Lo scorso 17 Gennaio 2023 è entrata in vigore la Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni (c.d. Direttiva NIS2), che ha abrogato la precedente Direttiva UE 2016/1148.
La Direttiva in parola segna un passo fondamentale verso la piena definizione della strategia per la cybersicurezza dell’Unione Europea.
I sistemi informatici e di rete, infatti, occupano ormai una posizione centrale nella vita di tutti i giorni con la rapida trasformazione digitale e l’interconnessione della società, anche negli scambi transfrontalieri. Da ciò ne è disceso un aumento delle minacce informatiche, a fronte delle quali devono essere predisposti adeguati presidi.
Cosa cambia con l’entrata in vigore della Direttiva NIS2?
La Direttiva segna anzitutto un rilevante cambiamento rispetto al passato: la cybersicurezza non è più un tema di esclusivo interesse di chi gestisce i sistemi informativi, ma adesso riguarda anche gli organi di gestione aziendale, i quali saranno tenuti a prendere parte a percorsi di formazione specifici in tema di cyber security.
In concreto, l’art. 21 della Direttiva individua le misure, basate su un approccio c.d. multirischio, idonee a proteggere i sistemi informatici di rete e il loro ambito fisico da incidenti ed il cui contenuto minimo prevede:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
- politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Inoltre, si dovrà tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cybersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
I soggetti c.d. essenziali e importanti, come individuati dalla Direttiva NIS2, dovranno perciò adeguarsi a dette misure.
Gli Stati membri hanno adesso tempo fino al 17 Ottobre 2024 per recepire le disposizioni della Direttiva in esame.
