La Direttiva NIS 2 (Network and Information Security Directive 2), entrata in vigore il 17 gennaio 2023, rappresenta per i Paesi membri dell’Unione Europea un aggiornamento della precedente direttiva NIS del 2016. Essa mira a rafforzare la sicurezza informatica e la resilienza delle infrastrutture critiche e dei servizi essenziali all’interno dell’UE, in risposta alle crescenti minacce cibernetiche. La direttiva impone obblighi di sicurezza più stringenti per un numero più ampio di settori. Inoltre, introduce meccanismi di coordinamento tra Stati membri per garantire una risposta uniforme alle minacce informatiche.

Uno dei principali cambiamenti introdotti dalla NIS 2 è l’ampliamento del perimetro di applicazione e la classificazione degli enti soggetti alla normativa in due categorie:

1 Enti Essenziali: organizzazioni che forniscono servizi fondamentali la cui interruzione avrebbe un impatto significativo sulla sicurezza, l’economia e la società. Tra questi settori rientrano: energia, trasporti, sanità, infrastrutture digitali, fornitura e distribuzione di acqua potabile, e servizi finanziari;
2 Enti Importanti: organizzazioni che, pur operando in settori considerati meno critici, svolgono un ruolo rilevante in ambiti strategici e il cui malfunzionamento potrebbe avere un impatto considerevole. Questi includono settori come il trattamento delle acque reflue, settore alimentare, fornitori di servizi digitali, produttori farmaceutici e chimici, sanità e fornitori di comunicazioni elettroniche.
Gli Enti Essenziali, come l’organizzazione di cui faccio parte, sono tenuti a rispettare requisiti di sicurezza informatica più rigorosi, che riguardano in particolare:
  • l’adozione di misure tecniche e organizzative per la gestione dei rischi informatici;
  • la gestione del rischio cyber nella supply chain, con particolare attenzione ai fornitori critici di tecnologia;
  • la predisposizione di piani di continuità operativa e risposta agli incidenti informatici;
  • la notifica tempestiva degli incidenti significativi entro le tempistiche previste dalla normativa.

Per avviare un percorso di maturità verso la compliance alla Direttiva NIS2, è stata condotta una gap analysis. L’ambito delle analisi ha riguardato le seguenti tipologie di requisiti:

  1. Requisiti organizzativi, come la definizione di governance della sicurezza, l’implementazione di politiche di gestione del rischio e la formazione del personale.
  2. Requisiti tecnici e tecnologici, che includono sistemi di protezione dei dati, rilevamento delle minacce e gestione degli incidenti.
  3. Requisiti operativi, come la protezione della supply chain, i piani di continuità operativa e la collaborazione con le autorità competenti.

Partendo dal framework documentale, è stata avviata un’attività di aggiornamento delle procedure esistenti e di redazione di nuove, al fine di soddisfare i requisiti introdotti dalla normativa.

Tra le procedure oggetto di revisione vi è quella di Incident management, poiché la Direttiva impone di rivedere il processo di gestione degli incidenti informatici, fornendo indicazioni precise sulle tempistiche di notifica e introducendo il concetto di incidente significativo.

Per affrontare correttamente questo tema, si è partiti dalla definizione di incidente e di incidente significativo.

L’articolo 6, paragrafo 6, della Direttiva NIS2 definisce “incidente” come: “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati memorizzati, trasmessi o trattati o dei servizi offerti da, o accessibili tramite, reti e sistemi informativi”. Un incidente è considerato “significativo” ai sensi dell’articolo 23, paragrafo 3, se: (a) ha causato o è in grado di causare una grave interruzione operativa dei servizi o perdite finanziarie per l’entità interessata; oppure (b) ha colpito o è in grado di colpire altre persone fisiche o giuridiche causando danni materiali o immateriali considerevoli.

Nella di gestione degli incidenti è stata rivista la categorizzazione degli stessi, l’assegnazione di ruoli e responsabilità, le procedure per il rilevamento, l’analisi, la risposta, il contenimento, l’eradicazione, il ripristino, la documentazione e la segnalazione.

