NIS 2 Fase 2 - Avviata la seconda fase attuativa

Il Tavolo per l’attuazione della NIS2 si è riunito lo scorso 10 aprile per avviare la seconda fase di questo percorso strutturato e graduale per l’adozione della direttiva europea 2022/2555 (NIS2) che mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito in maniera precisa ed in accordo con il Framework nazionale per la Cybersecurity e la Data Protection le misure che i soggetti (enti, organizzazioni ed imprese che operano in settori vitali per l’economia e la società) saranno tenuti a rispettare.

I 16 ambiti richiesti dalla direttiva

Più precisamente per i soggetti essenziali sono previsti 116 requisiti, “solo” 87 per i soggetti importanti. In entrambi i casi suddivisibili nei seguenti ambiti:

1. La gestione del rischio: ovvero identificazione, valutazione e trattamento dei rischi di cybersecurity, integrandoli nei processi organizzativi e aggiornandoli periodicamente in funzione delle minacce emergenti
2. I ruoli e le responsabilità: devono essere formalmente definiti, approvati dagli organi direttivi e periodicamente aggiornati per garantire accountability ed efficienza nella sicurezza informatica
3. L’affidabilità delle risorse umane: il personale deve essere selezionato valutando esperienza, capacità e affidabilità, con obblighi contrattuali in materia di sicurezza anche successivamente alla cessazione del rapporto di lavoro
4. La conformità e gli audit di sicurezza: le politiche e le misure di sicurezza devono essere regolarmente riesaminate e sottoposte a verifica per assicurarne la conformità alla normativa vigente
5. La gestione dei rischi per la sicurezza informatica della catena di approvvigionamento: è necessario integrare requisiti di sicurezza nei contratti con fornitori, monitorare la conformità e valutare i rischi lungo l'intera catena di approvvigionamento
6. La gestione degli asset: tutti gli asset rilevanti devono essere identificati, inventariati e gestiti in base alla loro importanza rispetto agli obiettivi di business e alla strategia di rischio
7. La gestione delle vulnerabilità: devono essere definiti processi strutturati per l'identificazione, la risoluzione e il monitoraggio delle vulnerabilità, adottando misure correttive tempestive
8. La continuità operativa: ripristino in caso di disastro e gestone della crisi. Devono essere predisposti, mantenuti e testati piani documentati per garantire la resilienza operativa e il ripristino rapido delle attività
9. La gestione dell’autenticazione, delle identità digitali e del controllo accesso: le identità e gli accessi devono essere gestiti adottando principi di minimo privilegio, separazione dei compiti e autenticazione multi-fattore
10. La sicurezza fisica: devono essere protetti da accessi non autorizzati attraverso controlli adeguati e coerenti con i livelli di rischio
11. La formazione del personale e consapevolezza: tutto il personale, compresi gli amministratori, deve ricevere una formazione continua per aumentare la consapevolezza dei rischi informatici e delle misure di sicurezza
12. La sicurezza dei dati: la protezione dei dati deve essere assicurata sia a riposo sia in transito tramite cifratura sicura e adeguate misure di backup
13. Lo sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete: le attività devono seguire pratiche sicure lungo tutto il ciclo di vita dei sistemi, assicurando aggiornamenti tempestivi e rimozione sicura delle tecnologie obsolete
14. La protezione delle reti e delle comunicazioni: le reti e le infrastrutture devono essere protette con misure di sicurezza perimetrali adeguate e controlli di accesso remoto rigorosi
15. Il monitoraggio degli eventi di sicurezza: devono essere implementati sistemi di monitoraggio continuo degli eventi per rilevare tempestivamente anomalie e incidenti
16. La risposta agli incidenti e ripristino: deve essere operativo un piano per la gestione degli incidenti che includa procedure chiare di notifica, risposta e ripristino

È subito evidente l’ampiezza e la varietà degli ambiti considerati. Questo garantisce una completa copertura di ogni aspetto relativo alla sicurezza come è giusto che sia! Ma al contempo introduce una forte complessità che rende necessaria un’eterogeneità di competenze: i requisiti sono di carattere tecnologico ma anche di tipo organizzativo-procedurale, di governance e di conformità.

Individuati i soggetti coinvolti

L’ACN ha già individuato gli enti, imprese ed organizzazioni che si andranno a configurare come “soggetti NIS2” e che pertanto dovranno conformarsi alla direttiva. ACN ha iniziato le operazioni per comunicare a tali soggetti il loro nuovo “status di prescelti”.

