Direttiva NIS2: cosa devi sapere e come preparare la tua organizzazione

Che cos'è la direttiva NIS2?

La NIS2 è la direttiva aggiornata dell'UE in materia di sicurezza informatica, volta ad aumentare il livello minimo di sicurezza delle reti e delle informazioni in tutta l'Unione. Tale direttiva amplia l'ambito di applicazione dei soggetti tenuti a conformarsi, rafforza gli obblighi di segnalazione degli incidenti e stabilisce aspettative più chiare su come le organizzazioni sono tenute a gestire il rischio informatico.

A livello aziendale, la direttiva NIS2 non si riduce a introdurre ulteriori controlli di sicurezza. 

Comporta un cambio di paradigma verso una governance informatica verificabile, che richiede alle organizzazioni di dimostrare una gestione proattiva dei rischi, un trattamento coerente degli incidenti e una responsabilità chiaramente assegnata ai livelli di leadership adeguati.

OneTrust supporta questo cambiamento offrendo alle organizzazioni un modo unico e strutturato per gestire il rischio informatico, i flussi di lavoro degli incidenti, la supervisione delle terze parti e le evidenze di governance. In questo modo, i requisiti della direttiva NIS2 possono essere soddisfatti attraverso processi ripetibili, invece che tramite un coordinamento ad hoc tra i vari team.

A chi si applica la direttiva NIS2?

La direttiva NIS2 amplia la copertura alle entità di più settori, raggruppandole generalmente in entità essenziali ed entità importanti , con alcune differenze nella supervisione e nell'applicazione. 

Come inquadrare in modo pragmatico l'ambito di applicazione della direttiva

• Se la tua organizzazione fornisce servizi critici, gestisce infrastrutture nazionali o servizi digitali di rilievo, oppure è coinvolta in attività manifatturiere o logistiche su larga scala, devi presumere che la direttiva NIS2 sia applicabile fino a quando non potrai confermare il contrario.
• Anche se non rientri direttamente nelle categorie classificate, la direttiva potrebbe comunque riguardarti se vendi prodotti o servizi a settori regolamentati o critici, a causa delle aspettative imposte lungo la catena di fornitura.

Gli Stati membri sono inoltre tenuti a creare e mantenere elenchi di entità essenziali e importanti e a rivederli periodicamente. 

Entità essenziali e importanti a confronto

Il termine ''essenziale'' si riferisce di norma ai settori che gestiscono infrastrutture critiche o servizi con forte impatto, mentre ''importante'' indica ambiti aggiuntivi che, pur meno critici, sono comunque fondamentali e ampiamente diffusi nell'economia. La definizione puntuale delle categorie e delle soglie è determinata da come la direttiva viene recepita a livello nazionale.

I settori comunemente associati all'ambito di applicazione della direttiva NIS2 includono l'energia, i trasporti, la sanità, le infrastrutture digitali e altre categorie di servizi critici. 

Se operi in più Paesi dell'UE, non dare per scontato che l'interpretazione di un Paese corrisponda a quella di un altro: infatti, la direttiva è progettata per armonizzare le aspettative, ma l'applicazione avviene a livello nazionale.

Requisiti principali della direttiva NIS2

La direttiva NIS2 rafforza le aspettative su alcuni temi ricorrenti: gestione del rischio, segnalazione degli incidenti, supervisione delle terze parti e responsabilità della governance. Questi requisiti sono volutamente ampi, perché la direttiva si concentra meno sugli strumenti adottati e più sulla capacità delle organizzazioni di far funzionare davvero la governance nella pratica.

Ecco cosa i leader aziendali devono riconoscere come ''elementi imprescindibili'' in qualsiasi programma di preparazione alla direttiva NIS2.