Qui di seguito si riportano le fasi tipiche del ciclo di vita della gestione degli incidenti e la loro corrispondenza con i requisiti della NIS2 sono le seguenti:

  • Preparazione: Sviluppo di politiche, procedure e formazione del personale come previsto dall’articolo 21.
  • Rilevamento: Implementazione di sistemi di monitoraggio e registrazione come richiesto dal regolamento di esecuzione e dall’allegato della direttiva.
  • Analisi: Valutazione e classificazione degli eventi per determinare se si qualificano come incidenti significativi, ai sensi dell’articolo 23, paragrafo 3, e del regolamento di esecuzione.
  • Contenimento: Adottare misure immediate per limitare la portata e l’impatto dell’incidente.
  • Eradicazione: Rimozione della minaccia e risoluzione della causa principale dell’incidente.
  • Ripristino: Ripristino dei sistemi e dei servizi interessati al normale funzionamento, come richiesto dalle misure di continuità operativa ai sensi dell’articolo 21, paragrafo 2, lettera c).
  • Attività Post-Incidente: Documentazione dell’incidente e della risposta, segnalazione alle autorità entro le scadenze specificate (articolo 23) e conduzione di una revisione per migliorare la futura gestione degli incidenti.

Comprendere l’allineamento tra il ciclo di vita della gestione degli incidenti e gli articoli e i requisiti specifici della NIS2 consente di adottare un approccio strutturato, finalizzato a garantire una piena conformità normativa. Questa attività di mappatura delle fasi del ciclo di vita alle disposizioni della direttiva permette di identificare quali requisiti specifici si applicano a ciascuna fase della gestione degli incidenti.

Per rispettare le tempistiche previste dalla normativa, è fondamentale stabilire piani di comunicazione e di escalation che garantiscono una condivisione tempestiva e appropriata delle informazioni.

Per stabilire un solido piano di risposta agli incidenti (IRP) è fondamentale:

  • Implementare un monitoraggio continuo e pratiche robuste di gestione dei log per consentire il rilevamento e l’analisi tempestivi di attività sospette.
  • Stabilire procedure chiare per il contenimento degli incidenti al fine di prevenirne la diffusione ad altri sistemi.
  • Definire le fasi per l’eradicazione al fine di rimuovere la causa principale dell’incidente e il ripristino per riportare i sistemi e i servizi interessati al normale funzionamento.
  • Condurre approfondite revisioni post-incidente per identificare le lezioni apprese e migliorare l’IRP e la postura di sicurezza generale.
  • Considerare e stabilire relazioni con le parti esterne pertinenti, come le forze dell’ordine, gli organismi di regolamentazione e le società terze specializzate nella risposta agli incidenti informatici.

L’enfasi posta dalla direttiva sulla segnalazione tempestiva, insieme al potenziale rischio di sanzioni significative in caso di non conformità, sottolinea la necessità critica di un piano di risposta agli incidenti IRP solido e collaudato.

Per sensibilizzate l’intera popolazione aziendale, è fondamentale condurre regolarmente programmi di awareness sulla cybersecurity, al fine di garantire che tutti siano in grado di identificare e segnalare potenziali incidenti. Inoltre, la normativa prevede che anche il top management sia consapevole delle tematiche legate alla gestione del rischio informatico aziendale. Questo obiettivo può essere raggiunto attraverso programmi specifici per gli executive come, ad esempio i tabletop excercises.

 

Gestione del Rischio di Terze Parti e della Sicurezza della Catena di Approvvigionamento ai Sensi della NIS2

La direttiva NIS2 pone una notevole enfasi sulla sicurezza delle catene di approvvigionamento e sulle relazioni con terze parti. Le entità sono tenute a considerare le vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi, nonché la qualità complessiva dei loro prodotti e delle pratiche di cybersecurity, comprese le procedure di sviluppo sicuro.

È necessario stabilire politiche e procedure complete per gestire i rischi nelle proprie catene di approvvigionamento, coprendo aspetti quali la selezione, l’onboarding, il monitoraggio e l’offboarding dei fornitori. È importante includere misure di gestione del rischio informatico e chiari standard di sicurezza informatica negli accordi contrattuali con i fornitori, compresi i requisiti per audit regolari e segnalazione degli incidenti.

Le strategie chiave per l’implementazione di programmi efficaci di gestione del rischio dei fornitori (VRM) per conformarsi alla NIS2 includono:

  • Condurre Approfondite Valutazioni del Rischio dei Fornitori: Eseguire una due diligence completa e analisi dei rischi per identificare le potenziali vulnerabilità introdotte da terze parti, valutando la loro criticità, la postura di sicurezza, la conformità agli standard e le capacità di risposta agli incidenti.
  • Implementare un Monitoraggio Continuo: Monitorare costantemente la postura di sicurezza delle terze parti per rilevare anomalie o attività sospette, sfruttando feed di threat intelligence e avvisi automatizzati.
  • Condurre Audit di Sicurezza Regolari: Eseguire audit e valutazioni periodiche dei fornitori per assicurarsi che rispettino gli standard di sicurezza concordati e gli obblighi contrattuali.
  • Applicare Obblighi Contrattuali: Includere requisiti di sicurezza informatica chiari e applicabili, clausole di notifica delle violazioni e diritti di audit nei contratti con terze parti.

