NAKIVO > Blog

Guida approfondita alla direttiva NIS 2: rafforzare gli standard di sicurezza informatica dell’UE

Pubblicato: Ottobre 2, 2024

Written by: NAKIVO Team

> Nel 2022, secondo l’Agenzia dell’Unione europea per la sicurezza informatica, il costo medio di un incidente informatico nell’UE era pari a 200.000 euro. Con un aumento annuo del 150% del numero di minacce informatiche e circa 280 attacchi ransomware al mese, si prevede che questi costi continueranno ad aumentare. Il panorama delle minacce informatiche in continua evoluzione richiede una maggiore resilienza e una migliore consapevolezza dei rischi da parte delle organizzazioni dell’UE, il che ha portato alla nuova legge dell’UE sulla sicurezza informatica: la direttiva NIS2.

Questo post tratta i requisiti della direttiva NIS2 e il loro impatto sul panorama digitale dell’UE. Esploreremo anche come la soluzione di NAKIVO può aiutarti a proteggere i tuoi dati in un ambiente conforme alla NIS2.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Che cos’è la NIS2?

La NIS2 è una direttiva UE sulla sicurezza delle reti e dell’informazione n. 2022/2555 pubblicata ufficialmente nel dicembre 2022 ed entrata in vigore all’inizio del 2023. La NIS2 mira a standardizzare e migliorare la sicurezza informatica in tutta l’UE. La direttiva sostituisce la precedente direttiva NIS1, entrata in vigore nel 2016.

A differenza dei regolamenti direttamente applicabili come il Digital Operational Resilience Act (DORA), che rimane lo stesso in tutti gli Stati membri dell’UE, le direttive devono essere adattate alle leggi nazionali da ciascuno Stato individualmente. Gli Stati membri hanno tempo fino a ottobre 2024 per adottare e pubblicare tutte le misure necessarie per la conformità alla NIS2. Dopo tale data, le organizzazioni saranno legalmente obbligate a conformarsi.

Gli obiettivi della direttiva NIS2

La direttiva NIS2 mira a migliorare gli attuali standard di sicurezza informatica e a stabilire un nuovo punto di riferimento per la resilienza delle organizzazioni dell’UE alle minacce digitali.

La direttiva si concentra su quattro aspetti principali:

  • Rafforzamento della sicurezza digitale attraverso nuovi requisiti in materia di gestione dei rischi, responsabilità delle imprese e continuità operativa.
  • Ridurre le incongruenze nella sicurezza informatica in tutta l’UE ampliando l’ambito di applicazione della direttiva e includendo più settori.
  • Incoraggiare la consapevolezza della situazione e la collaborazione a livello nazionale e transfrontaliero per affrontare in modo efficace gli incidenti informatici esistenti e le nuove minacce.
  • Introdurre obblighi di segnalazione standardizzati durante gli incidenti per migliorare la trasparenza e facilitare una risposta coordinata.

Differenze fondamentali tra la direttiva NIS originale e la NIS 2

Sebbene la NIS1 mirasse a migliorare la sicurezza informatica e la resilienza dell’Unione europea, la rapida digitalizzazione e l’evoluzione delle minacce durante e dopo la pandemia hanno rivelato le sue carenze, in particolare la mancanza di requisiti specifici e l’attuazione disomogenea in tutta l’UE.

La proposta di aggiornamento della direttiva NIS è stata pubblicata per la prima volta nel 2020 e ha sottolineato la necessità di ampliare il campo di applicazione, inasprire gli standard di sicurezza informatica, introdurre nuovi requisiti e adottare un approccio più uniforme.

Rispetto alla NIS1, la nuova direttiva:

  • amplia significativamente l’ambito di applicazione iniziale aggiungendo più settori e introducendo una nuova classificazione basata sul ruolo dell’organizzazione nell’economia digitale di un paese
  • introduce requisiti più severi in materia di sicurezza e gestione dei rischi con un elenco di misure minime di sicurezza per l’attuazione
  • impone la pianificazione della continuità operativa in caso di incidenti informatici significativi
  • è obbligatorio utilizzare una più rigorosa segnalazione degli incidenti
  • stabilisce multe per non conformità e misure di applicazione più severe
  • applica la supervisione normativa, comprese ispezioni onsite e offsite, audit ad hoc e scansioni di sicurezza
  • ritiene e consente alle autorità di richiedere la sospensione dal lavoro
  • sottolinea la sicurezza della catena di approvvigionamento come aspetto critico della sicurezza informatica complessiva.

