Austria
Belgio
Estonia
Finlandia
Francia
Germania
Grecia
Islanda
Irlanda
Italia
Olanda
Norvegia
Polonia
Portogallo
Spagna
Svezia
Svizzera
Turchia
Regno Unito
Australia
Hong Kong
India
Nuova Zelanda
Indonesia
Giappone
Malesia
Filippine
Singapore
Tailandia
Brasile
Cile
Colombia
Messico
Perù
Bahrain
Israele
Marocco
Oman
UAE
Tanzania
Turchia
Cyber Security e Direttiva NIS2: cosa cambia per le aziende?
Published
Read time
Dotarsi di adeguate polizze cyber contribuisce alla definizione di una efficace strategia di risk management
Il recepimento della Direttiva NIS2 (Network and Information Security, Direttiva UE 2022/2555 ed evoluzione della prima Direttiva NIS), con gli importanti adempimenti che comporta in termini di cyber security, è previsto entro il mese di ottobre 2024. Le organizzazioni pubbliche e private coinvolte devono quindi attivarsi per implementare o adeguare le proprie politiche di risk management, al fine di adeguarsi alle nuove previsioni di legge, finalizzate ad accrescere i livelli di sicurezza di servizi essenziali per gli Stati membri. Vediamo chi sono i soggetti coinvolti, cosa comporta l'adeguamento, quali sono le previsioni sul fronte sanzionatorio e qual è il ruolo delle polizze cyber.
Cos'è la Direttiva NIS 2 e gli ambiti di applicazione
La Direttiva NIS 2 è una norma UE, entrata in vigore il 17 gennaio 2023, che introduce una serie di importanti modifiche alla normativa precedente, denominata Direttiva NIS.
Si tratta di un impianto normativo volto ad unificare le strategie sulla cyber security dei Paesi membri, in modo da accrescere la loro efficacia su tutto il territorio UE, tutelando istituzioni, cittadine e organizzazioni profit e non profit.
La direttiva ha un iter che richiede, dopo la sua entrata in vigore, il recepimento della stessa da parte degli Stati e per la NIS 2 la scadenza è fissata al 18 ottobre 2024: i singoli Paesi sono tenuti a compiere due passi fondamentali per il pieno recepimento:
- sviluppare piani nazionali per la sicurezza;
- identificare team specializzati per l'implementazione delle strategie.
La NIS 2 è un nuovo tassello dell'impianto normativo UE dedicato alla cyber sicurezza, alla privacy e alla tutela dei propri cittadini, come lo è ad esempio il regolamento GDPR. In questo caso l'obiettivo specifico è quello di concentrarsi sulla sicurezza di settori particolarmente critici, che in caso di attacchi possono portare a crisi molto ampie e serie per gli Stati, come la finanza, l'energie o i trasporti. Si parte dall'individuazione di nuove categorie:
- OSE, operatori dei servizi essenziali;
- DSP, fornitori di servizi digitali.
La Direttiva NIS 2, inoltre, aggiunge un quarto pilastro fondamentale per la gestione della cyber security, oltre a riservatezza, integrità e disponibilità, la cosiddetta triade RID. Si introduce il concetto di autenticità: la proprietà per cui un’entità è ciò che afferma di essere.
Direttiva NIS 2: le aziende coinvolte
Il coinvolgimento delle aziende nel pieno recepimento della Direttiva NIS 2 è consistente, con una serie di importanti adempimenti, quali la notifica alle autorità competenti di eventuali incidenti di sicurezza entro 24 ore, in capo ai fornitori di servizi digitali (ricordiamo che la GDPR impone 72 ore, dunque un arco di tempo più ampio).
Tra le organizzazioni pubbliche e private coinvolte, troviamo quelle che operano sui servizi essenziali, ad esempio:
- operatori energetici (produzione e distribuzione);
- servizi sanitari;
- trasporti;
- infrastrutture di comunicazione elettronica;
- servizi bancari e finanziari.
Per quanto concerne i servizi digitali, di seguito alcuni degli operatori interessati dalle novità normative:
- motori di ricerca;
- e-commerce;
- cloud computing;
- servizi ICT per PA e aerospazio.
