Per quanto riguarda la gestione del rischio informatico, i CISO/responsabili della sicurezza informatica devono essere in grado di comunicare chiaramente al management, in qualsiasi momento, lo stato attuale del rischio, quali sono i rischi più urgenti e quali misure l'organizzazione dovrebbe adottare. La gestione del rischio informatico deve essere condotta con continuità, poiché la superficie di attacco e l'ambiente delle minacce sono in costante evoluzione.

Trend Micro supporta l'implementazione della Direttiva NIS2 fornendo la tecnologia di sicurezza più avanzata. 

Gestione del rischio cyber semplificata con ASRM expand_more

Gestione del rischio cyber semplificata con ASRM

Attack Surface Risk Management (ASRM) di Trend Micro utilizza l'intelligenza artificiale per calcolare automaticamente il punteggio di rischio del tuo ambiente IT. Durante questo processo, la tecnologia si approccia all'ambiente dal punto di vista dell'attaccante: raccoglie dati interni da sensori connessi e li correla con informazioni sulla sicurezza provenienti da innumerevoli fonti esterne, tra cui pubblicazioni di agenzie governative, organizzazioni di polizia, società di sicurezza e analisti. Un pannello di controllo fornisce una panoramica e semplici grafici comunicano immediatamente la pericolosità del rischio calcolato. ASRM avvisa non appena viene superata una determinata soglia e mostra i dettagli, ad esempio quali asset sono interessati. Suggerisce inoltre contromisure e consente persino di contrastare automaticamente i rischi.

Riduci al minimo la portata dei danni con XDR expand_more

Riduci al minimo la portata dei danni con XDR

Poiché non è possibile eliminare tutti i rischi, è necessario considerare sempre la possibilità di un attacco, nonostante l'implementazione delle migliori misure di sicurezza. Per ridurre al minimo la portata dei danni, è necessario essere in grado di rilevare e bloccare rapidamente qualsiasi incidente. Il modo migliore per farlo è utilizzare Trend Micro XDR (Extended Detection and Response). XDR permette di ottenere trasparenza in tutto l'ambiente IT, raccoglie informazioni sulla sicurezza da tutti i sistemi connessi e utilizza l'intelligenza artificiale per correlarle in avvisi operativi. Questo riduce il numero di falsi positivi, permettendo di vedere a colpo d'occhio cosa è successo, quali sistemi sono interessati e dove è necessario intervenire.

In che modo ASRM e XDR lavorano insieme expand_more

In che modo ASRM e XDR lavorano insieme

ASRM e XDR sono entrambi integrati nella piattaforma di cybersecurity Trend Vision One, da cui possono essere monitorati e controllati a livello centrale. Entrambe le tecnologie accedono agli stessi sensori e comunicano tra loro. Se l'ASRM rileva un rischio, l'XDR lo analizza in modo più approfondito e se l'XDR rileva segni di un attacco informatico, l'ASRM modifica immediatamente lo stato del rischio. Insieme, le due tecnologie riducono al minimo sia la probabilità di un cyberattack sia la portata dei danni.

Logo Gartner Peer Insights Customers’ Choice

Trend Micro riconosciuta come azienda leader

Forrester Wave™: Endpoint Security, Q4 2023

Trend Micro ha ottenuto il punteggio più alto nella categoria Strategy con i massimi voti possibili nelle categorie Innovation, Roadmap e Adoption.

Possibili soluzioni per la Direttiva NIS2

Soluzioni Trend Micro che supportano l'implementazione della Direttiva NIS2

immagine

Requisiti della Direttiva NIS2 per i responsabili della conformità

Per garantire che la tua organizzazione sia conforme alla Direttiva NIS2, devi conoscere a fondo i requisiti normativi, documentare le misure adottate e verificarne l'efficacia. Devi inoltre organizzare la formazione necessaria al fine di sensibilizzare i dipendenti alla conformità rispetto alla Direttiva NIS2. Se dovessi subire un attacco informatico, dovrai disporre di una procedura per segnalare tempestivamente l'incidente alle autorità.

I requisiti ufficiali in Italia saranno chiari solo dopo la definizione del decreto che aggiornerà  i criteri dettati dalla precedente norma NIS, il quale termine è stato imposto dalla Comunità Europea per il 17 Ottobre 2024.

NIS2 e GDPR

Anche se la legislazione sul NIS2 è ancora in fase preliminare, una cosa è già chiara: il GDPR manterrà un'importanza maggiore della Direttiva NIS2. In caso di incidenti che coinvolgano entrambe le norme, la severità delle sanzioni si baserà sul GDPR. Le multe previste dal GDPR per le violazioni particolarmente gravi sono due volte più alte e possono raggiungere i 20 milioni di euro o il 4% del fatturato annuo a livello mondiale.

Wachsen Sie mit Trend Micro – Immagine