Evoluzione della Direttiva NIS e risultati ottenuti in termini di implementazione

Dopo alcuni anni dall’uscita della prima direttiva EU NIS (Network and Information Systems) l’Europa ha ulteriormente rafforzato la sua attenzione ed i presidi in questo ambito, pubblicando la NIS2, uno strumento più maturo ed ambizioso. L’EU ha ben compreso, viste le profonde relazioni economiche ed infrastrutturali che ci sono tra gli Stati membri, che l’unica modalità per ottenere un livello minimo di sicurezza è che tutti gli Stati membri adottino un percorso comune, per poter contrastare un rischio-sistemico generale.

La direttiva NIS e NIS2

La Direttiva può rappresentare un primo approccio condiviso a livello UE per dotarsi di Linee Guida (minime) comuni per la gestione della Sicurezza dei sistemi informativi.

La necessità di questo intervento viene chiarita dalla stessa direttiva nelle considerazioni iniziali: “Le reti e i sistemi informativi, e in prima linea internet, svolgono un ruolo essenziale nell’agevolare i movimenti transfrontalieri di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi, intenzionali o meno e indipendentemente dal luogo in cui si verificano, possono ripercuotersi su singoli Stati membri e avere conseguenze in tutta l’Unione”.

La Direttiva vuole (dovrebbe?) lasciare a ciascuno stato l’autonomia di adottare le misure di sicurezza più opportune e necessarie a tutelare i propri interessi in materia di sicurezza. Ciononostante, sottolinea che la sicurezza delle reti e dei sistemi sarà efficace solo quando tutti gli stati membri avranno raggiunto un livello omogeneo (minimo) di sicurezza “un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dei sistemi informativi nell’Unione”.

Per raggiungere un obiettivo significativo è indispensabile una forte collaborazione tra settore pubblico e settore privato (che gestisce la maggior parte delle reti e dei sistemi informativi), adeguati livelli di cooperazione e condivisione e l’utilizzo delle competenze che ENISA mette a disposizione di tutti gli stati membri. L’obiettivo dell’ENISA è assistere le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’attuazione delle politiche necessarie a soddisfare le prescrizioni legali e regolamentari in materia di sicurezza della rete e dei sistemi informativi.

Il Regolamento (UE) n. 526/2013 descrive il ruolo e i compiti di ENISA. Di seguito una sintesi di alcuni aspetti del regolamento:

• visto il continuo mutare delle minacce informatiche, ENISA è incaricata di contribuire ad ottenere un elevato livello di sicurezza sviluppando e promuovendo una cultura in materia di sicurezza nella società;
• assistere gli stati membri a rafforzare la loro capacità di rilevare e prevenire problemi e incidenti di sicurezza informatica, nonché reagire agli stessi;
• sostenere lo sviluppo di cooperazione, analisi dei problemi e incidenti di sicurezza informatica ed aumento delle capacità dei CERT nazionali/governativi;
• svolgimento di esercitazioni a livello dell’Unione in materia di sicurezza delle reti e dell’informazione;

Sono definiti nella Direttiva NIS gli soggetti a cui si applica all’interno degli stati membri: È opportuno che la presente direttiva si applichi sia agli operatori di servizi essenziali che ai fornitori di servizi digitali in modo da coprire tutti i relativi rischi e incidenti e definisce che ciascuno stato membro dovrà dotarsi di un punto di contatto unico a livello nazionale (articolo 8).

L’attenzione della Direttiva resta dunque sul voler garantire un livello comune elevato di cybersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno, definendo:

• obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cybersicurezza …;
• misure in materia di gestione dei rischi di cybersicurezza e obblighi di segnalazione per i soggetti (in perimetro) … ;
• norme e obblighi in materia di condivisione delle informazioni sulla cybersicurezza;
• obblighi in materia di vigilanza ed esecuzione per gli Stati membri;

È di fondamentale importanza che tutti gli Stati membri abbiano sviluppato una strategia di cybersicurezza e che questa sia allineata alla presente Direttiva ed aggiornata ogni 5 anni (articolo 7). ENISA può assistere gli Stati membri nell’elaborazione di una strategia su richiesta di questi ultimi.

L’articolo 20 definisce “Le Misure di Gestione del Rischio e Obblighi di Segnalazione”. Il primo articolo formula l’obiettivo che poi viene declinato nelle misure tecniche, ossia: “i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi”.

A tal riguardo ritengo utile sottolineare come tutta la Direttiva trovi forza nell’introduzione, in modo coerente e sistematico, del concetto di “gestione del Rischio” per aumentare la protezione in termini di cybersecurity dei paesi membri e per evitare “l’effetto domino” di eventi/incidenti all’interno della UE ( Articolo2: una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero; ).

