Studio Tarantelli > Articoli Informatica > Sicurezza > Adeguamento NIS2 per aziende private e PA
Adeguamento NIS2 per aziende private e PA
NIS è l'acronimo di Network and Information Security ed il nuovo D.Lgs. 138/2024 (NIS2) ha l'obiettivo di aumentare il livello di sicurezza cibernetico comune a tutti gli Stati membri dell'Europa.
In questo articolo si vogliono illustrare alcuni passaggi fondamentali di questo decreto in vigore dal 16 ottobre 2024 e fornire alcuni dettagli sui settori e gli ambiti in cui ricade, ma suggerire anche cosa fare per l'adeguamento.
Breve cenno alla norma
Fino al 2016 non esisteva una giurisprudenza ed un approccio sistemico comune alla Comunità Europea in materia di cyber sicurezza e con la Direttiva NIS1 sono stati fatti i primi passi comuni sulla sicurezza informatica.
L'obiettivo principale della NIS2 è quello di aggiornare le norme dell'Unione Europea in materia di cybersicurezza introdotte con la NIS1 nel 2016, modernizzando e uniformando il quadro giuridico esistente.
Il D.Lgs. 138/2024 è composto da 44 articoli, ma parte cruciale è demandata ai 4 allegati, di cui i primi due identificano soggetti in settori altamente critici e critici, il terzo riguarda le PA ed il quarto integra ulteriori soggetti che dovranno attuare tale processo.
Tali soggetti devono dotarsi di misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione Europea in modo da migliorare il funzionamento del mercato interno, così come indicato nell'art. 1 comma 1.
Nel Decreto sono presenti i massimali economici ed operativi necessari per identificare le tipologie di imprese private che dovranno attuare tale adempimento, che per brevità vengono omessi in virtù di una valutazione personalizzata.
I poteri di coordinazione, implementazione ed attuazione sono stati affidati all'Agenzia per la Cybersicurezza Nazionale (ACN).
Gli aspetti tecnici necessari all'adeguamento
Molte imprese vedono la sicurezza informatica ancora come un optional costoso, al contrario è un requisito imprescindibile e l'adozione nonché l'adeguamento alla Direttiva NIS2 deve essere visto come un miglioramento positivo e proattivo (nonchè come obbligo laddove previsto) che permette ad ogni realtà pubblica o privata di ottimizzare il proprio livello di sicurezza cibernetico.
Nel decreto, l'art. 24 elenca "gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica" ed individua l'approccio e gli aspetti tecnici basati sul concetto del multi-rischio, volti a proteggere da incidenti i sistemi informativi e di rete, nonché il loro ambiente fisico.
Gli ambiti tecnici che vengono richiamati sono i seguenti:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
- gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
- continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
- politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica;
- pratiche di igiene di base e di formazione in materia di sicurezza informatica;
- politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura;
- sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
Analizzando tale articolo è possibile valutare gli ambiti e le procedure da porre in essere per una corretta adozione di una politica di sicurezza cibernetica e l'ausilio di un professionista può risultare importante per una corretta valutazione di ciascun caso.
Dalla lettura di diversi articoli del Decreto, si intuisce un approccio simile a quello già in uso nelle certificazioni ISO 27001 (Sistemi di Gestione per le Sicurezza delle Informazioni) e per il Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR).
Le notifiche degli incidenti
Nell'art. 25 è presente una novità importante riguardante l'obbligo di notifica di un incidente che, come per il Data Breach nella Privacy, richiede una tempistica ben determinata, con termini di comunicazione stringenti per la pre-notifica pari a 24 ore da quando se ne è venuti a conoscenza ed entro le 72 ore con tutti i dettagli aggiornati sulle informazioni già inviate, con l'inoltro di dettagli sulla valutazione iniziale dell'incidente, comprensivo della sua gravità e del suo impatto, nonché, ove disponibili, degli indicatori di compromissione.
Un'altra grande novità introdotta dall'art. 26 è la possibilità di inoltrare anche notifiche volontarie su informazioni pertinenti, eseguite anche da soggetti diversi da quelli indicati ed indipendentemente dal fatto che ricadano o meno nell'ambito di applicazione del presente decreto o sugli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi o per minacce informatiche, compresi i quasi-incidenti.
Settori ed ambiti di applicazione
In questo paragrafo si elencano i macro settori di applicazione, che dovranno necessariamente adeguarsi alla Direttiva NIS2 e che sono quelli indicati nei 4 allegati.
Allegato 1: Energia, Trasporti, Settore bancario, Infrastrutture dei mercati finanziari, Settore sanitario, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi TIC (B2B), Spazio.
Allegato 2: Servizi postali e di corriere, Gestione dei rifiuti, Fabbricazione, produzione e distribuzione di sostanze chimiche, Produzione, trasformazione e distribuzione di alimenti, Fabbricazione, Fornitori di servizi digitali, Organizzazioni di ricerca.
Allegato 3: Amministrazioni centrali, regionali, locali e di altro tipo.
Allegato 4: Ulteriori tipologie di soggetti, tra cui quelli che svolgono attività di interesse culturale, che forniscono servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, Società in house, società partecipate e società a controllo pubblico.
Per maggiori dettagli si invita a consultare la normativa, dove sono specificati tutti i sottosettori e le tipologie di soggetto.
Cosa occorre fare per l'adeguamento?
Alla stesura del presente articolo dopo soli pochi giorni dall'entrata in vigore della normativa, gli step indicati nel sito web di ACN sono i seguenti.
Innanzitutto occorre verificare se il proprio ambito ricade in uno dei settori sopra citati. Il consiglio è quello di verificare attentamente questo aspetto, perché oltre all'ambito di applicazione, per i soggetti privati occorre considerare il fatturato, il numero dei dipendenti, etc.
Una volta acclarato che occorre adeguarsi alla norma NIS2, per quanto concerne le scadenze, dal 1 dicembre 2024 al 28 febbraio 2025 occorre registrarsi sul sito web dell'ACN.
A seguire ci sarà una prima fase attuativa con l'avvio formale delle attività e notifica da parte dell'Agenzia con le adozioni degli obblighi di base da porre in essere.
Si procederà poi con una seconda fase attuativa con il monitoraggio e supporto, per concludere con la terza fase con l'implementazione delle attività a lungo termine, visto che nel Decreto sono presenti diverse scadenze per aggiornamenti dati, modifiche dei settori revisionate dall'Agenzia, etc.
La norma richiama all'art. 31 due concetti importanti: proporzionalità e gradualità, ovvero l'Autorità stabilirà per ciascun caso gli obblighi che saranno proporzionali all'esposizione dei soggetti ai rischi e la probabilità che si verifichino incidenti, compreso il loro impatto economico. Tale approccio sistemico è volto a tutelare maggiormente le aziende e PA che hanno un rischio maggiore in ambiti cruciali e settori strategici, ma riduce adempimenti, costi ed investimenti in settori che potenzialmente potrebbero essere meno impattati.
Come si intuisce dalla norma, ci sarà presumibilmente una valutazione personalizzata per ogni soggetto e come indicato ci sarà una comunicazione diretta tramite la piattaforma, anche nel caso di eventuale eliminazione dall'elenco (art. 7 comma 3).
Come prepararsi all'adeguamento NIS2
La preparazione all'adeguamento NIS2 è certamente personalizzata. Ogni realtà sia pubblica che privata ha delle procedure interne, regolamenti, etc., che necessariamente dovranno essere rivisti, specie se fino ad oggi non sono stati affrontati i temi inerenti alla sicurezza informatica.
Chi possiede una certificazione ISO 27001, specie se aggiornata all'ultima versione, ha già tutti gli strumenti utili per la valutazione, la gestione e la mitigazione dei rischi informatici, compresi tutti gli aspetti legati alla protezione dei dati ed al Regolamento sulla Privacy.
La formazione anche nella NIS2 viene richiamata più volte ed è cruciale per sensibilizzare ed istruire consapevolmente tutti i membri di una PA o impresa verso il rischio cibernetico e delle sue conseguenze.
L'invito è quello di rivolgersi sempre a professionisti in materia di cyber sicurezza, come gli ingegneri dell'informazione che hanno competenze e conoscenze tecniche ed operative più affini a tale adempimento.
Mirko Tarantelli oltre all'appartenenza a tale settore ed all'esperienza maturata ventennale è abilitato alla professione di Auditor/Lead Auditor per la ISO 27001 ed è un esperto di sicurezza informatica, digitalizzazione e valutazione di rischi informatici. Inoltre lo Studio Tarantelli è composto da partner professionisti in ambito privacy e legale, strettamente correlati per istruire un iter di adeguamento alla NIS2.
Se pensi che questo articolo sia utile ai tuoi amici, condividilo sui social network.
Aggiungi Studio Tarantelli al tuo feed di Google News.
05-11-2024
Autore: Mirko Tarantelli - consulente informatico e SEO - Data Scientist
© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.
- Come evitare le truffe online
- Protezione rete wifi
- Sicurezza conto corrente online
- Sicurezza dei dati
- Come tutelarsi da certificati e marchi di qualità falsi
- Come difendersi dal Cyberbullismo
- Verifica se il telefono è sotto controllo
- Perchè non utilizzare una rete wifi gratis pubblica
- Come utilizzare i social network
- Come rendere sicuro l'account Google per le APP
- Acquisti sicuri su Ebay ed Amazon
- Come disattivare la webcam del pc a livello software
- Cloud backup o cloud storage, quale scegliere?
- In quale Paese devono essere conservati i dati personali per il GDPR?
- Non basta la crittografia end to end per la sicurezza dei dati
- Sistema CIS: l'importanza delle informazioni classificate riservate
- Adeguamento NIS2 per aziende private e PA
- Videosorveglianza e Privacy: Cosa fare per la tutela dei tuoi dati personali