Direttiva NIS 2: consigli pratici per consulenti e aziende

13 gennaio 2025Ultimo aggiornamento 14 gennaio 2025
Barbara Sabellico
di Barbara Sabellico
Tempo di lettura stimato: 5'

Nell’ultimo articolo sulla direttiva NIS 2, abbiamo inquadrato la nuova normativa sulla cyber sicurezza, individuato le aziende che rientrano nell’alveo della direttiva e il ruolo dei loro fornitori. In questo approfondimento, invece, toccheremo alcuni degli aspetti più concreti della norma. 

Gli obblighi, le responsabilità e i rischi per il management aziendale

Si stima che, dall’ottobre del 2024, almeno 20.000 aziende italiane dovranno adeguare la propria strategia per la cyber security. Le nuove responsabilità e i rischi per il management aziendale sono importanti, perché i risultati della mancata conformità potrebbero tradursi in multe e azioni nei confronti dei singoli individui ritenuti responsabili di non aver rispettato gli standard di cyber security richiesti. Questi soggetti potrebbero essere temporaneamente interdetti dalle loro funzioni manageriali, fino a quando non avranno adottato le misure necessarie per rimediare alle carenze o per conformarsi alle prescrizioni dell'autorità competente.

Come avviene la “parte patologica”? Gestire gli incidenti di sicurezza in regola con la NIS 2

In caso di incidente informatico, si ricalca l'obbligo di segnalazione previsto dal GDPR. A questo proposito, è stato creato un organismo competente – il CSIRT (Computer Security Incident Response Teams) - a cui segnalare gli incidenti informatici. 

Come nel Regolamento europeo per la protezione dei dati, gli obblighi di segnalazione della NIS 2 (art. 23) seguono un iter preciso:

1) Notifica iniziale al CSIRT

Entro 24 ore dal momento in cui il titolare viene a conoscenza di incidenti significativi, deve pre-allertare il CSIRT e spiegare cos'è successo. Le 24 ore di conoscenza devono essere ulteriormente ristrette, se il sistema ha una certa importanza. Pensiamo, per esempio, al trasporto aereo.

Con il termine significativi si intendono anche gli incidenti che:

  • hanno causato o che sono in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per i soggetti interessati
  • si sono ripercossi o che sono in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli

Questo è un aspetto abbastanza importante perché la segnalazione tempestiva permette anche un intervento tempestivo. La notifica iniziale serve a preallertare il pater familia, cioè l’organo governativo.

2) Notifica intermedia

Entro 72 ore, si deve notificare l'incidente al CSIRT, presentando una valutazione iniziale sulla sua gravità, in cui si indica cosa è accaduto, l’impatto dell’incidente e come dovrebbe essere risolto. 

3) Notifica finale

Infine, il CSIRT chiede di inviare una relazione finale sull’incidente entro 1 mese. Quindi, lato normativa, si richiede che la questione possa essere risolta entro un mese dal momento in cui è avvenuto l’incidente informatico.

Cosa fare per essere in regola con la NIS 2 (art. 21)

I singoli Stati membri devono provvedere affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi a cui possono andare incontro i sistemi informatici di rete, utilizzati nelle attività o nella fornitura di servizi.

L'approccio dell’azienda deve essere proattivo e risolutivo proprio per le possibili conseguenze di un incidente di sicurezza nei settori coinvolti dalla NIS 2. Immaginiamo, per esempio, il blocco dell'acqua, dell'energia elettrica, dei fascicoli sanitari...
E deve essere un approccio multirischio, che miri a proteggere da incidenti i sistemi informatici e di rete, oltre all’ambiente fisico. Perché quello che deve essere garantito è la business continuity

Sia i soggetti essenziali che quelli importanti devono: 

  • preparare e implementare misure di sicurezza che affrontino un ampio spettro di rischi per la sicurezza delle reti e dei sistemi informativi
  • andare oltre la semplice difesa contro attacchi cibernetici di natura tecnica, includendo la prevenzione di rischi derivanti da cause fisiche, errori umani, sia intenzionali che accidentali, processi interni inefficienti e influenze esterne

L’approccio è simile a quello previsto per il GDPR: 

  • Esaminare le misure di sicurezza che il titolare ha già in pancia
  • Verificare, rispetto alle misure di sicurezza in essere, se tutti i rischi potenziali che il sistema può subire sono coperti oppure no
  • Analizzare i rischi individuati
  • Generare una sorta di livello di guardia rispetto all'errore umano e chiedersi, se l'errore è umano: Cosa succede se è casuale? Cosa succede invece se è intenzionale? Quale strategia adottare per mitigare i rischi?

