NIS “Network and Information Systems”, provvedimento contenente misure pensate per aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell'Unione Europea.
Può rientrare nel Perimetro di Sicurezza Nazionale Cibernetica qualunque soggetto pubblico o privato che fornisca un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato".
La direttiva UE "Nis2", che dovrà essere recepita da parte di ogni Stato membro entro il 17 ottobre 2024, introduce nuove regole per la sicurezza della supply chain delle infrastrutture critiche o importanti.
Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.
Cosa cambia nello specifico ?
La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:
Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.
Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.
Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.
Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.
Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.
È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.
Oggetivamente bisogna prenderne atto e confrontarsi con la realtà che indica che l'aumento della digitalizzazione e il conseguente ampliamento della superficie di attacco informatico in Europa, hanno reso necessario estendere il perimetro della precedente direttiva (già obbligatoria per alcuni settori considerati essenziali) anche ad altri settori merceologici.
Quindi tutte le organizzazioni impattate dovranno adempiere agli obblighi di cybersicurezza prescritti dalla direttiva per non incorrere in sanzioni.
Come adeguarsi a NIS 2 ?
Network Security
La famiglia di soluzioni per la sicurezza delle connessioni di Rete dove trovare le risposte per le misure di gestione degli incidenti, business continuity, sicurezza dei sistemi e strategie cyber di NIS 2.
Cloud Security
Servizi per la protezione di siti web, identità e accessi, rilevamento delle vulnerabilità, in conformità con i parametri di NIS 2 per: risk management, gestione degli incidenti, sicurezza dei sistemi, sicurezza personale, autenticazione e strategie cyber.
Managed Security Services
Un SOC dedicato per prevenire, analizzare e rispondere a eventuali minacce informatiche, in linea con le misure di risk management, gestione degli incidenti, business continuity, supply chain, sicurezza dei sistemi, strategie cyber e formazione di NIS 2.