1) Misure di gestione del rischio per la sicurezza informatica

La direttiva NIS2 richiede alle organizzazioni di implementare misure adeguate per gestire il rischio informatico nei propri sistemi, servizi e operazioni. Nella pratica, ciò comporta che i controlli debbano essere:

• documentati, in modo da rendere chiare le aspettative;
• applicati in modo coerente, piuttosto che selettivo o informale;
• riesaminati nel corso del tempo, man mano che le minacce, i sistemi e i modelli di business cambiano.

Questo requisito va oltre la semplice stesura di policy o l'allineamento a un quadro normativo. Le autorità di regolamentazione cercano prove che dimostrino che la gestione del rischio è integrata nelle operazioni quotidiane e che i controlli sono gestiti, testati e aggiornati. Vogliono inoltre verificare che le lacune siano identificate e colmate nel tempo.

In sostanza, conta meno la policy perfetta e più la capacità di dimostrare una gestione dei rischi realmente attiva ed efficace.

2) Obblighi di segnalazione degli incidenti con tempistiche ristrette

La direttiva NIS2 introduce un modello strutturato di segnalazione degli incidenti che include:

• un preavviso entro 24 ore;
  
• una notifica degli incidenti più dettagliata entro 72 ore;
  
• una relazione finale entro un mese.

Rispettare queste tempistiche non è solo una sfida per le operazioni di sicurezza, ma richiede anche un coordinamento a livello dell'intera organizzazione mentre l'incidente è ancora in corso.

Per eseguire le operazioni di segnalazione degli incidenti in modo efficace, le organizzazioni hanno bisogno di:

• criteri chiari che stabiliscono quali incidenti devono essere segnalati;
  
• chiare responsabilità e percorsi di escalation;
  
• un metodo per raccogliere fatti, decisioni ed evidenze in tempo reale;
• un lavoro congiunto tra sicurezza, ufficio legale, team privacy, comunicazione e direzione.

Senza una struttura di questo tipo, gli sforzi di segnalazione diventano reattivi e poco coerenti, aumentando sia il rischio normativo che quello reputazionale.

3) Gestione della catena di fornitura e delle terze parti

La direttiva NIS2 pone maggiore enfasi sui rischi legati alla catena di fornitura e alle terze parti, riflettendo quanto la maggior parte delle organizzazioni dipenda da fornitori esterni.

Questo include i fornitori che:

• ospitano o gestiscono sistemi critici;
  
• offrono servizi cloud o gestiti;
  
• elaborano dati sensibili o operativi;
• supportano servizi fondamentali o rivolti al cliente.
  

Per le organizzazioni che fanno ampio ricorso a servizi IT o cloud in outsourcing, la direttiva NIS2 sposta l'attenzione dalle valutazioni periodiche alla supervisione continua. La gestione di terze parti non può più essere trattata come un questionario annuale o un esercizio legato a un questionario. Deve invece essere collegata alle reali dipendenze operative, alle valutazioni del rischio e alla preparazione agli incidenti.

Responsabilizzazione della dirigenza

La direttiva NIS2 rafforza esplicitamente la governance e la responsabilizzazione a livello dirigenziale. La resilienza informatica non è più solo responsabilità del team IT, ma anche obbligo dei leader.

Ciò implica che i leader debbano:

• approvare le misure di gestione del rischio;
  
• comprendere i rischi informatici materiali;
• supervisionare la risposta e la segnalazione degli incidenti;
• poter dimostrare di prendere decisioni informate. 

Per molte organizzazioni, questo è il requisito più difficile da implementare. Ciò non è dovuto al disimpegno dei leader, ma al fatto che la supervisione è spesso frammentata tra team e strumenti diversi. Senza un modello operativo chiaro, la visibilità della leadership si basa su report manuali, metriche poco coerenti e sintesi retrospettive, tutti elementi che non reggerebbero al vaglio delle autorità di regolamentazione.

Qui entra in gioco OneTrust, mettendo a disposizione della dirigenza una panoramica chiara e costante del rischio informatico, degli incidenti e delle responsabilità, senza fare affidamento su reportistica frammentata.