Ampliamento dell’ambito di applicazione delle normative UE in materia di sicurezza informatica

La NIS2 raddoppia l’ambito di applicazione della NIS iniziale. Inoltre, sostituisce la precedente distinzione tra “operatori di servizi essenziali” e “fornitori di servizi digitali” con Essential e Importante categorie basate sulle dimensioni dell’organizzazione e sulle soglie di fatturato.

Contrariamente al GDPR, la NIS2 stabilisce criteri più restrittivi per le organizzazioni che rientrano nel suo ambito di applicazione, poiché la direttiva si applicherà solo a coloro che forniscono servizi o svolgono attività nell’UE. Ad esempio, se una società internazionale ha una filiale nell’UE, solo la filiale rientra nella NIS2. Tuttavia, c’è un inconveniente. A causa di una maggiore diligenza nella catena di approvvigionamento, le aziende al di fuori dell’UE possono comunque essere interessate.

Settori ed entità soggetti alla direttiva

L’ambito di applicazione della NIS2 è coperto dall’allegato I (settori altamente critici che possono essere classificati come essenziali o importanti) e dall’allegato II (importanti).

L’ambito di applicazione della NIS1 includeva già la maggior parte dei settori specificati nell’allegato I, quali:

  • Energia
  • Trasporti
  • Salute
  • Acqua potabile
  • Infrastrutture dei mercati finanziari
  • Settore bancario
  • Infrastrutture digitali

I nuovi settori aggiunti all’ambito di applicazione della direttiva NIS2 nell’allegato I sono i seguenti:

  • Settore spaziale
  • Acque reflue
  • Gestione dei servizi di tecnologia dell’informazione e della comunicazione (TIC)
  • Pubblica amministrazione

A seconda del tipo, delle dimensioni e del fatturato dell’organizzazione, le organizzazioni che rientrano nell’allegato I possono essere classificate come:

  • Essenziali, se le loro interruzioni possono comportare gravi conseguenze per il paese:
    • grandi aziende con più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro
    • Amministrazioni pubbliche dei governi centrali
    • Operatori di servizi essenziali
    • Altre società selezionate da uno Stato membro
  • Importante:
    • Aziende con più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro
    • Altre aziende selezionate da uno Stato membro

A entrambe le categorie si applicano gli stessi requisiti di sicurezza. Tuttavia, il gruppo Essenziale è soggetto a supervisione proattiva, mentre il gruppo Importante è sottoposto a monitoraggio solo quando viene segnalato un incidente di non conformità. Per le organizzazioni essenziali, le autorità possono imporre multe più elevate per non conformità e persino vietare temporaneamente le funzioni dirigenziali.

L’allegato II aggiunge altri settori, che rientrano tutti nella categoria importante:

  • Servizi postali e di corriere
  • Alimentari
  • Prodotti chimici
  • Produttori
  • Fornitori di servizi digitali
  • Gestione dei rifiuti
  • Ricerca
  • Servizi di registrazione dei nomi di dominio

La direttiva autorizza gli Stati membri a redigere elenchi nazionali di organizzazioni importanti ed essenziali, indipendentemente dalle soglie di fatturato e dimensioni, qualora il loro impatto sull’economia nazionale sia critico o qualora l’azienda sia l’unico fornitore di determinati servizi. Ciascuno Stato membro è tenuto a redigere tale elenco entro aprile 2025.

Obblighi per le piccole e medie imprese (PMI)

La maggior parte delle medie imprese con 50 o più dipendenti e un fatturato annuo di 10 milioni di euro sono considerate importanti o essenziali a seconda del settore.

