Direttiva NIS2 e il suo impatto sulle aziende

In questo articolo, Luciano Quartarone, CISO e DPO di Archiva Group, spiega come la Direttiva NIS2 vada a influenzare una vasta gamma di settori, ampliando il raggio d’azione rispetto al suo predecessore, la NIS 1. L’articolo offre un’analisi approfondita su come le aziende possono e devono adattarsi a questi cambiamenti per garantire non solo la conformità normativa, ma anche la fiducia continua dei loro clienti.

Buona lettura!

L’impatto della direttiva NIS2 sulle aziende: come rafforzare la resilienza digitale in tre step

Al centro della trasformazione digitale che coinvolge l’Europa, le aziende si trovano a fronteggiare sfide senza precedenti in materia di sicurezza informatica. Gli attacchi cyber sono sempre in costante aumento, sia in termini di frequenza sia di sofisticazione e costringono le imprese a mantenere un alto presidio sulle proprie infrastrutture, digitali e non, a protezione dei loro dati e del loro business. In questo contesto, il Parlamento Europeo e il Consiglio hanno introdotto un nuovo strumento normativo che mira a rafforzare e unificare la resilienza digitale del continente: la Direttiva NIS2.

Questa normativa rappresenta un passo cruciale verso un’elevata standardizzazione della sicurezza informatica a livello europeo e impone obblighi significativi a una vasta gamma di settori. Recepita nell’ordinamento giuridico italiano con il D.lgs 138/2024, in vigore dal 17 ottobre scorso, la Direttiva NIS2 amplia, rispetto all’antecedente NIS 1, il suo raggio d’azione e include non solo le comunemente note infrastrutture essenziali, ma un ventaglio più ampio di settori considerati tutti altamente critici o critici per l’economia e il sistema Paese ed Europa. Ciò richiede alle imprese un cambio di passo netto nella gestione della sicurezza informatica. In questo cambio, le aziende non devono più considerare che eventualmente, in un futuro potrebbero verificarsi degli eventi avversi, ma essere pronte a gestirli. Non più, dunque, se, ma quando si verificheranno.

Tra i principali elementi di novità introdotti dalla NIS2, spicca il maggiore coinvolgimento da parte dei vertici aziendali, che sono chiamati a svolgere un ruolo proattivo nell’ambito della compliance normativa e della sicurezza informatica nello specifico. Una maggiore responsabilizzazione dei vertici aziendali, con conseguenze anche sul piano sanzionatorio (che possono arrivare anche alla determinazione dell’incapacità, nei confronti delle persone fisiche responsabili per le aziende o che agiscono in qualità di loro rappresentante legale), permette di accrescere la consapevolezza dell’organizzazione e di poter ottenere un alto livello di conformità.

La direttiva impone la nomina di un punto di contatto, e di un suo sostituto, che nello svolgimento delle proprie funzioni di collegamento fra l’azienda, la norma e ACN, l’Agenzia per la Cybersicurezza Nazionale, può avvalersi di figure esterne, ma non è possibile affidare totalmente in outsourcing tale ruolo. Questa figura è cruciale, per garantire una risposta rapida ed efficace in caso di incidenti di sicurezza e per garantire la definizione e applicazione di un programma anche pluriennale di sicurezza informatica. Non rispettare questi obblighi può comportare sanzioni severe, che vanno dai 7.000.000 ai 10.000.000, ovvero dal 2% al 4% del fatturato annuo su scala mondiale. Questo sottolinea l’importanza che l’Unione Europea richiede che le aziende attribuiscano alla sicurezza informatica.

Un ulteriore aspetto importante della NIS2 è la sua capacità di coordinarsi con altre normative, come il GDPR, per garantire che le misure di sicurezza non siano solo fisiche, ma anche digitali. Questo crea un ambiente in cui le imprese devono considerare seriamente la loro infrastruttura IT e la catena di fornitura, assicurandosi che ogni parte coinvolta rispetti elevati standard di sicurezza. Non possiamo ignorare l’impatto che NIS2 avrà sull’operatività aziendale. Le organizzazioni devono rimanere vigili e agili, e affrontare festinamente cambiamenti strutturali che potrebbero essere necessari per allinearsi alla direttiva.