Un programma di gestione del rischio dei fornitori completo e proattivo, che comprenda valutazione, monitoraggio, audit e garanzie contrattuali, è essenziale affinché si riesca a gestire efficacemente i rischi di terze parti e si soddisfino i requisiti di conformità della NIS2.

Esempi Pratici e Best Practice per il Miglioramento della Sicurezza delle Terze Parti:

  • Implementare un approccio Zero Trust all’accesso dei fornitori, garantendo che ogni utente e dispositivo sia verificato prima di concedere l’accesso alle risorse.
  • Sfruttare soluzioni tecnologiche come strumenti automatizzati di valutazione del rischio, sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e piattaforme di monitoraggio continuo per semplificare il processo di monitoraggio e audit dei rischi di terze parti.
  • Fornire programmi di formazione e sensibilizzazione alla sicurezza informatica ai fornitori terzi per garantire che comprendano e rispettino le aspettative di sicurezza dell’organizzazione.
  • Promuovere la collaborazione e la comunicazione con i fornitori sugli obiettivi di sicurezza e conformità, garantendo una comprensione condivisa dei rischi e delle responsabilità.
  • Implementare solide procedure di gestione e segnalazione degli incidenti che si estendano agli incidenti di terze parti, garantendo il rilevamento, la risposta e la notifica tempestivi alle autorità competenti.I

l miglioramento della sicurezza delle terze parti richiede un approccio olistico che combini soluzioni tecnologiche, processi ben definiti e una comunicazione efficace con i fornitori, al fine di creare una catena di approvvigionamento resiliente e sicura. Fare affidamento su una singola misura di sicurezza o su un approccio puramente reattivo risulta insufficiente nel panorama complesso e interconnesso delle moderne catene di approvvigionamento.

La NIS2 attribuisce maggiore responsabilità al top management per la supervisione delle politiche di sicurezza informatica e per la garanzia della conformità, comprese quelle relative alla gestione del rischio di terze parti. Il top management può essere ritenuto personalmente responsabile della non conformità ai requisiti della direttiva, inclusi i fallimenti nella gestione del rischio di terze parti. L’enfasi della direttiva sulla responsabilità del top management sottolinea la fondamentale importanza della gestione del rischio di terze parti e richiede che sia trattata come una priorità strategica ai massimi livelli dell’organizzazione. Il potenziale di responsabilità personale per il top management garantisce che il rischio legato alle terze parti non venga delegato esclusivamente ai team IT o di sicurezza, ma riceva attenzione e supervisione dalla leadership organizzativa.

Conclusioni e Raccomandazioni

In sintesi, la Direttiva NIS2 impone obblighi significativi e richiede l’adozione di best practice sia per la gestione degli incidenti che per la sicurezza delle terze parti, sottolineando la loro interconnessione nel raggiungimento della resilienza complessiva della sicurezza informatica. Per raggiungere la conformità, le organizzazioni dovrebbero intraprendere i seguenti passi:

  • Valutare attentamente se rientrano nell’ambito di applicazione della Direttiva NIS2 e identificare le unità interessate.
  • Condurre un’analisi approfondita delle lacune per identificare le aree in cui le misure di sicurezza informatica attuali devono essere migliorate per allinearsi ai requisiti della NIS2.
  • Sviluppare e implementare solidi piani di risposta agli incidenti che soddisfino le rigorose tempistiche e i requisiti di segnalazione della NIS2.
  • Stabilire e migliorare le politiche e le procedure di sicurezza della catena di approvvigionamento, incorporando approfondite valutazioni del rischio dei fornitori, monitoraggio continuo e garanzie contrattuali.
  • Garantire un’efficace governance e responsabilità aziendale per la sicurezza informatica, con il coinvolgimento attivo del top management.
  • Implementare misure di sicurezza tecniche e organizzative appropriate come previsto dall’articolo 21 e dal regolamento di esecuzione.
  • Stabilire procedure chiare ed efficienti per la segnalazione degli incidenti di sicurezza alle autorità competenti entro le tempistiche richieste.
  • Valutare e gestire regolarmente i rischi della catena di approvvigionamento, garantendo che anche i fornitori e i partner terzi rispettino gli standard della direttiva.
  • Prepararsi a potenziali audit, ispezioni e azioni di esecuzione da parte delle autorità nazionali.

È fondamentale un monitoraggio continuo, revisioni regolari delle politiche e delle procedure di sicurezza e un approccio proattivo per adattarsi al panorama delle minacce informatiche in evoluzione e garantire una conformità sostenuta alla Direttiva NIS2.

Autore: Pierpaolo Romano

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: