A causa della crescente digitalizzazione, la cyber sicurezza è diventata una delle questioni più importanti per le aziende di tutti i settori. E le istituzioni dell’Unione Europea non sono state ferme a guardare. La direttiva Nis (Network and Information Security) e la direttiva Nis 2 intendono fornire agli operatori economici le linee guida necessarie per proteggersi dagli attacchi informatici.
Cos’è un attacco informatico? Gli attacchi informatici possono essere definiti come tentativi da parte di individui o gruppi (noti come “hacker”) di danneggiare un sistema informatico o di ottenere informazioni sensibili. Gli gli attacchi informatici possono avere diverse conseguenze, come la compromissione della sicurezza delle informazioni, la perdita di dati o l’interruzione del servizio.
I sistemi informatici sono la colonna vertebrale delle nostre società moderne. La gestione delle infrastrutture critiche nazionali dipende dai sistemi IT, i quali sono essenziali anche per l’operatività delle aziende. Pertanto, la sicurezza informatica è importante tanto per la macro-economia quanto per i singoli cittadini.
La direttiva Nis: linee guida
La direttiva Nis, adottata dall’Unione Europea nel 2016 e recepita in Italia dal Decreto Legislativo del 18 maggio 2018, stabilisce i requisiti minimi per la sicurezza delle reti e dei sistemi informativi nell’UE.
Si applica agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (DSP). I primi sono soggetti pubblici o privati che prestano servizi la cui interruzione avrebbe un impatto significativo sulla società o sull’ambiente (settori energia, trasporti ferroviari, trasporti aerei, acqua potabile e gestione delle acque reflue, sanità.). I secondi sono aziende che offrono servizi basati su tecnologie digitali (internet, cloud computing) e forniscono servizi digitali ai consumatori, come lo shopping online o il banking online. Ciascuno Stato membro ha la possibilità di identificare i propri operatori di servizi essenziali e fornitori di servizi digitali e di applicare i requisiti della direttiva Nis in modo da garantire un livello adeguato di sicurezza delle informazioni.
La direttiva si basa su tre pilastri:
- prevenzione: gli operatori di servizi essenziali e i fornitori di servizi digitali devono mettere in atto misure per prevenire gli attacchi informatici;
- rilevamento: gli stessi devono essere in grado di individuare tempestivamente gli attacchi informatici;
- mitigazione: essi devono essere in grado di ripristinare rapidamente i propri servizi in caso di attacco informatico.
Ad operatori e fornitori sono richiesti alcuni obblighi, tra i quali:
- progettare misure tecniche capaci di gestire i rischi informatici e designare un responsabile della sicurezza delle informazioni;
- puntare sulla prevenzione di incidenti che violino la sicurezza delle proprie reti informatiche;
- contenere i danni di eventuali attacchi e garantire la continuità dei servizi;
- notificare alle autorità competenti, entro 24 ore, gli incidenti che minano la continuità e la fornitura dei servizi o comportino la divulgazione di dati sensibili. Poi, entro le 72 ore inviare un report dettagliato di quanto avvenuto.
La direttiva Nis 2
Per quanto valida, negli anni la direttiva Nis ha dimostrato alcuni limiti, come la mancanza di condivisione delle informazioni per affrontare crisi in modo congiunto. Per questo, l’UE ha adottato nel 2018 una seconda direttiva, la Nis 2, per raggiungere un maggiore livello di sicurezza delle reti e dei sistemi informativi di operatori e fornitori in UE e ridurre ulteriormente i rischi per la società e l’economia.
Da un lato, la direttiva Nis 2 punta ad aumentare la resilienza di operatori e fornitori; dall’altro, rafforza la cyber security a livello comunitario. Difatti, prevede la creazione di una rete europea, la EU-CyCLONe, che riunisca le varie organizzazioni nazionali che si occupano della gestione delle crisi informatiche, in modo da garantire una risposta coordinata in caso di cyber attacchi su larga scala in Europa. Inoltre, la Nis 2 prevede che l’ENISA, l’Agenzia Europea per la Cyber Security, dia vita a un database condiviso che collezioni tutte le vulnerabilità informatiche note, simile al National Vulnerability Database (NVD) americano
Caratteristiche della nuova direttiva
La direttiva Nis 2 si basa sui medesimi pilastri della direttiva Nis, ma si applica anche ad operatori di servizi essenziali e a fornitori di servizi digitali che non rientrano nell’ambito della precedente direttiva.
In particolare, si applica anche a soggetti che operano in altri settori critici, per esempio i social media, i servizi postali, l’alimentare, lo spazio. Sono però esclusi i settori della difesa, della pubblica sicurezza e della giustizia.
I requisiti della direttiva Nis 2 sono specificati nel Regolamento (UE) 2019/881, entrato in vigore il 27 luglio 2020. Tra di essi figurano:
- Identificazione e valutazione dei rischi: gli operatori di servizi essenziali e i fornitori di servizi digitali devono identificare e valutare le vulnerabilità delle loro reti e dei loro sistemi informativi, e i rischi per la sicurezza.
- Gestione dei rischi: essi devono mettere in atto misure per gestire le vulnerabilità e i rischi identificati.
- Controlli di sicurezza: devono mettere in atto controlli per prevenire e rilevare attacchi informatici.
- Gestione degli incidenti: devono essere in grado di gestire gli incidenti di sicurezza delle loro reti e dei loro sistemi informativi in modo da ridurre danni, rischi per la privacy degli utenti e interruzioni ai servizi.
- Cooperazione: devono lavorare insieme per prevenire, rilevare e gestire incidenti di sicurezza.
- Informazione e formazione: devono assicurare che il personale coinvolto nella gestione della sicurezza delle loro reti e dei loro sistemi informativi sia adeguatamente informato e formato.
I limiti della direttiva Nis 2
La direttiva Nis 2 non è esente da alcuni problemi. Infatti, non tutti gli operatori di servizi essenziali potrebbero essere in grado di adempiere a tutti i requisiti richiesti, e ciò solleva dubbi sulla sua realizzabilità effettiva.
Inoltre, l’ampliamento della direttiva riguarda principalmente aziende medie e grandi, lasciando indietro quelle realtà più piccole che non hanno un ruolo nella fornitura di servizi critici. Queste potrebbero rivelarsi un punto debole nella sicurezza informatica dell’intero ecosistema. Infatti, davanti alle misure adottate dai grandi operatori e fornitori, i cybercriminali hanno dirottato i loro attacchi verso la supply chain degli stessi, che spesso include entità piccole e non adeguatamente protette. Penetrando un’infrastruttura minore, l’attacco arriva poi all’obiettivo finale, ovvero la grande azienda, aggirando la direttiva stessa.
Tuttavia, nel complesso, Nis 2 rappresenta un passo avanti nella creazione di un quadro europeo più forte per la cyber security.