Di seguito condividiamo l’articolo di Davide Ricci, Regional Sales Director Italia di Nozomi Networks relativo alla direttiva europea NIS2. La normativa è già entrata in vigore, ma le organizzazioni hanno tempo fino al 2026 per conformarsi. È proprio la compliance la sfida più grande per il settore delle infrastrutture critiche ma, come sottolinea l’esperto, la direttiva rappresenta un’opportunità per rafforzare la cybersecurity.
Buona lettura!
NIS2 e Decreto Legislativo 138/2024: un’opportunità per trasformare la cybersecurity delle infrastrutture critiche
Il Decreto Legislativo 138/2024, che recepisce la direttiva europea NIS2, segna un punto di svolta in tema di cybersecurity.
In particolare, con la direttiva NIS2 viene introdotto un cambiamento significativo: l’obbligo di segnalare gli incidenti di cybersecurity che impattano le infrastrutture critiche. Sebbene l’entrata in vigore effettiva sia prevista tra il 2025 e il 2026, la complessità del processo di comunicazione delle informazioni richieste impone una preparazione tempestiva. Come è naturale, sono molte le organizzazioni che esprimono preoccupazioni riguardo ai costi e alla complessità della segnalazione degli incidenti, ma una preparazione adeguata può trasformare questi obblighi in un vantaggio strategico.
Comprendere i requisiti di segnalazione secondo NIS2
La direttiva impone alle imprese definite “essenziali e importanti” appartenenti a 11 settori critici di segnalare gli incidenti significativi alle autorità nazionali competenti senza “ritardi ingiustificati”. Il reporting richiesto si articola in tre (eventualmente quattro) fasi, consentendo l’invio di informazioni aggiuntive per ulteriori indagini:
- Avviso tempestivo (entro 24 ore): segnalare se l’evento è probabilmente il risultato di attività illecite o dolose o se rischia di avere conseguenze transfrontaliere.
- Notifica dell’incidente (entro 72 ore): aggiornamento delle informazioni fornite in precedenza e valutazione preliminare della gravità e degli effetti dell’incidente.
- Rapporto intermedio (se richiesto): fornire aggiornamenti sullo stato di avanzamento della gestione degli incidenti e delle crisi, su esplicita indicazione dello CSIRT.
- Report finale (1 mese): presentazione di un report dettagliato sull’incidente, incluse cause, strategie di mitigazione adottate ed eventuali effetti transfrontalieri.
Prepararsi ad affrontare le indicazioni di NIS2
Per non farsi cogliere impreparati in vista dell’entrata in vigore della direttiva, le organizzazioni che gestiscono infrastrutture critiche dovrebbero affrontare un percorso di analisi e formazione articolato di quattro passaggi:
- Definire gli incidenti da segnalare: iniziare a definire cosa si intende per incidente da segnalare in base alla propria attività. Cosa si considera una perdita “sostanziale” di riservatezza, integrità o disponibilità? Cosa può avere un impatto “grave” sulla sicurezza e sulla resilienza?
- Iniziare a fare pratica: tenere traccia degli incidenti segnalabili secondo il decreto, fornendo tutte le informazioni richieste dalla NIS2, monitorare il tempo necessario per fornire tutti gli insight richiesti e quante volte è necessario ripetere il processo.
- Analizzare l’andamento delle segnalazioni: utilizzare il 2025 per quantificare il numero di incidenti segnalabili che vengono rilevati nel corso di un trimestre, semestre o un anno e stimare il tempo impiegato per documentare questi incidenti secondo i requisiti NIS2.
- Imparare dalle lezioni apprese: se l’obbligo di segnalazione degli incidenti si rivelerà troppo oneroso, potrà essere necessario rivedere il modo in cui è stato definito l’impatto. Chi è stato prudente nella definizione, potrà rivedere i punti in cui le indagini si sono ripetutamente arenate e capire come risolverli.
Come le aziende specializzate possono aiutare nella conformità a NIS2
La conformità alla direttiva NIS2 rappresenta una sfida complessa, che le organizzazioni devono necessariamente affrontare da sole. Ci sono aziende specializzate nel settore della sicurezza OT/ICS che possono svolgere un ruolo cruciale nel supportare le imprese in questo percorso.
Queste aziende, grazie alla loro profonda conoscenza delle reti industriali e delle minacce che subiscono, offrono soluzioni che vanno oltre la semplice conformità normativa. Si tratta di un approccio olistico che mira a rafforzare la resilienza complessiva dell’organizzazione.
Ad esempio, la visibilità completa degli asset OT/ICS è fondamentale per comprendere la propria superficie di attacco e identificare le vulnerabilità. Le soluzioni di monitoraggio avanzato consentono di rilevare anomalie e minacce in tempo reale, permettendo una risposta rapida ed efficace.
Inoltre, la gestione degli incidenti diventa più efficiente grazie a strumenti specifici che facilitano la raccolta di informazioni, la collaborazione tra i team e la generazione di report conformi ai requisiti NIS2.
Il supporto di esperti del settore, attraverso servizi di consulenza, può fare la differenza nella valutazione della conformità, nella definizione di policy di sicurezza personalizzate e nell’implementazione di soluzioni che si adattino alle specifiche esigenze di ogni organizzazione.
Le aziende specializzate nella sicurezza OT/ICS non si limitano a fornire strumenti, ma offrono un vero e proprio supporto strategico per affrontare le sfide della NIS2 e rafforzare la cybersecurity delle infrastrutture critiche.
Un’opportunità per rafforzare la cybersecurity
La direttiva NIS2 non è solo un obbligo normativo, ma un’opportunità per le organizzazioni di rafforzare la propria postura di sicurezza, migliorare la capacità di rilevamento e risposta agli incidenti, contribuire a un ecosistema digitale più sicuro e resiliente. Ma soprattutto è l’occasione per fare il punto e prendere consapevolezza della propria capacità di offrire in ogni situazione i propri servizi agli utenti/clienti, che è in ultima analisi spesso il fine ultimo della propria attività di business o istituzionale.
di Davide Ricci, Regional Sales Director Italia, Nozomi Networks
