Direttiva UE NIS 2: garantire la sicurezza informatica nell’era digitale

La direttiva NIS 2 (Network and Information Security) dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024. Già approvata nel novembre 2022, questa direttiva aggiorna e amplia la precedente normativa NIS, con l’obiettivo di migliorare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Si tratta di un passo cruciale nell’ambito della sicurezza informatica a livello europeo. Qui una sintesi dei punti principali.

Indice

Il crescente rischio di attacchi informatici: i dati Clusit

Chi è interessato dalla nuova direttiva NIS 2

Come essere compliance alla direttiva NIS 2

La responsabilità del management aziendale

Garantire continuità operativa

Possiamo aiutarti con la NIS 2

 

Come promesso, torniamo a parlare della direttiva UE NIS 2, delle novità e dei punti principali che entreranno in vigore in autunno e facciamo un focus sugli aspetti più utili ad orientarsi nelle attività ed essere compliance.

La NIS 2 mira a creare un quadro normativo uniforme, che obblighi gli stati membri e le organizzazioni ad implementare misure di sicurezza avanzate, garantendo una risposta coordinata e tempestiva agli incidenti informatici.

Viene ampliata la platea delle organizzazioni che saranno impattate, ma soprattutto questa direttiva mira ad uniformare la capacità delle aziende di preservare la propria continuità operativa ed essere pronte, in modo strutturato, a gestire gli attacchi.

Questo perché, come abbiamo detto infinite volte su questo blog, non si tratta più di “se”, ma di quando avverrà l’attacco.

Il crescente rischio di attacchi informatici: i dati Clusit

Secondo l’ultimo rapporto del Clusit (Associazione Italiana per la Sicurezza Informatica), gli attacchi informatici hanno registrato un aumento esponenziale negli ultimi anni, sia a livello globale che in Italia. Nel 2023, si è osservato un incremento del 30% rispetto all’anno precedente, con un totale di oltre 6.000 attacchi gravi documentati a livello mondiale. In Italia, gli incidenti sono aumentati del 20%, con settori come la sanità, la finanza e l’industria manifatturiera particolarmente colpiti.

In questo contesto, il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.

Questo trend preoccupante evidenzia la necessità di misure di sicurezza più rigorose e di una maggiore consapevolezza delle minacce digitali.

Chi è interessato dalla nuova direttiva NIS 2

La direttiva UE NIS 2 amplia significativamente il campo di applicazione rispetto alla precedente direttiva. Non solo include i settori tradizionalmente critici come energia, trasporti, banche, infrastrutture del mercato finanziario, sanità e fornitura di acqua potabile, ma estende anche la sua portata a nuovi settori, come la pubblica amministrazione e i fornitori di servizi digitali.

La normativa si applica a tutte le organizzazioni che operano in questi settori, indipendentemente dalle loro dimensioni, con l’obiettivo di coprire un più ampio spettro di entità che potrebbero essere bersagli di attacchi informatici.

In particolare, la direttiva riguarda anche le piccole e medie imprese (PMI) che svolgono attività considerate essenziali per la società e l’economia.

Come essere compliance alla direttiva NIS 2

Per conformarsi alla direttiva UE NIS 2, le aziende devono adottare una serie di misure di sicurezza informatica. Si tratta di soluzioni che in realtà già da tempo dovrebbero essere state adottate all’interno delle organizzazioni. Purtroppo, registriamo a livello nazionale, che ancora moltissime aziende tardano a destinare i propri budget a rafforzare la propria sicurezza, salvo poi dover investire somme di gran lunga maggiori quando subiscono un attacco.

Tra le soluzioni ormai ritenute necessarie, citiamo:

  • soluzioni di backup regolari e sicure, per garantire la continuità operativa in caso di attacchi
  • l’autenticazione multi-fattore (MFA), essenziale per proteggere l’accesso ai sistemi critici
  • lo sviluppo di piani di disaster recovery, che permettano un rapido ripristino delle operazioni dopo un incidente
  • l’uso della crittografia, essenziale per proteggere i dati sensibili, sia in transito che “freddi”
  • la gestione degli attacchi, attraverso il monitoraggio continuo e la risposta tempestiva agli incidenti
  • la formazione delle risorse umane sulla sicurezza informatica, considerata prioritaria, poiché l’errore umano è spesso un fattore chiave negli incidenti di sicurezza.

La responsabilità del management aziendale

Una delle novità più rilevanti introdotte dalla NIS 2 è la responsabilità del management aziendale. Questa si pone in continuità, a nostro avviso, rispetto al concetto di accountability di cui molto si è parlato a proposito del GDPR.

I dirigenti sono ora direttamente responsabili per i mancati adeguamenti alla direttiva e per la mancata implementazione delle misure di sicurezza richieste. Questo implica che il management deve non solo garantire che l’azienda sia compliance alla normativa, ma anche vigilare sui fornitori ai quali vengono affidati i servizi.

La scelta dei fornitori deve basarsi su rigorosi criteri di sicurezza, e la loro compliance deve essere verificata regolarmente.

Questa responsabilità personale rappresenta un forte incentivo per i dirigenti a prendere sul serio la sicurezza informatica ed implica il fatto che anche il top management deve avere delle competenze più solide in ambito di cybersecurity, per poter gestire con consapevolezza le azioni da porre in essere.

Garantire continuità operativa

L’obiettivo principale della NIS 2 è garantire la continuità operativa delle organizzazioni in caso di attacchi informatici.

Per raggiungere questo scopo, la direttiva incoraggia l’esternalizzazione dei servizi di cybersecurity a fornitori specializzati. Questa strategia permette alle aziende di beneficiare di competenze avanzate e di soluzioni all’avanguardia, difficilmente replicabili internamente.

Esternalizzare la sicurezza informatica può anche liberare risorse interne, permettendo alle aziende di concentrarsi sul loro core business, sapendo che la loro protezione digitale è in mani esperte.

Possiamo aiutarti con la NIS2

In un panorama digitale sempre più minacciato, la direttiva NIS 2 rappresenta un passo decisivo per rafforzare la sicurezza informatica delle organizzazioni europee. Adeguarsi a questa normativa non è solo una questione di conformità, ma anche di protezione del proprio business e dei dati dei propri clienti.

Se la tua azienda ha bisogno di assistenza per conformarsi alla NIS 2, noi possiamo supportarti attraverso servizi gestiti, formazione e tecnologie affidabili.

 

Scarica qui il whitepaper di Sophos sulla NIS2

 

Contattaci per scoprire come possiamo aiutarti a proteggere la tua organizzazione.

 

Hai domande? Scrivici.

Compila il form e cominciamo a lavorare insieme.