Le aziende più piccole non rientrano nell’ambito di applicazione, a meno che non figurino nell’elenco nazionale delle entità essenziali e importanti o appartengano ai seguenti settori:

  • Infrastrutture digitali
    • Fornitori di servizi DNS
    • Fornitori di servizi fiduciari
    • Registri dei nomi TLD
    • Fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione accessibili al pubblico
  • Enti della pubblica amministrazione

Sebbene la conformità possa richiedere investimenti aggiuntivi, i principi di adeguatezza e proporzionalità della direttiva NIS2 dell’UE aiutano le PMI ad applicare misure di sicurezza informatica nonostante le risorse limitate. Ad esempio, le PMI possono concentrarsi sulla gestione dei rischi e sulla sensibilizzazione alla sicurezza informatica organizzando regolarmente corsi di formazione per il personale.

Esaminiamo più dettagliatamente le misure di sicurezza di seguito.

Gestione dei rischi di sicurezza informatica ai sensi della direttiva NIS 2

Gestione dei rischi e criteri di sicurezza

Poiché il panorama digitale sta cambiando più rapidamente di quanto le leggi possano stare al passo, la direttiva NIS2 impone un approccio “all’avanguardia”, obbligatorio per le organizzazioni di adottare misure di sicurezza adeguate, proporzionate ed economiche in base alle loro esigenze e capacità specifiche. Nel valutare l’adeguatezza delle misure di sicurezza, le organizzazioni dovrebbero considerare l’esposizione ai rischi, la dimensione dell’organizzazione, la probabilità e la gravità degli incidenti di sicurezza e i costi di implementazione.

Le organizzazioni dovrebbero implementare le misure più recenti ed efficaci disponibili al momento per prevenire o ridurre al minimo gli incidenti informatici e il loro impatto sulle loro operazioni. Tuttavia, la direttiva non obbliga le organizzazioni a garantire la sicurezza informatica a tutti i costi e sottolinea l’importanza di una valutazione continua dei rischi e della sicurezza per rimanere “all’avanguardia”.

I requisiti di sicurezza informatica della NIS2 sono incentrati sull’ approccio basato sul rischio (“tutti i pericoli”) (articolo 21) e incoraggiano le organizzazioni a valutare regolarmente i rischi a cui sono esposte tramite scansioni di sicurezza, analisi dei rischi, test di penetrazione regolari, patch e gestione delle risorse.

Inoltre, la direttiva delinea dieci misure di sicurezza di base obbligatorie per tutti:

  1. Criteri sulla valutazione dei rischi e la sicurezza delle informazioni
  2. Gestione degli incidenti (prevenzione, rilevamento e risposta)
  3. Continuità operativa piano con backup e piani di ripristino di emergenza, procedure di emergenza, gestione delle crisi e un team di risposta alle crisi consolidato
  4. Sicurezza della catena di approvvigionamento, analisi dei rischi dei fornitori diretti e dei prestatori di servizi, piano per mitigare le vulnerabilità dei fornitori e altri aspetti relativi alla sicurezza nelle relazioni tra l’organizzazione e i suoi fornitori diretti e prestatori di servizi
  5. Formazione sulla sicurezza informatica e igiene informatica
  6. Valutazione dell’efficacia delle misure di sicurezza implementate
  7. Politiche e procedure per crittografia e crittografia
  8. L’uso di autenticazione a più fattori o continua , comunicazione sicura con crittografia voce, video e testo
  9. Politiche e procedure per la sicurezza del personale, l’accesso ai dati e la gestione delle risorse
  10. Sicurezza delle reti e dei sistemi informativi, compresi l’approvvigionamento, lo sviluppo e la manutenzione

Oltre a queste misure, la direttiva NIS2 dell’UE incoraggia anche la cooperazione e la condivisione di informazioni per facilitare la consapevolezza reciproca e la collaborazione nell’affrontare le nuove minacce digitali e migliorare la resilienza complessiva dell’UE contro gli attacchi informatici.

Sicurezza della catena di approvvigionamento

Poiché la precedente direttiva NIS non si concentrava sulla sicurezza della catena di approvvigionamento, la nuova NIS2 colma questa lacuna. Il preambolo 85 sottolinea l’importanza della sicurezza della catena di approvvigionamento a causa della prevalenza di attacchi informatici in cui attori malintenzionati utilizzano le vulnerabilità di strumenti e servizi di terze parti per compromettere la sicurezza delle reti e dei sistemi informativi dell’organizzazione.

La direttiva richiede alle organizzazioni di valutare la resilienza, la qualità e le pratiche di sicurezza informatica dei propri fornitori e prestatori di servizi e di incorporare adeguate misure di gestione dei rischi negli accordi contrattuali. Il considerando 86 si concentra in particolare sulla risposta agli incidenti, sui test di penetrazione, sugli audit di sicurezza e sulla consulenza.

Ciò comporta un onere aggiuntivo per i fornitori e i prestatori di servizi, compresi i MSP (Managed Service Provider) e i fornitori di servizi di sicurezza, che collaborano con le organizzazioni interessate dalla NIS2. I fornitori sono tenuti a migliorare la loro sicurezza digitale e la loro resilienza operativa, anche se non rientrano nell’ambito di applicazione della NIS2.

Requisiti rafforzati per la segnalazione degli incidenti informatici

La nuova direttiva impone la segnalazione e la notifica degli incidenti con scadenze specifiche in caso di incidenti significativi o attacchi informatici. Per “significativi”, la NIS2 (articolo 23) intende quelli che possono causare gravi interruzioni operative o perdite finanziarie per l’organizzazione o provocare danni materiali o immateriali significativi a qualsiasi altra parte.

  • Entro 24 ore. Le organizzazioni devono notificare l’incidente alle autorità competenti o al Computer Security Incident Response Team (CSIRT) e specificare se si tratta di un attacco informatico o se potrebbe avere un impatto transfrontaliero.
  • Entro 72 ore. Le organizzazioni devono fornire una valutazione iniziale della gravità e dell’impatto dell’incidente.
  • Su richiesta. Le autorità competenti e il CSIRT possono richiedere alle organizzazioni di fornire una relazione intermedia sull’aggiornamento dello stato.
  • Entro 1 mese dalla notifica dell’incidente. La relazione finale deve contenere una descrizione dettagliata dell’incidente, una valutazione del suo impatto, la causa principale che ha portato all’incidente e le misure di mitigazione implementate. Quando l’incidente richiede più di un mese, l’organizzazione è tenuta a presentare una relazione sullo stato di avanzamento e la relazione finale al termine dell’incidente.

Oltre alla segnalazione dell’incidente, le organizzazioni devono anche informare i destinatari del servizio in merito all’incidente e alle possibili misure che questi ultimi possono adottare per mitigarne le conseguenze.

Sfide e opportunità della conformità alla direttiva NIS 2

Vantaggi della conformità

La conformità alla direttiva NIS2 dell’UE può aiutare le organizzazioni a rafforzare la sicurezza informatica e a migliorare la resilienza operativa contro le interruzioni. Ciò si traduce in una migliore reputazione e trasparenza dell’organizzazione, quindi la conformità può offrire vantaggi competitivi.

Un altro vantaggio evidente della conformità alla direttiva NIS2 è l’evitare multe per non conformità. La direttiva prevede le seguenti sanzioni:

  • Organizzazioni essenziali: almeno 10 milioni di euro o fino al 2% del fatturato annuo totale a livello mondiale, a seconda di quale sia maggiore
  • Organizzazioni importanti: almeno 7 milioni di euro o fino all’1,4% del fatturato annuo totale mondiale, a seconda di quale dei due importi sia maggiore

Altre misure di applicazione includono avvertenze, sospensione dell’attività, sospensione della certificazione o dell’autorizzazione dell’organizzazione e sospensione di coloro che ricoprono responsabilità manageriali.

Sfide e considerazioni

La sfida più grande della NIS2 è che entra in gioco quando le organizzazioni devono affrontare minacce digitali più sofisticate e complesse, il che significa che ora sono necessarie strategie più sofisticate e complesse per affrontarle. Per questo motivo, la direttiva NIS2 amplia in modo significativo le responsabilità delle organizzazioni in materia di sicurezza informatica e introduce misure più rigorose.