Anche per limitare gli effetti che gli incidenti di sicurezza possono avere sull’intero sistema comunitario, per consentire l’attivazione efficace di misure di protezione e fornire l’attivazione di una “rete di supporto” e cooperazione tra gli stati membri, la centralizzazione delle informazioni e la tempestività con la quale comunicare gli eventi diventano elementi essenziali. Sono quindi definiti delle tempistiche esatte dove i soggetti essenziali o importanti, qualora venissero a conoscenza di un incidente significativo dovrebbero essere tenuti a presentare un preallarme senza indebito ritardo, e comunque entro 24 ore, senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione (art.23 ,a, b).

La NIS2 specifica anche nell’art. 21 le Misure di sicurezza (minime) che devono essere comunque basate su un approccio di valutazione del rischio, elencando i seguenti elementi:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. gestione degli incidenti;
3. continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
7. pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
8. politiche e procedure relative all’uso della crittografia e della cifratura;
9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno.

È importante notare come la Direttiva sottolinei che gli Stati membri dovrebbero, nelle loro strategie nazionali per la cybersicurezza, rispondere alle esigenze specifiche in materia di cybersicurezza delle piccole e medie imprese. L’EU ha infatti una complessità da dover gestire. Circa 25 milioni di aziende sono SMEs, queste hanno in alcuni casi risorse limitate per contrastare i rischi e al tempo stesso stanno affrontando una forte transizione digitale. Faticano dunque ad adattarsi rapidamente ed in sicurezza al contesto che cambia velocemente e la loro vulnerabilità diventa una vulnerabilità del Sistema EU. Questo ENISA lo comprende bene: “Le PMI (SMEs) sono la spina dorsale dell’economia dell’UE, rappresentano il 99% delle imprese” e per questo motivo a Giugno del 2021 pubblica il documento Cybersecurity for SMEs.

Report investimenti EU NIS

Il Report ENISA NIS INVESTMENTS, November 202, illustra una fotografia sullo stato dell’arte rispetto all’implementazione della Direttiva NIS, riportando lo stato degli investimenti in termini di sicurezza da parte degli Operatori di Servizi Essenziali (OES) e dei Fornitori di Servizi Digitali (DSP).

Il rapporto del 2022 contiene dati raccolti da 1080 OES/DSP di tutti i 27 Stati membri dell’UE, già è un dato significativo se si pensa che l’analogo report prodotto sempre da ENISA negli anni precedenti vedeva un perimetro molto più contenuto:

• Report 2020: 251 Organizzazioni di 5 stati membri
• Report 2021: 947 Organizzazioni di 27 stati membri
• Report 2022: 1080 Organizzazioni di 27 stati membri

Il Mercato della Sicurezza (Information Security e Risk Management) nel 2022 raggiungerà circa 170 miliardi di euro, con un trend che sarà in crescita anche per i prossimi anni (6/7% circa), le voci dove si attende il forecast maggiore riguardano le Infrastrutture di protezione, Risk management, Identity ed Access Management.

I Trend rispetto alla Cybersecurity vedono con attenzione:

• passwordless authentication
• Integrated risk management (IRM)
• Secure access services edge (SASE)
• Digital risk management (DRM)
• Extended detection and response (XDR)

Tra gli stati membri nella top-3 in termini di investimento vediamo: Germania, Francia, Italia; i settori con i principali investimenti sono: Banking, Energy, Healtcare (IT spendimg by Sector – NIS Investment 22, ENISA).

Il Report fornisce una fotografia particolarmente generosa ed utile per approfondire, a livello UE, i trend rispetto alla security, alle tipologie di investimento per paese, impatto degli incidenti informatici sulle organizzazioni in termini di costo, ecc… .

Il 37% delle organizzazioni in perimetro (OESs e DSPs) non ha implementato e/o definito una strategia rispetto all’impiego di SOC (Security Operations Center), il 76% delle SMEs non dispone di strumenti, interni o esterni, di SOC. Questa è un’area particolarmente critica e sulla quale l’UE ha avviato progetti di investimento per irrobustire l’offerta in questo segmento. Una fotografia più matura invece si osserva rispetto all’implementazione di soluzioni di “third-party risks management” (TRM o TPRM), dove anche se nella maggior parte dei casi (76%) non è definito un ruolo dedicato alla gestione della security di questo processo, l’86% delle organizzazioni ha implementato misure di gestione (policy, ecc…). Probabilmente questo risultato è stato ottenuto anche grazie ai numerosi incidenti significativi a livello mondiale che si sono verificati sfruttando la vulnerabilità della supply-chain e che hanno prodotto sensibilizzazione e cultura verso questa tipologia di minaccia.

Riferimenti

• NIS Investments Report 2020 (www.enisa.europa.eu/publications/nis-investments-2022)
• NIS Investments Report 2020 (www.enisa.europa.eu/publications/nis-investments-2021)
• NIS Investments Report 2020 (www.enisa.europa.eu/publications/nis-investments)
• Risoluzione legislativa del Parlamento europeo del 10 novembre 2022 sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che abroga la direttiva (UE) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) (www.europarl.europa.eu)
• A Strategic Compass for a stronger EU security and defence in the next decade (www.consilium.europa.eu)

Articolo a cura di Marco Pinzaglia