Nel panorama tecnologico odierno, la dipendenza dalle infrastrutture digitali è diventata una costante per tutti i settori economici e sociali. Tuttavia, con la crescita esponenziale della digitalizzazione, emerge anche uno scenario di rischi crescenti per la sicurezza informatica. La Direttiva NIS2 (UE 2022/2555), promulgata dall’Unione Europea, rappresenta una risposta concreta a questa sfida. Il suo scopo è garantire che le infrastrutture critiche siano adeguatamente protette e resilienti, riducendo al minimo gli impatti di attacchi informatici su vasta scala. In Italia, lo schema di decreto legislativo n. 164 formalizza di fatto il recepimento della direttiva, imponendo obblighi stringenti a enti pubblici e privati. Le organizzazioni sono quindi chiamate a prepararsi a soddisfare i relativi requisiti e, per farlo, la scelta di un partner all’altezza – in grado di compiere con esse un viaggio verso una postura di conformità avanzata che è sì impegnativo ma anche vantaggioso per il business – non può che essere la via migliore.
Perchè NIS2 è necessaria?
La stabilità economica e sociale di un paese dipende dalla sicurezza delle sue infrastrutture digitali. Il contesto globale e l’incremento vertiginoso delle minacce informatiche – documentato dalle ricerche degli analisti e accompagnato da un’evoluzione nelle tattiche e tecniche dei criminali informatici – evidenziano in modo chiaro come attacchi sofisticati possano compromettere non solo il sistema di un singolo Paese, ma avere ripercussioni a cascata in tutta l’Unione Europea. Tre fattori chiave hanno reso urgente la necessità di NIS2 quindi, li riassumiamo: negli ultimi anni, processi fondamentali, come quelli industriali e amministrativi, sono stati digitalizzati, ampliando la superficie di attacco (digitalizzazione estesa); la condivisione massiccia di dati e servizi oggi implica che un attacco su un’infrastruttura critica in un Paese possa causare danni significativi anche altrove (interdipendenza tra i Paesi UE); una risposta unitaria e condivisa è la via migliore per migliorare la postura di sicurezza delle organizzazioni, proteggendo quelle considerate essenziali e importanti (e questo rappresenta un ovvio obiettivo strategico).
Secondo le stime, l’adeguamento alla NIS2 coinvolge oltre 15mila ragioni sociali in Italia, e richiede un incremento medio del 20% nei budget IT delle organizzazioni coinvolte.
Ambiti di applicazione
E’ sempre il DL 164 a fare da bussola, per quanto riguarda gli ambiti di applicazione. Da una parte NIS2 definisce due categorie principali di soggetti privati rientranti nell’ambito di applicazione, suddivisi per criticità e importanza strategica. Si parla quindi di Soggetti Essenziali (Altamente Critici), definizione che include grandi imprese con più di 250 dipendenti o ricavi superiori a 50 milioni di euro (o un bilancio che supera i 43 milioni di euro) e appartenenti a settori come energia, trasporti, sanità, infrastrutture digitali, gestione dei servizi TIC (tecnologie dell’informazione e della comunicazione business-to-business), aziende del settore spaziale.
E si parla anche di Soggetti Importanti (Critici) in cui sono incluse le medie imprese con oltre 50 dipendenti o ricavi superiori a 10 milioni di euro (o un bilancio che supera i 5 mln), operanti in settori come i servizi postali e di corriere, la gestione dei rifiuti, la produzione e la distribuzione alimentare, i provider digitali (social network, motori di ricerca, marketplace).
Ovviamente NIS2 riguarda anche le pubbliche amministrazioni. In particolare, si applica a un nutrito elenco di enti pubblici, tra cui le Amministrazioni Centrali (organi costituzionali, ministeri, autorità amministrative indipendenti), Amministrazioni Regionali e locali (regioni, province autonome e comuni con oltre 100mila abitanti), nonché enti di ricerca, istituti culturali, e società a controllo pubblico, così come quei soggetti che forniscono servizi di trasporto pubblico locale, gli istituti di istruzione che svolgono attività di ricerca i soggetti che svolgono attività di interesse culturale e le società in house, tra cui le società partecipate e quelle a controllo pubblico.