Si tratta insomma di organizzazioni i cui livelli di sicurezza sono strettamente intrecciati a quelli dell'intero sistema Paese ed europeo.
Direttiva Nis 2: adempimenti per le imprese e risk management
La NIS 2 impone che i soggetti obbligati dovranno adottino misure tecniche, operative e organizzative adeguate e proporzionate per:
- gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi;
- per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
Dunque le imprese devono compiere una serie di passaggi, una volta compreso se si rientra tra i soggetti obbligati perché fornitori di servizi essenziali e/o digitali.
Il passaggio successivo è quello di fare un'accurata analisi per individuare le aree di rischio e le conseguenti misure tecniche, operative e organizzative da prendere per un corretto adeguamento. Tra dette misure, ne segnaliamo alcune già espressamente indicate nella Direttiva:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, gestione del backup ripristino in caso di evento disastroso;
- sicurezza della catena di approvvigionamento;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
- best practice di igiene informatica di base;
- formazione in materia di sicurezza informatica;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno.
Occorre inoltre dotarsi di un Data Breach Recovery Plan, cioè di una procedura rigorosa a partire dall'iter di notifica alle autorità competenti.
Sono dunque fondamentali le attività di risk management strutturato, inclusa l'identificazione dei soggetti responsabili a livello organizzativo e delle procedure da seguire. Infine occorre avere un'attività di monitoraggio costante dei propri livelli di sicurezza adottando un approccio dinamico alla gestione dei rischi.
Impianto sanzionatorio della Direttiva NIS 2
Le sanzioni previste dalla Direttiva NIS 2, sono sia di tipo amministrativo che penale, tuttavia la loro piena definizione è stata lasciata agli Stati membri che devono stabilirle nelle proprie leggi nazionali di recepimento.
Tuttavia l'UE ha stabilito dei limiti entro i quali muoversi, partendo dal presupposto che un operatore sia ritenuto essenziale o importante. Nel dettaglio in caso di mancato adeguamento:
- gli operatori essenziali rischiano sanzioni amministrative pari a un massimo di 10 milioni di euro o per un importo pari 2% del totale del proprio fatturato mondiale;
- gli operatori importanti potrebbero invece subire sanzioni pari a un massimo di 7 milioni di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale.
Per gli aspetti penali invece non sono stati imposti dei limiti a livello europeo, dunque sta ai singoli Stati legiferare. Nel caso italiano ricordiamo che per le violazioni gravi della privacy è prevista la reclusione fino a 7 anni.
Alle sanzioni pecuniarie e penali, la Direttiva aggiunge l'obbligo di pubblicare sui propri canali la violazione subita.
Polizze cyber e trasferimento del rischio
Un impianto sanzionatorio che impatta notevolmente su fatturato e responsabilità individuali porta con sé la necessità di dotarsi di adeguate coperture assicurative. Ecco che il ruolo del broker assicurativo diventa basilare soprattutto in un'ottica consulenziale nei confronti delle PMI che non hanno una struttura interna tale da poter gestire in proprio tutte le attività di adeguamento.
Una polizza cyber con adeguate coperture, può inoltre contribuire a definire la propria strategia di risk management, poiché presuppone una puntuale individuazione dei potenziali rischi informatici e dei danni conseguenti.
Una polizza completa deve contemplare innanzitutto le coperture per i danni propri, quali:
- interruzione dell'attività;
- ripristino dei dati e dei sistemi;
- estorsione cyber;
- costi di difesa legale risultante da un'indagine regolamentare;
- call center per supporto 24/7;
- specialisti per la negoziazione;
- consulenti per le attività di Forensic;
- Crisisi Communication Experts e PR.
Inoltre vanno inserite le coperture per la responsabilità civile verso terzi:
- richieste di risarcimento da parte di terzi conseguenti la violazione della sicurezza;
- richieste di risarcimento conseguenti una violazione delle informazioni e dei dati confidenziali.
Di fatto le coperture assicurative contribuiscono ad individuare, gestire e mitigare i rischi legati alla cyber security.