L’importanza della cybersecurity e la Direttiva NIS 2 per la sicurezza informatica in Unione Europea

La sicurezza informatica o cybersecurity è una priorità o comunque un elemento fondamentale per aziende e istituzioni, e naturalmente per noi cittadini. I rischi che gli attacchi informatici presentano, dalla sottrazione di dati sensibili all’interruzione di servizi essenziali, richiedono prevenzione e protezione sempre più estese e solide.

Ecco perché in questo post introduciamo la NIS 2, Direttiva dell’Unione Europea nata per rendere ancora più forte la sicurezza informatica di infrastrutture e servizi critici in tutta Europa, grazie a un approccio strategico comune.

Le Direttiva NIS 2 (Direttiva (UE) 2022/2555) infatti sostituisce la precedente Direttiva NIS proprio con l’obiettivo di rafforzare la sicurezza informatica e la resilienza delle infrastrutture critiche in Europa. 

Gli Stati membri UE dovevano recepire la nuova Direttiva entro ottobre 2024: l’Italia ha già provveduto con il Decreto Legislativo n.138 del 2024.

Cosa significa resilienza delle infrastrutture?

Quando si parla di resilienza delle infrastrutture, si intende la capacità di strutture e sistemi essenziali come reti elettriche, ospedali, trasporti, telecomunicazioni, di resistere a eventi e problemi imprevisti, adattandosi e continuando a funzionare anche nel corso di eventuali emergenze.

Due esempi semplici e pratici di resilienza sono: una rete elettrica che può continuare a funzionare anche in caso di blackout grazie ai generatori di emergenza che si attivano subito; una banca che subisce un attacco informatico ma riesce a ripristinare in modo rapido i suoi sistemi senza perdere dati. 

Quali sono le minacce informatiche principali?

Le minacce informatiche principali sono state identificate dall’Agenzia dell’Unione Europea per la cybersecurity (ENISA) che le ha elencate nel suo report annuale pubblicato a ottobre 2024:

  • ransomware: attacco che ha come obiettivo il controllo di dati o sistemi e che, nel suo schema tipico, prevede la richiesta di un riscatto (ransom) per ripristinarne l’accesso o evitare la diffusione pubblica delle informazioni sottratte
  • malware: software dannoso per la sicurezza di un sistema, attraverso il quale possono essere sottratti dati o creati danni
  • social engineering: tecniche di manipolazione mirate a ingannare le persone per indurle a rivelare informazioni sensibili o a compiere azioni pericolose
  • minacce ai dati: violazioni o perdite di dati che espongono informazioni sensibili, conseguenza anche di attacchi informatici. Il GDPR nell’articolo 4.12 le descrive come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”
  • attacchi DDoS: attacchi che mirano a rendere inaccessibili servizi online attraverso un sovraccarico di richieste che esaurisce le risorse disponibili
  • manipolazione delle informazioni: strategie coordinate di manipolazione volte a raggiungere obiettivi di tipo diverso, come obiettivi politici o di sicurezza.

L’importanza dell’igiene informatica

Al di là delle normative come la NIS 2, ricordiamo che la cybersecurity non è solo una questione che riguarda aziende, enti e istituzioni, ma coinvolge tutti e passa anche dalle nostre abitudini personali quotidiane. 

Seguire pratiche di igiene informatica o cyber hygiene – come l’uso di password robuste, l’abilitazione dell’autenticazione a due fattori, l’aggiornamento costante dei software e la prudenza nel cliccare su link o allegati sospetti per non cadere ad esempio nel phishing – aiuta a ridurre i rischi informatici. 

La sicurezza informatica parte dalle infrastrutture, ma coinvolge anche il comportamento consapevole di ognuno di noi.

Cosa richiede la NIS2?

Per arrivare all’obiettivo di migliorare la cybersecurity, la Direttiva NIS 2 stabilisce i requisiti che ogni soggetto interessato deve soddisfare. Tra questi ci sono, ad esempio:

  • l’identificazione e la valutazione del rischio: le organizzazioni devono identificare e valutare i rischi informatici
  • l’elaborazione di piani per garantire la continuità operativa, incluse ad esempio le procedure di backup e ripristino
  • l’implementazione di misure di sicurezza tecniche e organizzative quali:
    • protezione delle reti e dei sistemi informativi
    • gestione degli accessi e crittografia dei dati
    • monitoraggio continuo e risposta agli incidenti.
  • la notifica degli incidenti: segnalare in modo tempestivo gli incidenti di sicurezza significativi alle autorità competenti.

Chi deve adeguarsi alla NIS 2?

La NIS 2 amplia l’ambito della precedente direttiva NIS e opera due distinzioni tra settori e imprese, tra loro correlati:

  • settori considerati altamente critici e settori critici
  • grandi imprese e medie imprese

I settori altamente critici sono:

  • energia
  • trasporti
  • banche
  • mercati finanziari
  • sanità
  • acqua potabile
  • acque reflue
  • infrastrutture digitali: comprende i fornitori di servizi di comunicazione elettronica accessibili al pubblico ed è l’abito che riguarda anche i provider come siamo noi di Ehiweb
  • gestione dei servizi ICT B2B
  • spazio

I settori critici sono:

  • servizi postali e corrieri
  • gestione dei rifiuti
  • fabbricazione, produzione e distribuzione di sostanze chimiche
  • produzione, trasformazione e distribuzione di alimenti
  • fabbricazione (tra i quali fabbricazione di computer e prodotti di elettronica e apparecchiature elettriche)
  • fornitori di servizi digitali
  • ricerca

Altri soggetti coinvolti sono la Pubblica Amministrazione centrale, regionale e locale.

La normativa non si basa solo sulla dimensione dell’azienda, ma anche sulla criticità del settore e sull’importanza dei servizi offerti: anche una piccola impresa può essere obbligata a rispettare la NIS 2 se svolge un’attività riconducibile a uno dei settori coinvolti, per esempio i fornitori di servizi di comunicazione elettronica accessibili al pubblico. 

Come funziona in pratica l’identificazione dei soggetti? L’ACN (Agenzia per la cybersicurezza nazionale), l’autorità italiana competente per la NIS 2, spiega che le organizzazioni dovranno registrarsi sulla piattaforma messa a disposizione entro la fine di febbraio 2025. Entro aprile 2025, ACN notificherà a ciascuno degli iscritti se rientrano nell’elenco dei soggetti coinvolti oppure no.

A queste prime fasi seguiranno poi le fasi attuative in cui tutti i soggetti coinvolti dovranno implementare gli obblighi di base previsti, fasi che dovranno concludersi entro il 2026.

Naturalmente, come operatore di telecomunicazione e fornitore di servizi di comunicazione elettronica, anche noi rientriamo nei soggetti interessati, seguiamo e seguiremo in modo scrupoloso  l’iter della nuova normativa, non come un semplice obbligo da rispettare ma un’opportunità in più per contribuire, come da sempre siamo impegnati a fare, alla sicurezza informatica a beneficio di tutti. 

Crediamo che condividere questi passaggi importanti sia doveroso da parte di un provider come noi: in linea con il nostro impegno di condividere conoscenza e informazione sul mondo delle TLC, aggiorneremo le informazioni sulla Direttiva NIS 2 in occasione dei suoi avanzamenti più importanti.