La decisione dei legislatori dell’UE di adottare la seconda direttiva sulla sicurezza delle reti e delle informazioni (NIS2 – Network and Information Security Directive), volta a rafforzare la resilienza informatica in tutta l’Unione, viene vista positivamente da ESET. La nuova normativa è una risposta alla crescente dipendenza dei settori critici dalla digitalizzazione e alla loro maggiore esposizione alle minacce informatiche.
La direttiva ora approvata sostituisce la precedente, introdotta nel 2016 come prima normativa in assoluto a livello europeo sulla sicurezza informatica. La NIS2, rispetto alla normativa precedente, comprende un campo d’azione più ampio, che interessa un maggior numero di soggetti operanti in settori “ad alta criticità”, sia pubblici che privati, come l’energia, i trasporti, le banche, l’acqua e le acque reflue, tra le altre infrastrutture critiche. Nuovi obblighi vengono introdotti anche per coloro che operano in altri settori “critici” come quello manifatturiero, alimentare, chimico, della gestione dei rifiuti, dei servizi postali e di logistica.
Le imprese classificate come “ad alta criticità” dovranno adottare misure tecniche e operative per conformarsi alle direttive introdotte dalla NIS2, tra cui la risposta agli incidenti, la sicurezza della supply chain, la crittografia e la segnalazione delle vulnerabilità, un’adeguata analisi dei rischi, la verifica e il controllo delle strategie di cybersecurity e piani di crisis management per garantire la business continuity. In caso di incidente informatico, questi soggetti saranno inoltre tenuti a presentare una prima notifica entro 24 ore e informazioni più dettagliate entro 72 ore. La NIS2 introduce anche sanzioni per la mancata conformità, tra cui la sospensione della certificazione e la responsabilità personale per le posizioni manageriali, in linea con le leggi nazionali. Infine, la direttiva istituisce la European Cyber Crises Liaison Organization Network, EU-CyCLONe, per consentire la cooperazione tra le agenzie e le autorità nazionali responsabili della sicurezza informatica; ogni Stato membro dovrà inoltre identificare chiaramente un unico punto di contatto per segnalare gli incidenti informatici.
Anche le PMI sono obbligate a conformarsi?
La NIS2 stabilisce “l’applicazione della regola del size-cap, secondo cui tutte le medie e grandi imprese, come definite dalla raccomandazione 2003/361/CE della Commissione, che operano nei settori o forniscono il tipo di servizi coperti dalla presente direttiva, rientrano nel suo campo di applicazione”. Pur escludendo le piccole e micro imprese dall’obbligo di conformarsi alle nuove norme, sono previste alcune eccezioni, ad esempio per le PMI che operano nei settori dell’electronic communication network (ECN) o dei servizi di comunicazione elettronica accessibili al pubblico, dei provider di servizi fiduciari o dei registri di dominio di primo livello (TLD).
Le piccole e medie imprese sono sempre più spesso bersaglio di attacchi alla supply chain a causa delle limitate risorse di sicurezza. Questi attacchi possono avere un effetto a cascata sulle organizzazioni con cui operano. Gli Stati membri dovrebbero, attraverso le loro strategie nazionali di cybersecurity, aiutare le PMI ad affrontare le sfide della loro supply chain. Dovrebbero inoltre disporre di un punto di contatto dedicato a livello nazionale o regionale, che fornisca orientamento e assistenza o le indirizzi agli organismi competenti per l’orientamento e l’assistenza in merito alle questioni relative alla cybersicurezza. Nel marzo dello scorso anno, la European DIGITAL SME Alliance, la più grande rete di PMI dell’UE nel campo ICT, ha reso nota la propria posizione alla consultazione sulla proposta di NIS2, accogliendo con favore la nuova direttiva, ma anche mettendo in guardia dall’impatto indiretto della NIS2 sulle PMI.