NIS2, elementi caratterizzanti
NIS2 introduce un quadro di obblighi articolato, che include in primis la registrazione e l’identificazione delle organizzazioni che devono autonomamente registrarsi come soggetti essenziali o importanti su un portale apposito gestito dall’ACN. Questa registrazione, obbligatoria entro specifiche scadenze annuali, comporta anche la comunicazione di informazioni sensibili, come indirizzi IP e nomi di dominio utilizzati. L’Agenzia per la Cybersicurezza Nazionale (ACN) svolge quindi un ruolo centrale, monitorando l’attuazione della NIS2 e imponendo misure correttive. In particolare, le sue responsabilità comprendono l’emissione di linee guida e raccomandazioni, il controllo del rispetto degli obblighi normativi, l’imposizione di sanzioni in caso di non conformità. Ed è affiancata dal CSIRT (il team nazionale di risposta agli incidenti di cybersecurity) che rappresenta organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i soggetti essenziali e importanti (con anche il compito di emettere preallarmi, raccogliere ed analizzare dati forensi, effettuare su richiesta le scansioni proattive dei sistemi informativi dei soggetti, etc.).
Di pari passo gli organi amministrativi e direttivi delle organizzazioni sono direttamente responsabili della supervisione della conformità alla NIS2. Devono quindi approvare le misure di gestione dei rischi informatici, promuovere formazione periodica sulla sicurezza per il personale, garantire l’applicazione di pratiche sicure, come l’autenticazione a due fattori e l’uso della crittografia, tutti gli obblighi in materia di incidenti. Soprattutto, gli incidenti significativi devono essere notificati secondo un processo rigoroso, che riproponiamo per scandirne l’importanza e la cogenza.
1. Pre-notifica: Entro 24 ore dalla scoperta dell’incidente.
2. Notifica completa: Entro 72 ore, includendo una valutazione iniziale del danno.
3. Relazione finale: Entro un mese, con una descrizione dettagliata dell’incidente, le misure adottate e i potenziali impatti transfrontalieri.
La mancata conformità comporta sanzioni importanti, per le imprese e pene amministrative per i responsabili. La ACN è incaricata di monitorare costantemente l’applicazione degli obblighi da parte delle organizzazioni, attraverso verifiche documentali, ispezioni in loco e richieste di audit specifici. In caso di non conformità, l’autorità può imporre misure correttive vincolanti o sanzioni economiche. Le sanzioni pecuniarie possono raggiungere cifre significative: fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, e fino a 7 milioni di euro o l’1,4% del fatturato per i soggetti importanti. Per le pubbliche amministrazioni, le multe sono inferiori ma comunque rilevanti, partendo da 25.000 euro. Lasciamo al testo della direttiva NIS2 la possibilità di approfondire i dettagli nel modo più corretto; a nostro avviso in questo caso è più importante comprendere che, recepita la Direttiva NIS2 con il relativo decreto legge, già ora – e ancora di più con l’inizio del nuovo anno – le aziende sono chiamate a “ripensare” a 360 gradi la propria postura in relazione ai temi NIS2 che non è un regime di vigilanza e sanzioni non ha un intento meramente punitivo, ma punta a incentivare le organizzazioni a considerare la sicurezza informatica come una priorità strategica.
Cosa fare per adeguarsi
La conformità a NIS2 richiede un approccio strutturato di cui vogliamo cogliere almeno i punti chiave per un primo orientamento. Includono, in primis, lo studio di policy di sicurezza per cui le organizzazioni devono adottare politiche di gestione dei rischi (1) che comprendano l’analisi approfondita delle minacce e la pianificazione per la continuità operativa con il ripristino in caso di disastri. Devono inoltre pensare nel dettaglio alla formazione periodica su temi di sicurezza (2) che è essenziale per tutto il personale, con programmi adattati ai diversi ruoli.
Sono quindi necessari in primis strumenti tecnologici avanzati (3), come per esempio quelli SIEM (Security Information and Event Management) per la gestione delle minacce, i sistemi di autenticazione multifattoriale e le piattaforme di gestione delle identità digitali. Ma serve soprattutto un piano di gestione degli incident (4) comprensivo di come strutturare una capacità di risposta immediata e naturalmente l’adozione di strumenti come il SOC (Security Operations Center).
Come gestire gli incidenti
Uno degli aspetti più critici introdotti dalla direttiva NIS2 riguarda proprio la gestione degli incidenti informatici. La complessità e la rapidità con cui un attacco può propagarsi rende fondamentale un sistema efficace di rilevamento, risposta e notifica. La normativa richiede che le organizzazioni classificate come soggetti essenziali o importanti rispettino tempistiche precise per comunicare eventuali incidenti significativi all’Agenzia per la Cybersicurezza Nazionale.
Il processo di notifica, lo abbiamo già visto solo in sintesi, si articola in tre fasi. Ora entriamo solo un poco di più nei dettagli.
La prima fase consiste in una pre-notifica entro 24 ore dal momento in cui l’organizzazione viene a conoscenza dell’incidente. Questo primo passo permette all’ACN di avere una visione immediata della situazione e valutare se l’incidente possa derivare da atti illeciti o avere un impatto transfrontaliero. Successivamente, entro 72 ore, deve essere inviata una notifica dettagliata che aggiorni le informazioni iniziali, includendo una valutazione della gravità e dell’impatto dell’evento. Infine, entro un mese, è necessario presentare una relazione finale che contenga una descrizione dettagliata dell’incidente, le cause originarie (root cause) e le misure adottate per mitigare i danni.
Questo approccio non si limita alla gestione degli incidenti ma mira anche a promuovere una cultura della trasparenza e della responsabilità. Le organizzazioni sono infatti chiamate a dimostrare che dispongono di piani solidi e procedure efficaci per la prevenzione e la gestione delle emergenze. La mancata conformità, oltre a esporre l’azienda a sanzioni economiche significative, può comportare ripercussioni sulla reputazione, soprattutto nei casi in cui l’ACN decida di informare direttamente i destinatari dei servizi circa l’incidente. E proprio per garantire il rispetto di tali obblighi, molte organizzazioni stanno scegliendo proprio di affidarsi ai servizi dei Soc per il monitoraggio e la risposta agli incidenti. Questi centri operativi sono supportati da tecnologie SIEM ed xDR (Extended Detection and Response), che consentono di analizzare grandi volumi di dati in tempo reale, rilevare anomalie e attivare contromisure tempestive.
NIS2, approccio proattivo sul campo
Prepararsi alla conformità con la NIS2, facile capirlo quindi, non è un processo che può essere improvvisato. Le organizzazioni devono adottare un approccio proattivo, pianificando ogni fase con attenzione. Una guida è proposta dalla stessa NIS2, laddove sono stati delineati i quattro passaggi fondamentali. Che ripercorriamo.
Il primo passo è rappresentato dall’analisi dei rischi, che richiede di identificare tutte le potenziali minacce e valutarne l’impatto sull’operatività. Questo processo, che deve essere continuativo, aiuta a definire un quadro chiaro delle vulnerabilità esistenti.
L’aspetto formativo gioca un ruolo essenziale. I dirigenti e i dipendenti devono ricevere formazione continua per acquisire competenze in materia di sicurezza informatica. Non basta conoscere le tecnologie; è fondamentale comprendere come i rischi possano evolversi e come prevenirli. Ad esempio, programmi di awareness training aiutano il personale a riconoscere tentativi di phishing e altre minacce quotidiane.
Parallelamente, le organizzazioni devono investire in soluzioni tecnologiche avanzate, come sistemi di autenticazione a più fattori, crittografia dei dati e piattaforme di gestione delle identità digitali. Tuttavia, le tecnologie da sole non sono sufficienti: devono essere integrate in un ecosistema di sicurezza globale, che includa la gestione dei fornitori e l’implementazione di processi di sicurezza by design.
