Ecco i nuovi obblighi di cyber sicurezza a cui le aziende europee si devono attenere in materia di sicurezza dei dati.
Con l'aumento esponenziale dei cyberattacchi a cui abbiamo assistito negli ultimi anni, si è resa necessaria la modifica di una direttiva europea esistente, poichè troppo generica, la Network and Information System Security (NIS).
La Direttiva NIS (detta anche NIS1, per distinguerla dalla NIS2) adottata dall'Unione Europea nel 2016 e integrata in Italia nel maggio 2018 con il D. Lgs. N. 65/2018 stabiliva i requisiti minimi per la sicurezza delle reti e dei sistemi informativi per tutti gli stati membri.
La direttiva si applicava principalmente agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (DSP). I primi offrono servizi la cui interruzione avrebbe un impatto sulla società e/o sull'ambiente (energia, trasporti ferroviari, trasporti aerei, acqua potabile, ecc.) mentre i secondi offrono servizi basati su tecnologie digitali (internet, cloud computing, ecc.).
La direttiva, tuttavia, lasciava molta libertà agli stati membri sull'applicazione dei requisiti della stessa, senza fissare scadenze precise.
Cosa cambia con la direttiva NIS2?
Una delle novità principali di questa nuova direttiva è il suo ambito d'applicazione. La normativa, infatti, coinvolge settori che precedentemente non venivano citati, quali:
nuovi servizi digitali, come ad esempio data centre, content delivery network, provider, servizi di telecomunicazione.
servizi sanitari, quali società farmaceutiche e produttori di dispositivi medici (es. healthcare)
servizi di produzione, trasformazione e distribuzione di alimentari, compresa la grande distribuzione organizzata.
Un'altra importante novità presente in questa direttiva è la nuova definizione dei concetti di gestione del rischio e di valutazione delle vulnerabilità. Difatti, al suo interno viene regolamentata anche la supply chain (catena di approvvigionamento), che coinvolge tutti gli stakeholder (soggetti coinvolti nella catena di approvvigionamento).
Viene definito l'obbligo di adottare, da parte di tutte le imprese, nuove misure di sicurezza quali:
Policy sull'analisi dei rischi e sulla sicurezza dei sistemi informativi
Sistemi di gestione degli incidenti
Sistemi di business continuity, come un piano di disaster recovery e la gestione dei backup
Misure di sicurezza della supply chain
Sicurezza nell'acquisizione, nello sviluppo e manutenzione di sistemi informativi e reti, compresa la gestione e la divulgazione delle vulnerabilità
Policy e procedure relative all'uso della crittografia e della cifratura dei dati
Utilizzo di soluzioni di autenticazione a più fattori (MFA)
Formazione su nozioni d'informatica di base ed in materia di sicurezza.
Obblighi di notifica degli attacchi informatici
In aggiunta alle regole appena illustrate, è previsto un obbligo di notifica agli organi competenti (Computer Security Incident Response Team), di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio.
Anche il termine per la presentazione della notifica viene specificato nella direttiva. Essa fa riferimento ad un tempo limite di 24 ore dalla scoperta dell'artefatto per l'invio di un "early warning", che deve esserepoi seguito entro 72 ore da un'analisi dettagliata dell'incidente.
Tempi di implementazione
Gli stati membri hanno 21 mesi di tempo dalla pubblicazione in GU (Gazzetta Ufficiale) per poter procedere al recepimento della stessa a livello nazionale, a quel punto le norme diventeranno vincolanti per le imprese e le precedenti direttive (NIS1) verranno abrogate.
Fonti e link di approfondimento: