La Direttiva NIS2 costituisce il corpus delle regole che l'Unione europea ha adottato in materia di cyber security, con l'obiettivo di rafforzare il livello generale della resilienza dei sistemi critici dei Paesi membri. Ma in che modo il nuovo impianto normativo, entrato in vigore il 16 gennaio 2023, impatterà – o meglio: sta già impattando – sui servizi di data center e cyber security?
Le finalità della Direttiva NIS2: dalla protezione alla resilienza
Per fornire una risposta è prima di tutto necessario analizzare la portata e le finalità della Direttiva NIS2, che integra e aggiorna la prima Network & Information Security Directive, risalente al 2016. Come gli addetti ai lavori ben sanno, dal punto di vista delle tecnologie informatiche si tratta di un'era completamente diversa: l'exploit dei processi di digitalizzazione nei settori pubblico e privato, con la straordinaria accelerazione delle tecnologie di connettività e mobilità, ha ridefinito completamente la nozione di perimetro aziendale, tanto cara alle discipline più tradizionali dell'IT security.
Con la crescita esponenziale degli attacchi informatici e, più in generale, delle minacce cyber, si entra prepotentemente in una dimensione molto più estesa (si parla per l'appunto di superfici d'attacco), rispetto alla quale il concetto di protezione lascia sempre più spazio al tema della resilienza. In effetti, la Direttiva NIS2 si concentra soprattutto sulla capacità delle organizzazioni di diventare resilienti , sviluppando strumenti, processi e competenze che permettano di prevenire, laddove possibile, gli incidenti e di rispondere tempestivamente agli attacchi andati a buon fine, minimizzando gli effetti degli eventi indesiderati.
Cosa prescrive l'articolo 21 della Direttiva NIS2
La Direttiva NIS2 introduce quindi requisiti più stringenti in materia sia di cybersecurity sia di risk management. In particolare, l'articolo 21 della NIS2 stabilisce che gli Stati membri devono garantire che le organizzazioni pubbliche e private gestiscano il rischio attuando sistemi, politiche e buone pratiche che coprano un'ampia gamma di misure e discipline in materia di cibersicurezza, tra cui:
- analisi dei rischi e sicurezza dei sistemi informativi,
- gestione e segnalazione degli incidenti,
- continuità operativa, attraverso strumenti di backup e disaster recovery,
- gestione delle crisi,
- sicurezza della catena di approvvigionamento,
- sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi,
- pratiche di igiene informatica di base e formazione sulla cyber security,
- crittografia e tecnologie di crittografia,
- sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset,
- logiche di accesso Zero Trust.
La nuova catena di controllo prevista dalla Direttiva NIS2
In virtù del fatto che ormai nel mirino di hacker e criminali informatici ci sono tutte le tipologie di enti, la Direttiva NIS2 allarga anche i settori inclusi nel campo di applicazione del framework precedente. Viene meno la distinzione tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali e si istituiscono le categorie di Soggetti Essenziali e Soggetti Importanti, che comprendono tutti i player attivi nei settori che la direttiva considera ad alta criticità. Si parla in primis di Pubblica Amministrazione, ma anche di Energia, Trasporti, Finance, Sanità, Acqua potabile e Acque reflue, Infrastrutture digitali, Gestione dei servizi TIC e Spazio.
In generale, lo scopo della Direttiva NIS2 è quello di far sì che gli Stati membri dell'Unione si preparino ad affrontare gli scenari di cyber security peggiori, attraverso la creazione di strutture di controllo e intervento interconnesse. Ogni Paese, per esempio, deve istituire un team di risposta agli incidenti di sicurezza informatica (Computer Security Incident Response Team, CSIRT) e un'autorità nazionale competente in materia di reti e sistemi informativi che hanno il mandato preciso di cooperare nel momento in cui vengono identificati rischi cyber particolarmente gravi.
Come la Direttiva NIS2 impatta sulla catena di fornitura ICT
Fondamentale, per garantire che questo ecosistema funzioni correttamente, è assicurarsi che ciascun anello della catena ipotizzata dalla Direttiva NIS2 sia solido. Ecco perché le organizzazioni identificate dagli Stati membri come Operatori di Servizi Essenziali hanno l'obbligo di adottare misure di sicurezza adeguate e massimizzare gli sforzi per diventare resilienti. In tal senso, ottemperare alla Direttiva NIS2 vuol dire sostanzialmente agire sviluppando strumenti e competenze lungo tre assi:
- governance,
- risk management,
- supply chain.
Sotto il profilo della governance, la NIS2 impone al top management dei Soggetti Essenziali e Importanti non solo la creazione di misure per la gestione dei rischi, ma anche l'istituzione di programmi di formazione erogati con regolarità alla popolazione aziendale.
Rispetto al risk management, la Direttiva NIS2 stabilisce l'obbligo di valutare i rischi e di adottare misure di natura tecnica e organizzativa per contrastarli efficacemente.
I rischi da integrare nelle attività di assessment includono, come detto, anche e soprattutto quelli legati alla catena di fornitura, informatica e non: le organizzazioni devono quindi garantire la resilienza della propria supply chain, monitorando gli aspetti di sicurezza dei rapporti con i fornitori. A tutti gli enti coinvolti dal framework è quindi richiesto di considerare le vulnerabilità specifiche di ciascun partner e la capacità dei fornitori - ivi inclusi i cloud provider - di garantire la continuità operativa anche attraverso funzionalità specifiche di backup e recovery.
