La direttiva NIS2 è ufficialmente operativa e l’iter di adozione nazionale è in corso. Per molte organizzazioni, questo significa entrare nel vivo di un processo di adeguamento che non può essere rimandato.
Rispetto alla precedente direttiva NIS, il nuovo quadro normativo è più ampio e stringente: non solo cresce il perimetro dei soggetti coinvolti, ma vengono rafforzati anche gli obblighi in termini di governance, gestione del rischio, sicurezza della supply chain e risposta agli incidenti. Ecco perché, pur rivolgendosi ad aziende che non sono digiune di cybersecurity, l’adeguamento alla normativa merita un’attenzione rinnovata.
Uno degli errori più frequenti in questa fase è farsi prendere dalla corsa all’adeguamento, implementando tecnologie o modificando assetti organizzativi senza una puntuale comprensione dello stato di partenza.
Ogni percorso efficace verso la conformità dovrebbe iniziare con un assessment approfondito, che includa una Gap Analysis strutturata. L’obiettivo è individuare con precisione le aree di non conformità rispetto ai requisiti della Direttiva, distinguendo tra ciò che è già compliant, ciò che va potenziato e ciò che manca del tutto.
Per supportare la fase di assessment, basilare ai fini dell’adeguamento a NIS2, abbiamo raccolto 10 domande chiave che possono formare uno strumento di autovalutazione, una NIS2 checklist. L’obiettivo è mettere a disposizione delle aziende uno strumento semplice ma concreto per capire se l’organizzazione, pur dotata di strategia, strutture e processi di sicurezza informatica, sia allineata o meno ai requisiti posti dal legislatore europeo.
NIS2 si applica a soggetti pubblici e privati che operano in settori ritenuti essenziali o importanti per la sicurezza e il funzionamento dell’economia e della società. L’inclusione dipende sia dal settore di appartenenza che dalla dimensione dell’organizzazione, che a sua volta viene valutata in base a fatturato annuo e numero di dipendenti.
In generale, la Direttiva si applica a imprese di medie e grandi dimensioni, nonché ad alcune PMI che fanno parte di catene del valore critiche, ovvero sono fornitori di aziende in perimetro NIS2.
L’identificazione è dunque il primo passo: senza una corretta classificazione del proprio profilo, ogni valutazione successiva rischia di essere parziale o errata.
Uno dei requisiti chiave di NIS2 è l’adozione di un approccio sistemico alla gestione del rischio cyber. Questo significa che le organizzazioni devono disporre di un sistema documentato per l’identificazione, la valutazione e il trattamento dei rischi che impattano sulla continuità e la sicurezza dei servizi essenziali.
La semplice consapevolezza delle minacce e la disponibilità di tool come firewall e sistemi di controllo accessi non è sufficiente: servono analisi formali e aggiornate, registri dei rischi, metriche di impatto, piani di trattamento e processi di riesame.
NIS2 richiede alle organizzazioni di instaurare un rapporto strutturato con le autorità competenti, tra cui l’ACN – Agenzia per la Cybersicurezza Nazionale - responsabile dell’attuazione e supervisione della direttiva in Italia.
Per garantire continuità nei rapporti istituzionali e una gestione efficace degli obblighi di conformità, è necessario individuare responsabilità chiare in ambito cyber. La Direttiva, infatti, introduce una forte accountability del top management, che non può limitarsi a delegare le attività operative.
È dunque essenziale che la governance aziendale preveda una catena di responsabilità formalizzata, con ruoli, compiti e procedure ben definiti. La presenza di un CISO (interno o esterno) con un mandato preciso e un’interfaccia attiva con le autorità è oggi un requisito implicito della conformità NIS2.
NIS2 richiede l’adozione di misure tecniche e organizzative adeguate e proporzionate ai rischi cui l’azienda è soggetta.
In quanto di alto livello, la normativa NIS2 non prescrive strumenti specifici, ma definisce ambiti da presidiare. Tra le misure tecniche possono quindi rientrare la segmentazione delle reti, la cifratura dei dati, la gestione delle vulnerabilità, il controllo degli accessi e, in ambito di data protection, politiche di backup e di disaster recovery.
Nell’ambito delle misure organizzative rientrano policy formalizzate, programmi di formazione, processi di gestione del rischio e, come detto, ruoli e responsabilità ben definite.
Molte organizzazioni investono in prevenzione, ma sono piuttosto lacunose per quanto concerne i processi di gestione delle crisi.
NIS2 impone l’attivazione di un piano di gestione degli incidenti, che deve includere responsabilità, procedure e meccanismi di escalation. Sono inoltre previsti obblighi stringenti di notifica, che di fatto richiedono la disponibilità di processi efficaci e testati.
I soggetti che rientrano nel perimetro di NIS2 devono implementare soluzioni in grado di garantire la “sicurezza della catena di approvvigionamento”. Questo obbligo ha un effetto a cascata: molte aziende che non rientrano formalmente nella Direttiva si trovano comunque obbligate a potenziare la propria postura di sicurezza poiché operano come fornitori strategici di enti essenziali o importanti.
La valutazione della supply chain implica capacità di mappatura dei fornitori critici, l’analisi dei rischi derivanti da terze parti e la definizione di requisiti minimi di sicurezza (es. SLA, audit, attestazioni). La gestione dei partner esterni diventa così parte integrante del ecosistema di sicurezza aziendale.
La Direttiva considera la sicurezza un processo trasversale che coinvolge l’intera organizzazione.
Tra le misure organizzative richieste, rientrano in modo esplicito anche le attività di formazione del personale, che le aziende migliori traducono in programmi attivi di security awareness, aggiornati e mirati. Il loro scopo è aiutare le persone a riconoscere e gestire situazioni a rischio (es. phishing, social engineering, utilizzo non corretto di strumenti digitali), anche con l’adozione di strumenti moderni come le simulazioni.
Secondo numerosi studi, buona parte degli incidenti informatici deriva da errori umani involontari.
Per farvi fronte, oltre alla formazione prevista nel capitolo precedente, è necessario adottare misure tecniche e procedurali che riducano al minimo i rischi legati alle risorse umane: ad esempio, l’autenticazione a più fattori, la crittografia delle comunicazioni, l’uso di canali sicuri per la trasmissione dei dati e l’implementazione di criteri chiari di accesso basati sul principio del minimo privilegio.
NIS2 richiede alle aziende non solo di prevenire gli attacchi, ma di saper garantire la continuità dei servizi anche in caso di incidenti.
Per questo motivo, diventano necessari piani (efficaci e testati) di business continuity e disaster recovery. Più in dettaglio, bisogna disporre di backup affidabili, testati e immutabili, nonché soluzioni e piani di ripristino in grado di garantire il recupero dei dati e la continuità delle funzioni critiche in tempi accettabili. Questi piani non devono semplicemente esistere, ma devono anche essere testati periodicamente, documentati e aggiornati alla luce dell’evoluzione delle minacce.
Essere sicuri significa adottare un approccio in cui le misure di sicurezza vengono monitorate, valutate e migliorate in modo continuo.
Questo richiede l’adozione di un sistema di controllo periodico che includa audit interni, revisione delle policy, aggiornamento dei processi e costante verifica dei fornitori, poiché il contesto tecnologico, normativo e delle minacce è in continua evoluzione.