La NIS2 è innanzitutto una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. Entrata in vigore il 17 gennaio 2023, la direttiva dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.
Cosa significa NIS2
NIS2 è l’abbreviazione con cui viene chiamata la nuova direttiva europea sulla cybersecurity, la cui denominazione ufficiale è Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione.
NIS è l’acronimo di “Network and Information Systems”, in quanto il provvedimento contiene misure pensate per aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea.
La direttiva NIS2 ha aggiornato la precedente NIS1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia.
Perché l’UE ha approvato una nuova direttiva NIS
La nuova direttiva europea sulla cybersecurity NIS2 si è resa necessaria per porre rimedio ai limiti della NIS1. Limiti apparsi praticamente sin dalla sua introduzione, a causa di un generalizzato aumento del tasso di digitalizzazione in tutti i Paesi membri, che ha ampliato la cosiddetta superficie di attacco informatico.
Si tratta di un indicatore che esprime delle relazioni dirette molto semplici, ma importanti: più ampia è la superficie di attacco, più elevato è il rischio che eventuali attacchi vadano a buon fine, quindi maggiori sono i danni che si possono subire, ma allora deve essere innalzato il livello di protezione dei sistemi.
Il processo di obsolescenza della direttiva NIS1 era stato poi accentuato dal Covid-19, che ha dato una spinta inattesa alla diffusione dei sistemi e delle tecnologie digitali, senza che tuttavia ci fosse una crescita altrettanto spinta nelle misure e nei sistemi di sicurezza adottati.
Direttiva NIS2, chi deve rispettarla
Per stabilire quali aziende devono rispettare gli obblighi previsti, la direttiva NIS2 indica tre criteri: settore di appartenenza, dimensione e ruolo che le aziende hanno nel loro settore.
I settori a cui si applica la NIS 2 si dividono in settori ad alta criticità e settori critici:
- settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
- altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sotto settori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitale; ricerca.
All’interno di questi settori la direttiva NIS2 si applica a soggetti pubblici o privati di medie o grandi dimensioni.
Indipendentemente dalla loro dimensione, la NIS2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.
NIS 2, quando non si applica e quando decidono gli Stati
Per alcune categorie di soggetti la NIS2 non si applica oppure la decisione se sottoporle o meno alla direttiva è lasciata alla libertà del singolo Stato.
La NIS 2 non si applica a: Pubbliche Amministrazioni che si occupano di sicurezza nazionale, pubblica sicurezza, difesa e contrasto dei reati; soggetti del settore giudiziario; parlamenti; banche centrali.
La direttiva NIS2 si applica a discrezione del singolo Stato membro nel caso di Pubbliche Amministrazioni locali e istituti d’istruzione con funzioni di ricerca.
Oltre a questi casi, i singoli Stati possono escludere dalla direttiva anche altri soggetti.
Come l’Italia prevede di implementare la NIS2: un breve studio
L’Italia punta a raggiungere l’autonomia strategica nazionale ed europea puntando sul dominio digitale. Il Paese ha lanciato la National Cybersecurity Strategy (NCS), che mira ad attuare 82 misure entro il 2026, attraverso tre obiettivi chiave: protezione, risposta, sviluppo.
Il quadro del National Cyber Crisis Management è suddiviso in tre livelli: politico, operativo e tecnico. Ciascuno di questi livelli ha un organo di governo che è responsabile della supervisione dei problemi e dell’implementazione. Ad esempio, a livello tecnico, CSIRT Italia è responsabile delle crisi rilevanti. Il paese seguirà un approccio graduale alle misure di gestione del rischio e agli obblighi di segnalazione.
Cosa prevede la direttiva NIS2
La direttiva NIS 2 stabilisce delle norme minime che tutti gli Stati membri devono rispettare per avere una maggiore armonizzazione a livello UE di legislazioni e procedure di cibersicurezza. Tuttavia, i singoli Stati sono liberi di approvare norme nazionali ancora più severe, decidendo di innalzare ulteriormente il loro livello di cibersicurezza nazionale.
Con la direttiva NIS 2 vengono inoltre previsti dei meccanismi di cooperazione tra le autorità nazionali di cybersecurity e viene introdotta una rete europea per le crisi informatiche (EU-CyCLONe) che prevede la gestione coordinata degli incidenti e delle crisi di cibersicurezza.
Tutti gli Stati e le imprese interessate hanno l’obbligo di condividere le informazioni importanti per la cybersecurity.
La direttiva prevede poi una serie di azioni per innalzare il livello di cibersicurezza nel mercato europeo, divise tra azioni che devono essere compiute dai singoli Stati e azioni rivolte alle imprese.
Gli Stati membri devono adottare strategie di cybersecurity nazionali, creare autorità nazionali di cibersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (i cosiddetti CSIRT); rispettare obblighi di vigilanza ed esecuzione.
Le imprese devono rispettare gli obblighi di gestione dei rischi di cibersicurezza e di segnalazione. Tra gli obblighi che le aziende devono rispettare in base alla direttiva NIS2 c’è anche l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua.
Per aziende private e PA, la gestione delle identità è uno degli aspetti fondamentali per adempiere ai nuovi obblighi previsti dalla NIS2. In particolare, la direttiva NIS2 impone l’uso dell’autenticazione multi fattore per l’accesso di dipendenti e utenti ai sistemi informatici aziendali.