Come viene applicata la direttiva NIS2

La NIS2 è una direttiva, il che significa che ogni Stato membro dell'UE deve recepirla nel proprio ordinamento giuridico nazionale e garantirne l'applicazione attraverso le Autorità nazionali. Sebbene l'UE abbia fissato il termine per il recepimento al 17 ottobre 2024, l'attuazione è stata poco omogenea e gli approcci applicativi continuano a variare.

Ciò è importante perché le organizzazioni non vengono valutate in base a un unico regolamento centralizzato. Al contrario, le aspettative possono differire a seconda del luogo in cui si opera, del luogo in cui vengono forniti i servizi critici e dell'Autorità nazionale responsabile della supervisione. Sebbene si preveda che l'applicazione diventi più coerente nel corso del tempo, nel breve termine sono probabili delle variazioni.

Cosa significa per le organizzazioni

• Devi monitorare e interpretare i requisiti della direttiva NIS2 nei Paesi in cui operi o in cui hanno sede le tue attività critiche.
  
• Devi aspettarti differenze nel processo di registrazione, nell'attenzione prestata dalle autorità di vigilanza e nell'approccio all'applicazione delle norme tra i vari Stati membri.
  
• Le organizzazioni transfrontaliere hanno bisogno di un livello di governance in grado di tenere conto delle differenze nazionali senza richiedere programmi di conformità distinti o controlli duplicati in ciascun Paese.

Perché la direttiva NIS2 rappresenta una sfida di governance

Un errore comune è quello di considerare la direttiva NIS2 come un semplice elenco di controllo tecnico o un'iniziativa esclusivamente incentrata sulla sicurezza. Sebbene le capacità di sicurezza informatica siano importanti, la direttiva riguarda in ultima analisi il modo in cui le organizzazioni gestiscono il rischio informatico, non solo il modo in cui rilevano le minacce.

Nella pratica, la direttiva NIS2 richiede il coordinamento tra più funzioni che raramente operano secondo un unico modello operativo.

• Operazioni di sicurezza: rilevazione, risposta e monitoraggio.
  
• Rischio e conformità: controlli, reportistica e allineamento normativo.
  
• Approvvigionamento: gestione della selezione dei fornitori e supervisione delle terze parti.
• Ufficio legale e privacy: valutazione delle implicazioni dell'incidente e degli obblighi di notifica.
• Dirigenza: supervisione, responsabilità e prova di governance.

Quando questi team lavorano in modo isolato, le lacune diventano rapidamente evidenti. Anche le organizzazioni con programmi di sicurezza ben consolidati spesso hanno difficoltà a tradurre le attività in risultati che soddisfino le aspettative delle autorità di regolamentazione.

I risultati sono prevedibili:

• la segnalazione degli incidenti diventa lenta, poco coerente o incompleta;
  
• le evidenze sono sparse tra strumenti, e-mail e fogli di calcolo;
  
• i rischi legati ai fornitori vengono valutati in modo isolato e non in correlazione all'esposizione operativa reale;
  
• la leadership non può affermare con sicurezza di essere pronta, né dimostrarlo.

Ecco perché la preparazione alla direttiva NIS2 deve essere considerata come un programma di governance operativa piuttosto che come un'attività di conformità una tantum. L'obiettivo è dimostrare come il rischio informatico viene gestito, segnalato e valutato in modo coerente e trasversale all'interno dell'organizzazione, non solo per rispondere agli incidenti.

Cosa dovrebbero fare ora le organizzazioni

L'urgenza non è rispettare tutti i requisiti imposti dalla direttiva NIS2 nell'immediato, bensì costruire le competenze necessarie per raggiungere e sostenere la conformità.