In questo vortice di cambiamento è chiaro che la responsabilità ultima rispetto alla sicurezza informatica dell’azienda rimane con l’azienda stessa, ma è altrettanto evidente che la collaborazione con fornitori qualificati è cruciale per mantenere alti standard di sicurezza, in modo particolare quando questi fornitori giocano un ruolo cruciale nella produzione o erogazione dei prodotti e dei servizi per i quali l’azienda è in ambito NIS2.

La Direttiva NIS2 rappresenta un’opportunità per le aziende di tutto il continente di ridefinire le loro strategie di sicurezza. È nostro dovere, come leader aziendali, abbracciare e promuovere questi cambiamenti non solo per mantenere la conformità normativa, ma per proteggere e garantire la fiducia dei nostri clienti. Ogni azienda dovrebbe fin da subito, senza aspettare la formalizzazione dell’adozione dei controlli da parte di ACN, avviare dei processi operativi, informativi e ispettivi, a fondamento della corretta definizione della postura di sicurezza dell’azienda stessa. Ma come implementare la corretta strategia per rafforzare la resilienza digitale e rispettare la direttiva NIS2? Ecco i tre step fondamentali:

1. Gap analysis. Questa fase di analisi è propedeutica alla definizione di un progetto di lavoro di ampio respiro e non dovrebbe essere sottovalutata. La gap analysis evidenzia alla direzione aziendale qual è lo stato dell’arte non tanto rispetto la direttiva NIS2, quanto ai più riconosciuti standard di settore che sono alla base dei requisiti tecnici e metodologici per le misure di gestione dei rischi cyber. Le aziende già in possesso della certificazione ISO/IEC 27001, sono evidentemente avvantaggiate. Chi non avesse già conseguito questa certificazione, che rimane non obbligatoria e di adozione facoltativa, può valutare l’opportunità di avviare la ristrutturazione dei propri processi aziendali in modo coerente con la ISO/IEC 27001.
2. Risk assessment e gestione degli incidenti. È necessario avere una metodologia di analisi dei rischi, qualitativa o quantitativa non è importante, che sia capace di individuare puntualmente i rischi IT che l’azienda deve affrontare e che sia capace di dialogare al vertice aziendale come anche ai livelli operativi che materialmente dovranno intervenire su processi e infrastrutture per mitigare gli effetti conseguenti alla concretizzazione dei rischi ipotizzati e non. È necessario avere dei piani e dei processi di gestione degli incidenti realmente efficaci e provati. Non è possibile aspettare che capiti un determinato evento per iniziare a domandarsi, proprio nel momento dell’urgenza, della frenesia e, magari, anche del panico, come deve essere gestito un certo evento. Questi piani devono essere realmente testati con simulazioni sul campo o con incontri di formazione interna. Lo stesso approccio lo si deve avere sulla continuità operativa. L’azienda deve prima determinare quali sono i propri obiettivi di continuità operativa, a livello di business, e poi adattare l’implementazione dei processi tecnici e anche la selezione dei fornitori, sulla base di questi obiettivi.
3. Formazione. Infine, l’azienda deve approntare dei piani e percorsi di formazione che siano in grado di modificare abitudini errate e trasferire competenze tecniche specialistiche. Destinatari primi di questi percorsi formativi saranno proprio i vertici aziendali che non possono più sottrarsi dal ricevere una formazione specifica. La Direttiva NIS2, all’art. 23 è molto chiara su questo punto: gli organi di amministrazione e gli organi direttivi delle aziende sono tenuti a seguire una formazione in materia di sicurezza informatica e promuovono l’offerta periodica di formazione ai loro dipendenti.

di Luciano Quartarone, CISO e DPO di Archiva Group