Le nuove misure di sicurezza informatica richiederanno alle organizzazioni di investire in tecnologia e competenze, il che può rappresentare un onere per le organizzazioni più piccole. Secondo la Relazione di valutazione d’impatto della Commissione europea, nei prossimi 3 anni le organizzazioni dovranno aumentare del 22% gli investimenti nella sicurezza delle informazioni se non sono state interessate dalla NIS1 e del 12% se sono già conformi alla NIS1.

Un’altra sfida è rappresentata dal rischio significativo di non conformità, che comporta conseguenze finanziarie elevate per le organizzazioni. Gli enti essenziali saranno sottoposti a verifiche di sicurezza sia periodiche che ad hoc ex-ante come misura preventiva.

L’impatto della direttiva NIS 2 sul mercato digitale dell’UE

La direttiva NIS2 diventa la principale forza motrice per rafforzare e armonizzare il livello di sicurezza informatica in tutta l’UE. Tuttavia, poiché la direttiva deve essere recepita nelle legislazioni nazionali, gli standard e i requisiti di sicurezza informatica varieranno a seconda del paese.

La NIS2 stabilisce uno standard più elevato per la sicurezza informatica e contribuisce a migliorare la resilienza operativa di tutti i settori contro le minacce digitali. Per il settore della sicurezza informatica, la direttiva apre un nuovo mercato di soluzioni progettate per aiutare le organizzazioni a conformarsi alla NIS2.

Vale la pena ricordare che il settore finanziario dell’UE è ulteriormente protetto dal Digital Operational Resilience Act (DORA). La legge impone requisiti invariati a tutti i paesi dell’UE come regolamento specifico per il settore. I suoi requisiti prevalgono sulla NIS2, ma non la sostituiscono né sono in concorrenza con essa. Pertanto, per gli istituti finanziari è obbligatorio conformarsi sia alla DORA che alla NIS2.

Prepararsi alla conformità NIS 2

Innanzitutto, determinate se la vostra organizzazione rientra nell’ambito di applicazione della NIS2 o se fornite servizi gestiti o altri servizi a organizzazioni regolamentate dalla NIS2. È inoltre necessario determinare la legge dello Stato membro applicabile alla vostra organizzazione per conoscere i requisiti esatti a cui dovete conformarvi.

Condurre un’analisi delle lacune

Acquisite informazioni dettagliate sulla sicurezza informatica e sull’esposizione al rischio della vostra organizzazione conducendo un’analisi delle lacune. Prima che i requisiti NIS2 siano definiti con precisione nel tuo Paese, puoi utilizzare come riferimento per la tua valutazione standard internazionali come IEC 62443 e Cybersecurity Capability Maturity Model (C2M2) e i requisiti di sicurezza informatica software e hardware del Cyber Resilience Act (CRA) dell’UE.

NIS2 è strutturato attorno a tre categorie principali, quindi prendile in considerazione per prime quando conduci un’analisi delle lacune:

  • Governance (articolo 20). La NIS2 pone particolare enfasi sulla responsabilità della direzione in materia di conformità e sicurezza informatica generale, il che potrebbe richiedere una revisione della cultura lavorativa e l’adozione di cambiamenti comportamentali all’interno della vostra organizzazione.
  • Misure di gestione dei rischi per la sicurezza informatica (articolo 21). La direttiva NIS2 impone alle organizzazioni di valutare e prepararsi a tutti i possibili rischi attuando misure tecniche, operative e organizzative adeguate e proporzionate.

    La direttiva delinea dieci misure minime, tra cui un piano di risposta agli incidenti, la valutazione dei rischi, la sicurezza della catena di approvvigionamento, la valutazione dell’efficacia delle misure di sicurezza informatica, la sicurezza delle comunicazioni e la formazione periodica del personale.

  • Segnalazione (articolo 23). Garantire una segnalazione trasparente e tempestiva dopo l’incidente per allinearsi ai requisiti NIS2.
  • Certificazione UE in materia di sicurezza informatica (articolo 24). Secondo la NIS2, gli Stati membri possono richiedere alle organizzazioni di utilizzare servizi e prodotti tecnologici certificati dall’UE.