Sappiamo che sono più di 20.000 di cui 5.000 sono di tipo Essenziale ovvero appartenenti a settori altamente critici e che forniscono servizi fondamentali per la società e l'economia in cui operano. I rimanenti 15.000 sono di tipo Importante, organizzazioni che operano in settori critici e che, pur non essendo essenziali, svolgono attività significative per la sicurezza e la resilienza dei servizi.

Oltre a questi soggetti, come già è emerso nella prima fase dell’adozione della NIS2, sono impattate anche tutte quelle imprese che rientrano nella filiera produttiva di un soggetto NIS, importante o essenziale che sia. A queste imprese non è richiesto dall’ACN di essere conforme alle regole previste dalla direttiva e non è soggetta a nessuna sanzione.

Resta il fatto che i soggetti Importanti ed Essenziali devono (ci sono 7 requisiti a riguardo) gestire i rischi derivanti dalla catena di approvvigionamento e quindi definire i requisiti di sicurezza sulla fornitura affinchè siano coerenti con le proprie misure di sicurezza. Le aziende fornitrici saranno quindi direttamente coinvolte nel processo di gestione del rischio e chiamate a dimostrare periodicamente il rispetto delle misure definite e pattuite.

L’entrata in vigore della direttiva NIS2 è destinata a dare un significativo impulso alla messa in sicurezza delle aziende di ogni dimensione. Ci sarà un coinvolgimento per le medie e grandi imprese che “naturalmente” rappresentano la gran parte dei soggetti importanti ed essenziali ma ci sarà anche un impatto sulle imprese più piccole proprio perché appartenenti ad una filiera produttiva.
Secondo il RAPPORTO CYBER INDEX PMI 2024 “[…] il 48% delle PMI Italiane dichiara di operare all’interno di filiere strategiche, ovvero caratterizzate dalla presenza di infrastrutture critiche, aziende multinazionali o pubbliche amministrazioni, o ancora di esercitare le proprie attività all’estero e in paesi instabili da un punto di vista geopolitico”.

Quindi che fare? Tempistiche e responsabilità

I soggetti NIS dovranno inoltre provvedere all’adozione delle misure e requisiti entro Ottobre 2026. Circa un anno e mezzo per porre in atto, definire e renderle esecutive, tutte le procedure e le componenti tecnologiche necessarie per garantire la sicurezza della propria organizzazione.
Sarà pertanto necessario pianificare con attenzione le attività da intraprendere, individuando le aree di miglioramento da implementare per raggiungere la piena conformità ai requisiti richiesti. Dovrà essere condotta un'analisi approfondita che consideri sia gli aspetti organizzativi e di governance, sia quelli tecnologici, essenziali per l'implementazione efficace dei meccanismi di protezione, difesa e sorveglianza. Per tutte le altre aziende: è fondamentale riconoscano che investire nella cybersecurity non è più un'opzione, ma una condizione imprescindibile per mantenere la propria competitività. In un mercato in cui le grandi e medie imprese (soprattutto se soggette alla NIS2) esigono livelli sempre più elevati di sicurezza e protezione dei dati, le imprese – e in particolare le PMI – che non adeguano le proprie difese rischiano concretamente di essere escluse dalle opportunità di business e dalle partnership strategiche.

Come Retelit affianca le aziende nel percorso NIS2

Affrontare la NIS2 non significa solo rispettare una direttiva europea: è un’occasione per ripensare in chiave moderna e strutturata la propria postura di sicurezza. Retelit si propone come un vero e proprio hub di competenze, offrendo alle imprese ed enti il supporto continuativo necessario per affrontare la complessità della NIS2, attraverso i servizi integrati, coadiuvando competenze interne con quelle di partner strategici fortemente orientati su specifiche tematiche (soprattutto relative alla compliance e di governance) uniti ai prodotti dei migliori partner tecnologici opportunamente selezionati.
Siamo in grado di assistere il cliente sia in una fase preventiva con una Gap Analysis per la definizione del percorso più breve ed efficacie per raggiungere la conformità alla direttiva europea sia nella fase attuativa per supportare l’impresa o l’ente nella predisposizione delle attività necessarie a copertura dei 16 ambiti sopra descritti.

Approfondimento a cura di Andrea Priviero - Product Marketing Retelit