Il punto di vista di Cyber Academy
NIS 2 è la direttiva UE che rende i consigli di amministrazione direttamente responsabili della cybersecurity. Medie e grandi imprese, in uno qualsiasi dei 18 settori elencati, rientrano nel perimetro. Il cronometro parte al primo incidente significativo: allerta precoce entro 24 ore, notifica entro 72 ore, rapporto completo entro un mese. Le sanzioni sono severe (10 milioni di euro o il 2% del fatturato mondiale). Il recepimento varia da Stato membro a Stato membro.
Cosa cambia davvero NIS 2
NIS 2 è la seconda iterazione della Direttiva europea sulla sicurezza delle reti e dei sistemi informativi, e amplia notevolmente il perimetro rispetto al regime NIS originario. Laddove la prima direttiva si affidava alle autorità nazionali per individuare gli operatori di servizi essenziali caso per caso, NIS 2 fissa criteri di autoidentificazione: se operi in uno dei settori elencati e superi la soglia dimensionale, rientri nell'ambito di applicazione e ci si aspetta che tu lo sappia. La direttiva suddivide le organizzazioni interessate in due livelli, soggetti "essenziali" e "importanti", il che incide soprattutto sul modo in cui vengono applicate la vigilanza e l'esecuzione piuttosto che sugli obblighi di base in sé.
Il cambiamento principale è la responsabilità. NIS 2 rende gli organi di gestione responsabili dell'approvazione e della supervisione delle misure di gestione dei rischi di cybersicurezza, e si aspetta che seguano una formazione per poter esercitare concretamente tale supervisione. La sicurezza smette di essere qualcosa che il reparto IT gestisce in silenzio e diventa un tema di governance che il consiglio di amministrazione deve approvare. È la ragione pratica per cui la direttiva viene così spesso riassunta come "mettere i consigli di amministrazione in prima linea".
Ambito di applicazione, settori e il test dimensionale
L'ambito di applicazione si basa su due domande: operi in un settore elencato e sei abbastanza grande? La direttiva copre settori suddivisi tra le categorie "ad alta criticità" e "altri settori critici", che spaziano da energia, trasporti, banche, sanità, acqua, infrastrutture digitali, pubblica amministrazione, servizi postali, fabbricazione di determinati prodotti, alimentare e altro ancora. Il test dimensionale interessa generalmente le organizzazioni medie e grandi, con i soggetti più piccoli talvolta inclusi quando il loro ruolo è critico a prescindere dall'organico. Poiché gli Stati membri possono designare soggetti aggiuntivi, l'unico approccio sicuro è mappare le proprie attività rispetto agli allegati settoriali anziché presumere di essere troppo piccoli per contare.
Il conto alla rovescia della notifica degli incidenti
Ciò che i professionisti percepiscono più direttamente è la tempistica di notifica, che scatta in caso di incidente significativo. Si articola in fasi: un preallarme entro 24 ore, una notifica più completa entro 72 ore e una relazione finale al traguardo di un mese, con l'autorità competente o il CSIRT come destinatario. Lo scopo del modello scaglionato è far emergere rapidamente gli incidenti senza imporre un quadro forense completo già dal primo giorno. Per rispettarlo servono una rilevazione che segnali rapidamente la significatività, un responsabile decisionale in grado di classificare un incidente e modelli di notifica predisposti in anticipo, in modo che il conto alla rovescia non ti colga a scrivere da zero.
A sostegno della tempistica vi sono obblighi di gestione del rischio che si leggono come una base familiare: gestione degli incidenti, continuità operativa e backup, sicurezza della catena di approvvigionamento, sviluppo e manutenzione sicuri, gestione delle vulnerabilità, uso della crittografia, controllo degli accessi e autenticazione a più fattori, e politiche per verificare quanto bene tutto questo funzioni. Niente di tutto ciò è esotico. Un'organizzazione che gestisce un ISMS maturo, ad esempio allineato a ISO 27001, copre già gran parte del terreno; il lavoro consiste nel mappare i controlli esistenti rispetto alle aspettative di NIS 2 e nel colmare le lacune di governance e di notifica.
Cosa significa nella pratica rientrare nell'ambito di applicazione
Se concludi di rientrare nell'ambito di applicazione, il programma pratico è piuttosto coerente: registrarti presso la competente autorità nazionale ove richiesto, formalizzare la supervisione del rischio cyber a livello di consiglio, documentare le tue misure di gestione del rischio rispetto alle voci della direttiva, predisporre un processo di classificazione e notifica degli incidenti in grado di rispettare le finestre di 24/72 ore e un mese, ed estendere la due diligence alla catena di approvvigionamento perché i fornitori fanno esplicitamente parte del quadro di rischio.
L'esecuzione ha i denti, con sanzioni che arrivano a decine di milioni di euro o a una percentuale del fatturato mondiale, oltre alla possibilità di responsabilità della dirigenza, che è esattamente il motivo per cui la direttiva spinge la responsabilità verso l'alto.
Frequently asked questions
01Come faccio a sapere se la mia organizzazione rientra nell'ambito di applicazione di NIS 2?
Verifica due cose: se operi in uno dei settori elencati dalla direttiva e se soddisfi la soglia dimensionale, che generalmente comprende le organizzazioni medie e grandi. Alcuni soggetti più piccoli vengono inclusi quando il loro ruolo è critico, e gli Stati membri possono designarne altri, quindi mappa le tue attività rispetto agli allegati settoriali anziché fare supposizioni.
02Quali sono i termini di notifica degli incidenti di NIS 2?
Per un incidente significativo il conto alla rovescia si articola in fasi: un preallarme entro 24 ore, una notifica entro 72 ore e una relazione finale entro un mese. Il destinatario è la competente autorità nazionale o il CSIRT.
03Qual è la differenza tra NIS 1 e NIS 2?
NIS 2 amplia l'ambito di applicazione a più settori e utilizza criteri dimensionali autoidentificativi anziché affidarsi principalmente alle autorità nazionali per designare gli operatori. Rafforza inoltre la notifica degli incidenti, la sicurezza della catena di approvvigionamento e, soprattutto, rende gli organi di gestione direttamente responsabili delle misure di cybersicurezza.
04Che rapporto c'è tra NIS 2 e ISO 27001?
Si sovrappongono ampiamente nella sostanza. Un ISMS allineato a ISO 27001 affronta già la maggior parte delle misure di gestione del rischio di NIS 2, come la gestione degli incidenti, la continuità operativa, il controllo degli accessi e la crittografia. ISO 27001 è uno standard certificabile che adotti volontariamente, mentre NIS 2 è un obbligo di legge; il compito pratico consiste nel mappare i controlli esistenti rispetto alla direttiva e nel colmare le lacune di notifica e governance.
05Perché NIS 2 parla così tanto della responsabilità della dirigenza?
Perché rende gli organi di gestione responsabili dell'approvazione e della supervisione delle misure di gestione dei rischi di cybersicurezza, e si aspetta che siano formati per farlo. La sicurezza diventa un tema di governance a livello di consiglio, e la responsabilità può ricadere sulla dirigenza, non solo sulla funzione IT.