Nell'evidenziare i soggetti appartenenti ai settori ad alta criticità, del resto, la Direttiva NIS2 chiama esplicitamente in causa:
- i fornitori di servizi di cloud computing,
- i fornitori di servizi di data center,
- i fornitori di reti di distribuzione dei contenuti,
- i fornitori di servizi gestiti,
- i fornitori di servizi di sicurezza gestiti.
Puntare su realtà consolidate e dotate di competenze certificate è dunque essenziale nell'ottica di risultare conformi al nuovo framework, oltre che per garantire la resilienza del proprio business.
Cosa si rischia (e si guadagna) con l'introduzione della Direttiva NIS2
In caso di mancata compliance alla Direttiva NIS2 le imprese rischiano la sospensione temporanea dei certificati o delle autorizzazioni relativi a una parte o alla totalità dei servizi svolti. A questo può aggiungersi il divieto temporaneo da parte degli amministratori di svolgere le proprie attività.
Sono previste anche pesanti sanzioni:
- per i soggetti considerati essenziali, si parla di multe fino a 10 milioni di euro o equivalenti al 2% fatturato globale;
- per le organizzazioni importanti, invece, le sanzioni possono arrivare a 7 milioni di euro o all'1,4% del fatturato globale.
Come detto, però, investire in processi e risorse per risultare compliant non ha solo a che fare con l'obiettivo di evitare il regime sanzionatorio. C'è una serie di benefici concreti e misurabili che derivano da una corretta attuazione delle prescrizioni della Direttiva NIS2:
- ottimizzazione della postura difensiva dei processi,
- business continuity più efficace,
- migliore resilienza dell'azienda e della filiera,
- maggiore resistenza agli attacchi cyber,
- minimizzazione degli impatti finanziari degli incidenti cyber,
- riduzione delle responsabilità,
- reputazione più solida,
- vantaggio competitivo.
Ottemperare alla Direttiva NIS2, le azioni da intraprendere
Far evolvere tutti i livelli dell'organizzazione in funzione del nuovo framework normativo e risultare compliant alla Direttiva NIS2, infine, vuol dire essenzialmente operare su tre aree strategiche:
- formazione del personale,
- adeguamento alle politiche di sicurezza,
- investimento in tecnologie.
Si tratta di tre pilastri concettualmente separati ma interdipendenti dal punto di vista funzionale. Una buona dotazione tecnologica è inutile se la popolazione aziendale non dispone della giusta cultura digitale, la quale a sua volta non può prescindere da policy coerenti e aggiornate.
Dal punto di vista operativo, le organizzazioni devono in quest'ottica costruire e seguire una roadmap rigorosa che – al netto delle differenze che intercorrono da settore a settore – prevede comunque una serie di fasi e azioni specifiche:
Valutazione del campo di applicazione
- Determinare se l’organizzazione rientra nel campo di applicazione
- Identificare quali specifiche categorie di entità si applicano (operatori di servizi essenziali, fornitori di servizi digitali)
Analisi dei gap
- Effettuare un assessment rispetto ai requisiti della NIS2
- Identificare le aree di non conformità
- Definire una strategia di adeguamento
Miglioramento delle misure di sicurezza
- Implementare o migliorare le misure tecniche e organizzative
- Proteggere le reti e i sistemi informativi includendo sicurezza informatica, resilienza fisica, gestione della sicurezza della supply chain
Piani di risposta agli incidenti e di recupero
- Sviluppare o aggiornare i piani di risposta agli incidenti e di recupero dopo un attacco informatico
- Eseguire regolari esercitazioni di simulazione per testare l'efficacia dei piani di risposta
Formazione e consapevolezza
- Fornire formazione e sensibilizzazione sulla sicurezza informatica
- Mantenere il personale aggiornato
Collaborazione e condivisione delle informazioni
- Partecipare a iniziative di condivisione delle informazioni e di collaborazione
- Stabilire contatti con le autorità di regolamentazione e gli organismi di sicurezza nazionali pertinenti
Monitoraggio continuo e valutazione periodica
- Implementare processi per il monitoraggio continuo delle misure di sicurezza e per la valutazione periodica dell'efficacia delle politiche e delle procedure di sicurezza
- Prepararsi a revisioni e audit interni o esterni per dimostrare la conformità con la NIS2
In conclusione, la Direttiva NIS2 rappresenta un significativo passo avanti nella strategia di cyber security dell'Unione Europea, enfatizzando la resilienza e la protezione della supply chain. L'impatto sui servizi di data center e cyber security è già tangibile, con l'introduzione di requisiti stringenti che obbligano le organizzazioni a migliorare le loro misure di sicurezza, gestire i rischi in modo più efficace e garantire la continuità operativa.
La conformità alla Direttiva NIS2 non solo evita sanzioni pesanti, ma offre anche vantaggi concreti che contribuiscono alla reputazione e alla competitività aziendale. Investire in formazione, adeguamento delle politiche di sicurezza e tecnologie avanzate diventa quindi essenziale per costruire un ecosistema di sicurezza robusto e resiliente, capace di affrontare le sfide sempre più complesse del panorama cyber attuale.