Cybersecurity, NIS2 dovrà essere recepita dai singoli stati da ottobre 2024

La direttiva NIS2 (2555/2022) finalizzata a definire opportune misure per un livello comune elevato di cibersicurezza nell’Unione europea, dovrà essere recepita dai singoli stati membri e applicata a decorrere dal prossimo 18 ottobre 2024. La NIS2 sostituisce la precedente direttiva 1148/2016 (NIS). Lo schema di decreto legge di recepimento è stato sottoposto alle commissioni parlamentari per la discussione proprio in questi giorni.

La direttiva NIS2, a differenza della precedente NIS, identifica in maniera oggettiva le entità economiche essenziali o importanti sulla base della loro appartenenza ai settori di business coinvolti e delle loro dimensioni operative (oltre 50 dipendenti o 10 mln di euro di fatturato) e si colloca in un più ampio disegno regolatorio sulla Resilienza Digitale della società civile e dell’economia europee, costituito dal Regolamento Dora (Digital operational resilience act) per il settore finanziario, che sarà applicato a decorrere dal 17 gennaio 2025, e dalla direttiva Cer (Critical entities resilience) per altri settori economici critici, che dovrà essere anch’essa recepita dai singoli Stati e applicata a decorrere dal 18 ottobre 2024.

“Aspetto di rilievo della direttiva è la responsabilizzazione dei vertici aziendali sull’adozione e sull’adeguatezza delle misure tecniche, operative e organizzative adeguate e proporzionate per la gestione dei rischi di cybersecurity”- riferisce Francesco Pezzuto, referente Aused per l’area Nord-Est nonché 'Chief information & digital transformation officer' di Friul Intagli Industries.

In tale ottica, la direttiva prevede che siano definite e approvate precise policy di analisi dei rischi e di sicurezza IT e l’applicazione di misure in ambiti predefiniti, estesi anche alla catena di forniture. Prevede inoltre da parte delle aziende una raccolta strutturata degli incidenti di sicurezza e una comunicazione tempestiva (entro 24 ore una prima segnalazione, seguita entro 72 ore da relazioni di approfondimento) di quelli di impatto significativo ai punti di contatto che saranno istituiti. Particolarmente impattante è la richiesta di un presidio efficace da parte delle aziende nei confronti della sicurezza informatica dei propri fornitori, che dovranno considerare anche le specifiche vulnerabilità di ciascuno di essi.

I soggetti essenziali e importanti saranno sottoposti a monitoraggio da parte delle autorità che saranno appositamente istituite dallo Stato nazionale, attraverso visite ispettive, audit da parte di società esterne specializzate, scansioni di sicurezza, richieste di informazioni e dati. Le autorità potranno inoltre imporre ai soggetti essenziali e importanti misure specifiche di sicurezza, obblighi di comunicazione dei rischi a soggetti collegati all’azienda, divulgazione di eventuali violazioni alla direttiva.

Potranno anche imporre sanzioni pecuniarie rilevanti (es. fino a 10mln€ o al 2% del fatturato per i soggetti essenziali) alle aziende inadempienti. L’adeguamento alla normativa NIS2 richiederà interventi sulla governance delle aziende viste le possibili sanzioni in capo ai vertici aziendali. “Le aziende - prosegue Pezzutto - dovranno riporre particolare attenzione all’esecuzione di un diagnostico preliminare finalizzato a definire la corretta classificazione dell’azienda (essenziale o importante) e a stabilire le proporzionate misure di adeguamento, che dovranno essere articolate secondo un piano di intervento. Non meno importante sarà il fatto di documentare e ufficializzare gli interventi adottati, in modo da supportare la difesa in caso di ispezioni o eventuali sanzioni".

Il tema della sicurezza informatica è un argomento oggettivamente attuale e critico, sul quale le aziende stanno da tempo investendo. L’adeguamento alla nuova normativa va comunque affrontato con equilibrio e una ragionevole gradualità, visti gli impatti trasversali sull’azienda (es.: governance, comunicazione, processi operativi), i potenziali ulteriori investimenti e l’incessante evoluzione delle tecnologie.

Sul fronte della misurazione e valutazione del rischio informatico, che dovranno essere il più possibile oggettive e sistematiche, ci sono ancora dei passi da compiere da parte delle aziende per arrivare ad una adeguata maturità. In ogni caso sarà importante che le aziende effettuino una stima puntuale della propria compliance alla normativa nazionale (in uscita a breve), anche con il supporto di precise check-list di autovalutazione.

Un tema abbastanza sentito dalle aziende è quello del monitoraggio della sicurezza informatica sulle catene di fornitura. In questo caso vale la raccomandazione di adottare un approccio di vera partnership con i fornitori, specialmente quelli di minori dimensioni, che quindi potrebbero avere maggiori difficoltà ad adeguarsi alla normativa. Nell’ambito della continuità operativa, si segnala come un’importante fonte di rischio di cybersecurity sia associata alle possibili vulnerabilità dei sistemi che sovrintendono alla produzione (Operational Technology - OT), storicamente meno presidiati in termini di sicurezza e meno assoggettati ad un disegno architetturale preventivo.