Entrata in vigore nel 2023 come evoluzione della Direttiva NIS del 2016, dovrà essere recepita dagli Stati Membri entro il 17 ottobre 2024. Assieme al Regolamento DORA, riferito al settore finance, costituisce la risposta dell’Unione Europea all’attuale contesto geopolitico, caratterizzato da forti tensioni internazionali e dal nuovo fronte di cyberwarfare e cyberhacktivism.

I soggetti impattati dalla NIS 2

La NIS 2 si applica a tutte le medie e grandi aziende (identificate come tali per numero di dipendenti, almeno 50, e fatturato o bilancio annuo di oltre 10 milioni di euro) che rientrano tra i soggetti essenziali o importanti, oltre a categorie specifichedi piccole imprese:

Tra i Soggetti Essenziali vi rientrano quelli che esercitano un’attività strategica per la società, per l’economia o per la sicurezza nazionale:

• Energia
• Spazio e trasporti
• Sanitario
• Servizi bancari e infrastrutture finanziarie
• Acque potabili e reflue
• Infrastrutture digitali e di telecomunicazioni
• Enti della Pubblica Amministrazione definiti da ciascun Stato Membro

Tra i Soggetti Importanti vi rientrano organizzazioni che, pur non esercitando direttamente un’attività connessa ad interessi vitali, forniscono servizi che potrebbero comportare gravi problemi sociali:

• Servizi postali e logistica
• Gestione dei rifiuti
• Fornitori di servizi digitali (mercati, motori di ricerca, social network)
• Organizzazioni ed Enti di ricerca
• Produzione e distribuzione di sostanze chimiche e generi alimentari
• Produzione di dispositivi medici, ottici, computer, elettronici e connessi alla logistica
• Produzione di macchinari e apparecchiature rilevanti

Risulta quindi evidente come i settori impattati siano assai ampi. Si stima infatti che potrebbero essere coinvolte circa 20.000 aziende italiane.

I pillar della NIS 2

Sono cinque i pillar fondamentali per lo sviluppo di un sistema NIS 2 compliance.

GOVERNANCE

Il management deve avere un ruolo proattivo nella gestione dei rischi: risk strategy, misure di trattamento (eliminazione, mitigazione, trasferimento, accettazione), supervisione e collaborazione con autorità e terze parti. Questo prevede l’assegnazione di responsabilità (risk ownership) e definizione di processi (controlli di primo, secondo e terzo livello) che renda evidente leadership e commitment.

RISK MANAGEMENT CON APPROCCIO MULTIRISCHIO

Nel valutare i rischi, l’organizzazione dovrà considerare non soltanto quelli strettamente connessi al sistema informativo (integrità, disponibilità e riservatezza), ma anche quelli relativi alla gestione degli incidenti, alla continuità operativa, all’approvvigionamento e alla manutenzione, nonché quelli riconducibili alla catena di fornitura, al fattore umano e alle misure di sicurezza fisica. Superando il concetto stretto di cybersecurity, la NIS 2 si concentra maggiormente sulla cyber resilience.

SUPPLY CHAIN RISK E SECURITY MANAGEMENT

Come nel Regolamento DORA, anche la NIS 2 concentra la sua attenzione sulla supply chain, considerata – assieme al fattore umano – l’elemento più vulnerabile della catena, così come testimoniato dai sempre più numerosi attacchi, il cui effetto domino ha portato all’indisponibilità di servizi critici. Si pone dunque la necessità di determinare criteri di affidabilità del fornitore, valutandone il rischio e richiedendo adeguate misure di mitigation e garanzie in termini di sicurezza delle informazioni e business continuity, per poi monitorarlo anche attraverso audit di seconda parte.

INCIDENT E CRISIS MANAGEMENT

La capacità reattiva dovrà essere fondata sull’early warning (a 24 ore dalla presa di conoscenza) e da un piano di comunicazione costante e periodico. In un contesto caratterizzato da MTTI medio (Mean Time To Identify) pari a 204 giorni ed MTTC (Mean Time To Contain) pari a 73 giorni, diventa immediatamente chiaro come la capacità reattiva delle organizzazioni assuma un rilievo di fondamentale importanza nel perseguire una politica realmente improntata sulla cyber resilience.

AWARENESS E FORMAZIONE

Poiché il fattore umano rimane il rischio più complesso da gestire, appare evidente come l’impegno dell’organizzazione nei confronti di campagne informative e percorsi formativi assuma un carattere cruciale: formazione che non dovrà limitarsi ad aspetti teorici ma che dovrà entrare nel merito delle policy, processi e procedure di gestione del rischio, della sicurezza e della continuità operativa, sino ad arrivare alla gestione di incident e crisi. Si consiglia, a tal proposito, di coinvolgere nei momenti info-formativi anche fornitori e clienti critici, adottando modelli didattici ad elevato valore aggiunto quali simulazioni e role play che possano mettere le persone nelle condizioni di simulare scenari basati su case study realistici.

Appare evidente, rispetto a quanto sopra indicato, che i pillar indicati trovino largo riscontro nella ISO 27001 e nella ISO 22301. Se è dunque vero che le organizzazioni già certificate ai sensi di queste norme non dovrebbero riscontrare eccessive difficoltà a rispettare gli standard di sicurezza indicati dalla NIS 2, potrebbe invece risultare vincente – per le realtà che ancora non si sono dotate di un sistema di gestione – iniziare un percorso di avvicinamento alla certificazione, così da consolidare la propria struttura organizzativa e, al contempo, fornire le migliori garanzie di affidabilità ai propri clienti.