In una chiacchierata con ESET, James Philpot, Project Manager di DIGITAL SME, ha osservato che il primo passo che le PMI dovrebbero compiere per “comprendere le esigenze specifiche di potenziamento delle proprie pratiche di cybersecurity” è quello di consultare il proprio “centro nazionale di cybersecurity e le linee guida dell’ENISA”. Tuttavia, “potrebbe essere più o meno facile” ottenere le informazioni giuste, poiché “i diversi Stati membri dispongono di risorse differenti”. Tuttavia, la NIS2 “prevede che gli Stati forniscano supporto e risorse”, soprattutto quando si tratta di comprendere nel dettaglio l’ambito di applicazione di questa legislazione “e se i loro clienti saranno soggetti ad essa”, il che “aiuterà a pianificare il futuro”.
Trasformare le sfide in opportunità
“I provider di servizi e tecnologie a valle della catena distributiva saranno probabilmente i più colpiti”, e per alcune aziende potrebbe essere difficile disporre delle capacità tecniche necessarie, ma soprattutto comprendere “i requisiti di rendicontazione e l’interazione tra NIS2 e altre normative”, ha spiegato Philpot.
“Ma in senso più generale, dobbiamo essere fiduciosi”, e “gli sforzi per migliorare il livello di cybersecurity nelle aziende europee sono generalmente accolti con favore”. L’unica avvertenza, è il livello di “implementazione e supporto, e il modo in cui questo viene gestito, che alla fine farà la differenza tra una legislazione che aiuta le PMI e una legislazione che rappresenta un sovraccarico normativo”.
ESET e DIGITAL SME sono convinti che questo nuovo quadro normativo possa rappresentare un’opportunità. “Sì, può essere un’opportunità, ci sono soluzioni tecniche disponibili in Europa per fornire il livello di sicurezza informatica richiesto”, ma le aziende devono evitare di “cercare il marchio più conosciuto o l’offerta più economica, che spesso proviene da fuori Europa”. Per questo è importante “collegare il sostegno e le risorse” per “sfruttare questa legislazione e rafforzare l’innovazione europea”. Le PMI possono anche rivolgersi ai CSIRTS locali per attenuare alcune delle carenze di altri organismi nazionali, o sfruttare risorse come la guida DIGITAL SME/SBS, la guida DIGITAL SME sui controlli di sicurezza delle informazioni o i certificati di cybersecurity.
Verso imprese più sicure L’SMB Digital Security Sentiment Report di ESET, pubblicato proprio il mese scorso, ha rilevato che mentre l’83% delle PMI ritiene che la cyber war sia una minaccia molto reale e il 71% ha una fiducia da moderata a elevata nella propria capacità di indagare sulle cause alla radice dei cyberattacchi, il 43% considera la mancanza di consapevolezza dei dipendenti come la principale causa di preoccupazione, mentre l’effettiva adozione di soluzioni EDR (endpoint detection and response), che assistono specificamente in questo ambito, è pari solo al 32%.
Come osserva anche Philpot nella conversazione con ESET, “gli impatti degli incidenti informatici sono ben noti” alle PMI: fughe di dati, notevole impatto finanziario e perdita di fiducia dei clienti. Quindi “in senso più generale, dobbiamo essere ottimisti” riguardo alla NIS2; come minimo, questa direttiva svolgerà un importante ruolo di sensibilizzazione, anche per quelle aziende che “non sono obbligate a conformarsi, ma possono sviluppare una maggiore consapevolezza”.
La NIS2 entrerà in vigore dopo che gli Stati membri dell’UE avranno recepito la direttiva nelle rispettive legislazioni nazionali: entro settembre 2024. Tuttavia, le organizzazioni potrebbero volersi preparare in anticipo, non solo per essere tempestive nel processo di implementazione, ma anche per testare diverse buone pratiche sulla gestione degli incidenti, sulle policy di controllo e segnalazione. In particolare, la NIS2
definisce un livello minimo comune di cybersecurity in Europa, che dovrebbe essere visto come un’opportunità da cui partire, non come un problema da risolvere.
A cura di Fabio Buccigrossi, Country Manager di ESET Italia