Completare la vostra strategia di sicurezza informatica con NAKIVO

NAKIVO Backup & Replication & Replication è una soluzione robusta per il backup e il ripristino di emergenza. Le sue funzionalità avanzate e le funzioni di sicurezza informatica possono aiutare le organizzazioni a proteggere i propri dati mantenendo la conformità con la NIS 2.

Ecco alcuni aspetti della soluzione NAKIVO mappati sulle misure di base NIS2 per aiutarti a implementare una strategia di protezione dei dati cyber-resiliente.

Sicurezza ICT e protezione dei dati

  • Resilienza dei dati. Con la soluzione NAKIVO, è possibile proteggere tutte le carghe di lavoro su VM e macchine fisiche, nel cloud, i dati nelle condivisioni file e le app Microsoft 365 tramite un dashboard centralizzato basato sul web. È possibile soddisfare facilmente la regola d’oro del backup e archiviare copie dei dati in più ubicazioni onsite e offsite (compresi dispositivi NAS e di deduplicazione, unità USB e nastri), nel cloud pubblico o in piattaforme cloud compatibili con S3
  • Integrità dei dati. La soluzione supporta la modalità coerente con le applicazioni e consente di creare backup coerenti dei carichi di lavoro che eseguono applicazioni e database, comprese le applicazioni Microsoft in loco come Active Directory ed Exchange Server, nonché Oracle Database. Il supporto delle app e dei servizi Microsoft 365 consente di eseguire facilmente il backup delle caselle di posta Exchange Online, dei messaggi Teams, dei siti SharePoint Online e dei dati OneDrive for Business.
  • Protezione contro minacce informatiche come il ransomware. Con la soluzione di NAKIVO, è possibile seguire le procedure consigliate di sicurezza informatica per mitigare il rischio di un attacco informatico riuscito. È possibile rendere immutabili i backup nel cloud, Cartelle locali o dispositivi HYDRAstor per garantire che nessuno possa rimuovere o modificare i dati entro il periodo specificato. È anche possibile inviare copie di backup a dispositivi di archiviazione offline rimovibili come nastri per l’air gapping, impedendo ai criminali informatici di accedere ai dati attraverso la rete.
  • Crittografia. Proteggi i tuoi dati di backup abilitando la crittografia AES a 256 bit. La soluzione NAKIVO supporta la crittografia lato sorgente, il che significa che i tuoi dati sono protetti sia durante il trasferimento che a riposo.
  • Controllo degli accessi. Configurare il Controllo degli accessi basato sui ruoli (RBAC) alla soluzione, seguendo il principio del privilegio minimo.
  • Autenticazione. Abilitare l’autenticazione a più fattori quando si accede ai dati di backup e alle attività di protezione dei dati. La soluzione NAKIVO supporta anche gli account Microsoft 365 abilitati per MFA, quindi non è necessario compromettere la sicurezza all’interno dell’infrastruttura Microsoft 365.

Rilevamento, gestione e risposta agli incidenti

  • Continuità operativa. La soluzione offre backup, replica, replica in tempo reale, oltre a 12 diverse opzioni di ripristino per garantire il ripristino dei dati in qualsiasi scenario. Verifica immediatamente che i backup e le repliche delle VM siano recuperabili ed esegui la scansione dei backup alla ricerca di malware per garantire un ripristino fluido e sicuro.
  • Ripristino di emergenza. In caso di disastro, è sufficiente un solo clic per avviare la sequenza e il failover su una replica con l’ubicazione nel sito secondario. La funzionalità di ripristino dell’ambiente consente di creare flussi di lavoro automatizzati per eseguire il failover e il ripristino in pochi secondi, raggiungendo tutti gli obiettivi di ripristino.
  • Monitoraggio in tempo reale. Con Monitoraggio IT per VMware, è possibile rilevare tempestivamente consumi insoliti e sospetti di CPU, RAM e spazio su disco, prima che diventino un problema più grave.

Valutazione dell’efficacia delle misure di sicurezza

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

Le persone leggono anche

Picture
Switch virtuali Hyper-V: tipi e configurazione
Picture
Confronto tra backup crash-consistente e backup application-consistente
Picture
Protezione da malware di Microsoft 365: una breve guida