In sostanza, si tratta di adottare un approccio multirischio. 

Adottare un approccio multirischio e applicare la norma a scopo preventivo

Nel caso della NIS 2, le misure che i soggetti essenziali e importanti devono mettere in atto devono essere basate su un approccio multirischio e devono comprendere almeno gli elementi che seguono:

  • politiche di analisi dei rischi di sicurezza dei sistemi informatici 
  • procedure per la gestione degli incidenti 
  • piani per la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e di gestione delle crisi 
  • sicurezza della supply chain, compresi aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi 
  • sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità 
  • strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cyber security 
  • pratiche di igiene informatica di base e formazione in materia di cyber security 
  • politiche e procedure relative all'uso della crittografia 
  • sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli account 
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video testuali protette e di sistemi di comunicazione di emergenza protetti

Non esiste una lista della spesa che possa andar bene per tutti. Va customizzata rispetto a quello che fa il titolare del trattamento.

Adottare un approccio multirischio significa applicare la normativa a scopo preventivo. Dunque, è un approccio che comprende:

  • Valutazione completa dei rischi
    Le organizzazioni devono effettuare valutazioni dei rischi regolari e approfondite considerando ogni possibile fonte di minaccia e vulnerabilità sia tecnica, che non.
    È essenziale considerare anche i rischi non digitali come calamità naturali e guasti hardware che possono impattare sulla sicurezza delle informazioni.

  • Risorse umane e processi interni
    L'errore umano, la mancanza di formazione sulla sicurezza e la gestione inadeguata dei processi interni sono fattori di rischio significativi che devono essere affrontati.

  • Gestione della catena di approvvigionamento
    Le vulnerabilità nei prodotti o servizi forniti da terze parti possono rappresentare un rischio per la sicurezza e richiedono un'attenta valutazione e mitigazione.

  • Preparazione e risposta agli incidenti
    È necessario predisporre piani dettagliati per rispondere efficacemente a incidenti di sicurezza e di varia natura.

  • Adattabilità e resilienza
    Sviluppare sistemi e processi che possono adattarsi e resistere a diversi tipi di interruzioni è fondamentale per mantenere la continuità operativa.

  • Cooperazione e condivisione delle informazioni
    La condivisione di informazioni su minacce e vulnerabilità con entità simili e autorità pubbliche migliora la capacità collettiva di prevenire e rispondere agli attacchi.

Collaborazione tra autorità di controllo e sanzioni previste dalla NIS 2

Le autorità di controllo collaboreranno. Garante, CSIRT e Unione Europea lavoreranno tutte sullo stesso settore, anche se per ragioni parzialmente differenti. Quindi immaginiamo in prospettiva eventuali ispezioni che possono essere effettuate da un organo di controllo, non solo lato GDPR, ma anche sull'adeguatezza stessa della NIS 2.

Va considerato anche che le sanzioni sono importanti. La violazione delle disposizioni inerenti alle misure di gestione dei rischi o degli obblighi di segnalazione può comportare sanzioni pecuniarie e amministrative:

  • fino a 10 milioni di euro o al 2% del totale del fatturato mondiale annuo per i soggetti essenziali
  • fino a 7 milioni di euro o dell’1,4% del totale del fatturato mondiale annuo per i soggetti importanti

Cosa dovrebbe fare un consulente che segue un’azienda che rientra nell’ambito di applicazione della NIS 2?

Trovi la risposta a questa domanda e altri consigli pratici nel corso tenuto dall’Avvocato Barbara Sabellico su RAISE Academy: NIS 2: un mondo immaginario?

Perché questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

SCOPRI RAISE, ORA!

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Articoli correlati

Se hai trovato questo articolo interessante puoi dare un'occhiata a:

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy