Direttiva NIS: i vostri sistemi di sicurezza sono conformi al decreto?

Donato Testa

Conosci la Direttiva sulla sicurezza delle Reti e dei sistemi informatici (NIS) e sai cosa comporta per la tua azienda? Non ne sei sicuro? Non sei l’unico.

La Direttiva NIS è il primo atto legislativo a livello europeo progettato per aumentare il livello generale di sicurezza informatica negli Stati membri ed è stata approvata solo poche settimane prima del Regolamento Generale sulla Protezione dei Dati (GDPR).

Mentre il GDPR ha avuto maggior pubblicità – in gran parte dovuta ai temi dei diritti dei consumatori e della privacy online – la Direttiva NIS è in realtà molto più importante, trattando servizi fondamentali delle infrastrutture come l’energia, i trasporti, la finanza e le infrastrutture digitali. Qualsiasi impresa che si qualifichi come operatore dei servizi essenziali (OSE) o fornitore di servizi digitali (DSP) deve garantire la conformità a questa Direttiva.

Per il mancato rispetto, la norma impone le stesse ingenti sanzioni finanziarie previste per il GDPR. Nel Regno Unito, ad esempio, le imprese non conformi potrebbero incorrere in multe fino a 17 milioni di sterline, pari al 4% del fatturato globale. È stato riferito che l’applicazione della direttiva potrebbe essere molto più rigorosa di quella del GDPR. Poiché queste ammende potrebbero indebolire le imprese, è imperativo che queste procedano con la dovuta prontezza a soddisfare i requisiti della Direttiva.

 

Principali requisiti di conformità

Anche se uniformarsi alla nuova legislazione può significare molto lavoro per le imprese, il suo arrivo dovrebbe essere accolto con favore. Gli attacchi informatici stanno diventando sempre più numerosi e sofisticati, come il malevolo software NotPetya nel giugno dello scorso anno, che è costato al gigante delle spedizioni Maersk 300 milioni di dollari per riparare i danni. L’attacco ha costretto la compagnia a sospendere le operazioni in 76 terminal in tutto il mondo. La direttiva NIS garantirà alle imprese le soluzioni di sicurezza più sicure e più smart per proteggere le loro reti informatiche e i loro dati da queste prolifiche minacce.

Per conformarsi alla Direttiva NIS, le imprese devono soddisfare una serie di requisiti tecnici e organizzativi.

I primi includono:

  • La comprensione delle proprie risorse e uno strumento per l’identificazione dei dispositivi sconosciuti
  • Un programma per la gestione delle vulnerabilità
  • Sistemi evoluti per il rilevamento delle minacce, compresi di capacità di rilevamento, di identificazione e di reportistica
  • Meccanismi efficaci per la segnalazione degli incidenti, tra cui i sistemi per registrare e segnalare gli incidenti entro 72 ore dal rilevamento
  • Gestione efficace degli incidenti
  • Piani di risposta e di recupero

I requisiti organizzativi invece sono costituiti da:

  • Politiche e processi di gestione adeguati per disciplinare l’approccio alla sicurezza delle reti e dei sistemi informativi
  • Un approccio organizzativo alla gestione del rischio
  • La comprensione e la gestione dei rischi per la sicurezza di tutta la catena produttiva
  • Un’adeguata formazione del personale e la sensibilizzazione in materia di sicurezza delle reti e dei sistemi informativi.

 

L’Italia e il rafforzamento della sicurezza informatica

Come per il GDPR, la nuova direttiva europea è stata integrata dalla legislazione italiana attraverso il decreto n.65 del 9 giugno 2018, il cui scopo primario è l’armonizzazione della difesa informatica dei singoli Stati europei.

Un intervento necessario, se si considera il costante aumento dei cyberattacchi anche nel nostro paese negli ultimi cinque anni. Dovuto, almeno in parte, alla maggior capacità di individuare e fermare gli attacchi in corso ma anche ad una sempre crescente rilevanza di questo tipo di attività.

Scorrendo la Relazione DIS 2018, infatti, si registrano più attacchi diretti ai sistemi informatici di pubbliche amministrazioni centrali e locali (72%). È stato rilevato, in particolare, un sensibile aumento di attacchi contro reti ministeriali (24% delle azioni ostili, in aumento di 306 punti percentuali) e contro infrastrutture IT riconducibili ad enti locali (39% del totale del periodo in esame, con una crescita in termini assoluti pari a circa 15 volte).

Fonte: Relazione DIS al Parlamento 2018

 

Nello Stato italiano, le autorità competenti per l’attuazione della nuova NIS sono alcuni Ministeri chiave: Sviluppo economico (per i settori energia, infrastrutture digitali e per gli FSD), Infrastrutture e Trasporti (per il settore trasporti), Economia e finanze (per i settori bancario e finanziario), Salute e Ambiente. Il punto di contatto tra questi enti è il DIS, Dipartimento Informazioni per la Sicurezza, che annualmente redige il rapporto e che gestisce anche il raccordo con le autorità competenti di altri stati membri.

Tra le strutture previste dalla direttiva NIS, un ruolo di rilievo spetta al CSIRT (Computer Security Incident Response Team) italiano, insediato presso la Presidenza del Consiglio, che oltre a ricevere le notifiche degli eventi cyber rilevanti, si occupa di definire le procedure per la prevenzione e la gestione degli incidenti informatici.

Di particolare interesse è notare la predominanza di azioni contro settori strategici come quello energetico e quello dei trasporti che stanno ancora completando la transizione verso l’industria 4.0 e la digitalizzazione dei sistemi di gestione, raccolta e analisi dei dati.

Una circostanza particolarmente significativa per un’azienda come AXIS che da diversi anni fa della protezione e della sicurezza delle reti informatiche la propria missione sia verso i propri clienti che verso il mercato in generale.

 

Come selezionare il giusto fornitore di tecnologia

Ormai è chiaro, infatti, che un’impresa è forte solo quanto il suo anello più debole. Basta un piccolo difetto in un dispositivo collegato a Internet per far crollare un’intera rete, come hanno dimostrato molti recenti attacchi informatici. Quindi per garantire il rispetto della Direttiva sarà necessaria una strategia di difesa informatica su più livelli che comprenda controlli di sicurezza moderni. Ne risulta che è fondamentale scegliere un fornitore con la giusta esperienza.

Quando si prende in considerazione un nuovo partner, le aziende devono scoprire se questi dispone di un inventario dei dispositivi che gli permette di tracciarli, se segue una politica di gestione delle vulnerabilità e come la comunica al canale, e se ha delle certificazioni riconosciute dal settore, come Cyber Essentials. Inoltre, ha il controllo della propria supply chain e offre una formazione adeguata? Questo è importante perché, sebbene i fornitori da soli non siano in grado di rendere un’azienda conforme alla Direttiva NIS, lavorare con una tecnologia sviluppata e implementata senza pensare alla sicurezza potrebbe compromettere l’integrità di una rete.

Il partner giusto non solo aiuterà a soddisfare i requisiti normativi ma fornirà anche soluzioni tecnologiche all’avanguardia che aiuteranno l’azienda a funzionare in modo sicuro e intelligente.

 

Scopri i nostri tre livelli di protezione per migliorare la sicurezza informatica della tua azienda:

Soluzioni per la cybersecurity