1) Conferma ambito e responsabilità

Determina se la tua azienda può essere considerata un'entità essenziale o importante in ciascun Paese in cui operi, in particolare laddove vengono forniti servizi critici. Nomina un responsabile chiaro per il coordinamento in merito alla direttiva NIS2, idealmente un responsabile interfunzionale in grado di fungere da collegamento con i team addetti alla sicurezza, al rischio, agli aspetti legali e alle operazioni.

2) Crea un flusso di lavoro per gli incidenti pronto per la segnalazione

Per essere in grado di rispettare le scadenze di segnalazione serve una preparazione preventiva. 

Questo include:

• indicatori interni chiari su cosa costituisce un incidente da riportare;
• procedure di escalation e livelli di responsabilità decisionale chiaramente definiti;
• ruoli, modelli e comunicazioni preapprovati;
• un metodo per raccogliere fatti, decisioni ed evidenze in tempo reale.

3) Considera la gestione delle terze parti come un processo continuo

Identifica i fornitori più importanti e collega il rischio di terze parti alle dipendenze operative quali sistemi, accesso, dati e servizi. Le revisioni devono essere ripetibili e basate sul rischio, oltre che essere legate alla preparazione agli incidenti, senza limitarsi a questionari annuali.

4) Crea un'unica fonte affidabile per le evidenze di governance

Qui è dove molti programmi mostrano le maggiori difficoltà: la direttiva NIS2 impone non solo di gestire il rischio, ma anche di fornire evidenze tangibili di tale gestione.

Un approccio di governance unificato ti aiuta a collegare:

• controlli;
  
• incidenti;
• supervisione dei fornitori;
• responsabilità e approvazioni;
• evidenze e segnalazioni.

OneTrust si inserisce perfettamente in questo contesto, offrendo alle organizzazioni un modo strutturato per gestire rischio, flussi di lavoro di compliance, controllo delle terze parti ed evidenze di governance in un'unica piattaforma. Così la preparazione alla direttiva NIS2 può adattarsi alle modifiche normative senza dover ricostruire i programmi da zero.

L'importante è la coerenza operativa, non l'acquisizione di un altro strumento.

Da obbligo a vantaggio

La direttiva NIS2 fa parte di un cambiamento più ampio nella normativa dell'UE. La resilienza informatica è ora un'aspettativa a livello dirigenziale, piuttosto che un'iniziativa di sicurezza di back-office. Anziché concentrarsi esclusivamente sull'esistenza dei controlli, le autorità di regolamentazione vogliono ora vedere come le organizzazioni dimostrano in modo coerente come il rischio informatico viene gestito, segnalato e rivisto nel tempo.

Le organizzazioni che considerano questa direttiva come un esercizio di conformità una tantum spesso incontrano le stesse difficoltà:

• lavoro duplicato tra Paesi e team;
• segnalazione e supervisione incoerente degli incidenti;
• percorsi di evidenze deboli o non completi;
• disagi più gravi quando gli incidenti avvengono sotto la supervisione delle Autorità.

Al contrario, le organizzazioni che investono in una governance ripetibile, con responsabilità chiare, flussi di lavoro condivisi ed evidenze collegate, sono in una posizione migliore per adattarsi all'evoluzione delle aspettative in materia di applicazione delle norme. Dedicano meno tempo alla rielaborazione dei processi, reagiscono con maggiore sicurezza durante gli incidenti e riducono i costi a lungo termine e gli attriti legati alla conformità.

È qui che OneTrust aiuta a costruire un approccio più solido e duraturo alla preparazione alla direttiva NIS2. 

Fornendo alle organizzazioni un metodo coerente per gestire insieme i rischi informatici, gli incidenti, la supervisione delle terze parti e le evidenze di governance, OneTrust contribuisce a trasformare la pressione normativa in stabilità operativa, in modo che la resilienza aumenti con la crescita dell'organizzazione.

Scopri come un approccio basato sulla governance può aiutare la tua organizzazione a prepararsi alla direttiva NIS2 e garantire che sia sempre pronta a soddisfare le aspettative in continua evoluzione.

Domande frequenti