Un aspetto spesso trascurato ma cruciale riguarda la sicurezza della supply chain. La NIS2 richiede che le organizzazioni valutino la resilienza dei loro fornitori, eseguendo audit periodici e integrando la sicurezza nei contratti. Questo approccio consente di mitigare i rischi derivanti da dipendenze esterne.
Var Group, la conformità come vantaggio competitivo
Var Group affronta la sfida della conformità alla NIS2 con un approccio metodico, che mira non solo a soddisfare i requisiti normativi ma a trasformarli in un’opportunità strategica per le aziende. La proposta si distingue per la sua completezza, combinando competenze tecnologiche e consulenziali, un percorso graduale e strumenti tecnologici all’avanguardia.
La prima fase, NIS2 Assessment & Gap Analysis, rappresenta un momento cruciale. Durante questa analisi, Var Group collabora con l’organizzazione per eseguire una mappatura completa dello stato attuale della sicurezza informatica rispetto agli obblighi della direttiva. Questo processo non si limita a una revisione superficiale, ma include un’analisi dettagliata delle procedure, dei sistemi e della consapevolezza interna del personale. L’obiettivo è identificare i cosiddetti gap, ovvero le discrepanze tra ciò che è richiesto dalla normativa e ciò che l’organizzazione ha già in atto. Ogni lacuna viene documentata con precisione, e per ciascuna di esse viene proposta una strategia di remediation chiara e praticabile. Ad esempio, se l’organizzazione non dispone di un piano di risposta agli incidenti adeguato, Var Group propone una soluzione completa, che può includere la progettazione di un Security Operations Center (SOC) o l’adozione di strumenti come SIEM e xDR. Questo primo step, della durata stimata di uno o due mesi, è pensato per fornire una roadmap dettagliata e personalizzata, che definisce tempi, risorse e costi necessari per raggiungere la conformità.
Il secondo step, il Supporto all’Implementazione, è la fase più operativa e strategica. Una volta identificati i gap, Var Group si occupa di guidare l’organizzazione nell’adozione delle misure correttive. Questo processo, che può durare fino a un anno, viene personalizzato in base alle dimensioni e alle esigenze dell’azienda, mantenendo un equilibrio tra velocità di esecuzione e qualità degli interventi.
Durante questa fase, Var Group integra un ventaglio di soluzioni tecnologiche e consulenziali. Sul fronte tecnologico, propone l’adozione di strumenti fondamentali per la protezione dei dati e dei sistemi, come sistemi di autenticazione a più fattori, firewall avanzati, piattaforme di crittografia e sistemi di gestione delle identità digitali (IAM). Tuttavia, l’aspetto tecnologico è solo una parte del quadro. Var Group lavora anche sul piano organizzativo, aiutando l’azienda a definire policy e procedure solide, a formare il personale e a costruire un approccio di sicurezza by design. Un elemento distintivo di questa fase è il forte supporto consulenziale. Var Group non si limita a implementare tecnologie, ma assiste il cliente nel definire ruoli e responsabilità, nell’aggiornare l’organigramma della sicurezza informatica e nel costruire una cultura della sicurezza a tutti i livelli dell’organizzazione.
La struttura modulare dell’approccio consente a Var Group di adattarsi alle esigenze del cliente. Se l’organizzazione necessita di interventi più rapidi su aspetti specifici, è possibile concentrarsi sulle aree più critiche, accelerando l’implementazione delle remediation prioritarie. Allo stesso tempo, per aziende con esigenze più complesse, il processo può essere esteso e integrato, garantendo risultati duraturi e conformità sostenibile.
Per saperne di più scarica il whitepaper: NIS2, tutto quello che c’è da sapere…
Non perdere tutti gli approfondimenti della Room One Security by Var Group
© RIPRODUZIONE RISERVATA
