Dal 2016, anno dell’entrata in vigore della Direttiva NIS (Network and Information Systems), il panorama delle minacce cyber è evoluto in modo significativo, andando a condizionare un numero sempre maggiore di imprese e di enti europei. Per rispondere a questa esigenza, ma anche all’eccessiva autonomia garantita ai singoli Stati e a un perimetro applicativo un po’ troppo ristretto, il legislatore europeo ha intrapreso rapidamente un iter di revisione della Direttiva, che è culminato il 17 gennaio 2023 con l’entrata in vigore di NIS 2.
La Direttiva NIS 2 e l’ampliamento dei soggetti coinvolti
Nel 2024, la Direttiva NIS 2 (UE 2022/2555) sarà un argomento di stretta attualità. Affinché essa sia concretamente applicabile, infatti, è necessario il recepimento da parte degli Stati UE, che deve avvenire tassativamente, e con opportune integrazioni, entro il 18 ottobre 2024.
Come anticipato, uno dei pilastri di NIS 2 è l’ampliamento dell’ambito di applicabilità della norma. NIS 2 supera infatti la suddivisione di NIS tra Operatori di servizi essenziali (OSE) e Fornitori di servizi digitali (FSD) e introduce quella più ampia tra soggetti essenziali e importanti, che vanno identificati dai singoli Stati entro il 17 aprile 2025.
Nel frattempo, è la stessa Direttiva a fornire delle linee guida su chi sarà soggetto alle proprie norme. In particolare, ciò dipenderà da:
- Il settore di appartenenza;
- La dimensione, con focus sulle imprese di medie e grandi dimensioni, in aggiunta ai soggetti pubblici;
- Il ruolo dell’azienda nel settore. Saranno soggette a NIS 2 anche le piccole realtà che svolgono un ruolo critico nel loro mercato.
Particolarmente significativo è il primo punto, perché oltre ai settori ad elevata criticità nazionale già identificati da NIS, come quello energetico, bancario, TLC e dei trasporti, il legislatore comunitario ha deciso di aggiungere altri settori critici come la produzione e la trasformazione alimentare, la gestione dei rifiuti, la produzione di macchinari, di veicoli e molti altri.
Direttiva NIS 2 compliance: cosa è richiesto alle imprese
La Direttiva NIS 2 rafforza gli obblighi di NIS chiedendo alle aziende di adottare misure di natura tecnica, operativa e organizzativa proporzionate ai rischi di sicurezza cui sono soggette le reti e i sistemi adottati nell’operatività quotidiana. A differenza di GDPR, e pur mantenendo intatto il principio dell’accountability, NIS 2 entra nel merito e identifica alcune misure, tra cui:
È importante sottolineare l’imposizione di un piano strutturato per la gestione degli incidenti informatici. Sulla traccia del GDPR (ma con termini diversi), la Direttiva NIS 2 concede infatti alle aziende appena 24 ore dalla scoperta della violazione per una prima segnalazione alle autorità competenti.
NIS 2 e l’impatto sulla OT Security
La Direttiva NIS 2 vuole potenziare la resilienza e la capacità di risposta agli incidenti informatici sia nel settore pubblico che in quello privato. Rispetto a NIS, molte più aziende saranno obbligate ad elevare i propri standard di sicurezza cyber sia a livello di difesa preventiva che di procedure di risposta, dovendo inoltre dimostrare l’aderenza alle indicazioni della Direttiva per evitare sanzioni molto salate (fino a 2% del fatturato mondiale annuo o 10 mln di euro).
Nell’imporre una serie di misure di gestione dei rischi di sicurezza, il legislatore non fa certamente distinzione tra security IT e OT. Inoltre, come si è detto, un tratto caratteristico di NIS 2 è l’ampliamento dell’ambito di applicabilità della norma ad altri settori critici come l’industria alimentare e la produzione di dispositivi medici, prodotti di elettronica, macchinari, autoveicoli e molti altri. L’impatto della normativa sul segmento della OT security è rafforzato da altri fattori, tra cui:
Come muoversi sul terreno della OT Security
L’entrata in vigore della normativa pone interrogativi di compliance. Ovvero, in che modo le imprese dovrebbero affrontare il tema dell’adeguamento ai dettami di NIS 2, soprattutto per quanto concerne la tecnologia operativa (OT)?
A livello metodologico, le aziende si possono orientare verso alcuni standard internazionali di riferimento, che peraltro adottano lo stesso principio risk-based richiesto da NIS 2. Tra questi, il NIST cybersecurity framework e lo standard ISA/IEC 62443.
-
- Del NIST segnaliamo soprattutto la Special Publication 800-82 Rev. 3, che definisce un quadro generale per la protezione dei sistemi OT, con tanto di minacce, vulnerabilità, metodologie, approcci e architetture di gestione del rischio.
- ISA/IEC 62443 è una famiglia di standard il cui fine è estendere le best practice dell’IT alla Operational Technology. Secondo la stessa International Society of Automation, i documenti definiscono i “requisiti e processi per l’implementazione e la manutenzione di sistemi di automazione e controllo industriale (IACS) sicuri dal punto di vista elettronico”. Viene inoltre fornito anche un metodo per valutare le prestazioni proprio in termini di sicurezza.
A livello pratico, la soluzione ideale è affidarsi a un partner che possa indirizzare al meglio (ovvero in conformità con la normativa) tutte le componenti della sicurezza informatica aziendale, siano esse legate alle reti e ai sistemi di controllo industriali (ICS), ma anche alle più comuni componenti IT.
Va sottolineato, infine, quanto le soluzioni di OT Security richiedano competenze ad hoc, esperienza specifica su ecosistemi, modelli e reti industriali nonché strategie, tattiche e strumenti ben definiti, che non tutti gli operatori padroneggiano. Perciò, da questa specifica partner selection dipenderanno non solo la produttività e la continuità del business, ma anche la conformità con una normativa che promette di essere centrale per un futuro piuttosto lungo.
