La NIS2 (Direttiva UE 2022/2555) è una direttiva dell’Unione Europea, che entrerà in vigore in Italia il 17 Ottobre, e introduce nuove misure di cybersecurity per gli Stati membri con l’obiettivo di creare un livello comune elevato di cybersicurezza e migliorare la resilienza e le capacità di risposta agli incidenti dell’UE.
Rispetto alla precedente normativa, che era limitata a pochi settori critici (banche, difesa, ecc.), viene significativamente allargata la platea dei soggetti obbligati all’applicazione e tra questi rientra anche chi opera nel settore della produzione, distribuzione e lavorazione di alimenti (definiti “soggetti importanti”) con sede nell’Unione, con l’unica esclusione delle micro e piccole imprese.
Similmente ad altre certificazioni – come la ISO9001 per la qualità e la ISO27001 per la sicurezza delle informazioni – la direttiva mira a considerare la cybersicurezza come un processo con conseguente analisi dei rischi e delle vulnerabilità, assessment periodici, messa in atto di idonee misure di protezione correlate al rischio, effettuazione di valutazioni di impatto e di scenari what-if, inclusa la valutazione della business continuity e disaster recovery.
La direttiva prevede l’obbligo di notifica di qualsiasi incidente informatico relativo alla sicurezza che abbia un impatto sulla fornitura di prodotti/ servizi alle autorità competenti o al CSIRT entro 24 ore dall’incidente ed entro 1 mese deve essere redatta una relazione sulle azioni messe in atto.
Le autorità nazionali competenti o il CSIRT devono rispondere alla notifica iniziale entro le successive 24 ore con un feedback sull’incidente e, se possibile, dando indicazioni sulle misure di mitigazione.
La direttiva NIS2 richiede che le misure siano “appropriate” e “proporzionate” in relazione anche alla dimensione dei soggetti; tuttavia, aggiunge una serie di elementi minimi di sicurezza che devono essere previsti in ogni caso, e che saranno stabiliti mediante specifiche tecniche e metodologie emanate dalla Commissione Europea.
Tra gli elementi di novità, la NIS2 introdurrà requisiti espliciti per gestire i rischi di terzi nelle catene di approvvigionamento e nelle relazioni con i fornitori (supply chain security), per cui anche le micro e piccole imprese fornitrici di aziende soggette a NIS2 potranno essere oggetto della direttiva.
Inoltre, la NIS2 prevede che i soggetti possano (e alcuni soggetti essenziali debbano) dimostrare la propria conformità ottenendo la certificazione della cybersecurity prevista dal recente Regolamento UE 2019/881, noto come EU Cybersecurity Act.
Le sanzioni previste in caso di inadempimento sono piuttosto pesanti: sino a 10 milioni di euro o il 2% del fatturato globale.
L’applicazione della NIS2 alle imprese manifatturiere presenta spesso criticità significative: i macchinari a volte sono datati, spesso non aggiornati e operano 24 ore su 24, in alcuni casi non è chiaro chi sia responsabile della manutenzione (competenze suddivise tra IT, tecnici manutentori e società produttrici esterne), frequentemente acceduti da terze parti per troubleshooting e manutenzione ed esistono poche soluzioni di protezione dedicate (vecchi PC, PLC, Sistemi SCADA, ecc.).
MindTheGap e Kaspersky, azienda globale di sicurezza informatica e digital privacy che sviluppa Kaspersky Industrial Cybersecurity e offre una serie completa di servizi specializzati, certificati e integrati in modo nativo per proteggere i sistemi di controllo e automazione industriale, uniscono le forze in Verysafe.it.
Quest’iniziativa mira a supportare i clienti nella realizzazione delle migliori soluzioni tecnologiche e consulenziali al fine di garantire la conformità alla NIS2, disegnando tutti i processi in modo corretto (valutazione dei rischi e delle vulnerabilità, analisi di impatto, action plan & key actors, formazione del personale e revisione periodica delle procedure) e fornendo un Security Operation Center, attivo 24 ore su 24 e 7 giorni su 7, visto che le minacce non dormono mai.
Negli ultimi anni, secondo Kaspersky, il settore industriale e manufatturiero è stato oggetto di una crescente attenzione da parte dei cyber criminali: nel primo semestre del 2023 in Italia sono stati rilevati e bloccati oggetti malevoli sul 23,7% dei computer di Industrial Control System.
La maggiore connettività alle reti esterne e il crescente numero di dispositivi IoT ad uso industriale (IIoT) determina un aumento del livello di rischio e un’esposizione alle cyber minacce preoccupante, che possono causare fermi di produzione con conseguenti danni a livello economico e reputazionale per l’azienda.
Per approfondire la tematica puoi contattare www.verysafe.it