La direttiva Nis definisce le misure di sicurezza con un approccio multirischio e si focalizza sulla catena del fornitori tema di forte attualità alla luce della gravità dei recenti attacchi informatici.
La direttiva NIS - Network and Information Security prevede misure di sicurezza al fine di conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea. Il decreto di attuazione Nis 2 prevede una serie di obblighi per i soggetti essenziali e i soggetti importanti al fine di gestire i rischi per la sicurezza informatica. Si prevede in coerenza della visione olistica della direttiva europea l’obbligo di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi, specificandone le caratteristiche e gli elementi essenziali. Viene richiesto che, per valutare l'adeguatezza delle misure di sicurezza nella catena di approvvigionamento, i soggetti che rientrano nell’ambito di applicazione della Nis 2 considerino le vulnerabilità specifiche di ogni fornitore e la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei fornitori, incluse le loro procedure di sviluppo sicuro. Le misure previste assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione. Le misure sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico. Le misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendano almeno anche i seguenti elementi le politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete la gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche degli incidenti la continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi. Il decreto di attuazione richiama l’attenzione sulla sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi e sulla sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità. Viene sottolineata l’importanza di adottare e monitorare politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica. Viene confermata l’importanza dell’adozione di pratiche di igiene di base e di formazione in materia di sicurezza informatica di politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura dell’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno. Sono inserite al centro delle scelte aziendali la sicurezza e affidabilità del personale, le politiche di controllo dell'accesso e la gestione dei beni e degli assetti. Al fine di valutare l’adeguatezza delle misure di sicurezza della catena di approvvigionamento viene richiesto che i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi, e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS. Viene specificato che, qualora un soggetto rilevi di non essere conforme alle misure indicate nell’articolo 22 del Decreto, è tenuto ad adottare, senza indebito ritardo, tutte le misure appropriate e proporzionate correttive necessarie. L’implementazione delle misure di sicurezza richieste comporteranno un impatto sulla compliance integrata e degli investimenti da parte delle imprese e pubbliche amministrazioni. Viene, tuttavia, indicato all’articolo 43 dall’attuazione del decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti vi provvedono nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Gli adempimenti relativi alle misure di sicurezza non saranno subito obbligatori ma saranno cogenti entro il 1° ottobre 2026. Tali adempimenti richiedono un intenso lavoro preparatorio che conviene cominciare quanto prima a partire dall’ analisi del rischio e dalla definizione della road map del percorso di adeguamento e della ripartizione dei compiti al fine di non incorrere nelle pesanti sanzioni amministrative previste e ai controlli che saranno effettuati sul campo da ACN. L’analisi del rischio deve essere estesa, come abbiamo visto, anche alla valutazione e la gestione dei rischi della catena di fornitura La direttiva Nis e il decreto di attuazione definiscono, come abbiamo visto, le misure per un livello comune elevato di cybersicurezza nell'Unione europea. Il tema della cybersicurezza e delle misure di sicurezza risultano decisive anche in connessione con lo sviluppo dell’intelligenza artificiale, poiché i data set su cui i sistemi di IA poggiano richiedono elevati livelli di integrità e protezione. L’applicazione delle misure di sicurezza della Nis 2 relativa estensione ai nuovi settori della logistica, del settore agroalimentare e dello spazio e della relativa applicazione indiretta anche alla catena dei relativi fornitori costituisce, pertanto, una grandissima sfida e opportunità professionale per le nostre imprese e consulenti.
articolo 24 decreto-legislativo 4 settembre 2024, numero 138 in G.U. 1 ottobre 2024, numero 230