NIS2 Compliance Checklist — 10 Mandatory Measures for EU Businesses

Cos'è la Direttiva NIS2?

La Direttiva NIS2(Direttiva (UE) 2022/2555) è la legislazione dell'Unione Europea in materia di cybersicurezza, che sostituisce la Direttiva originale sulla sicurezza delle reti e dei sistemi informativi del 2016. Adottata il 14 dicembre 2022, NIS2 amplia in modo significativo l'ambito delle organizzazioni interessate, introduce requisiti di sicurezza specifici e stabilisce sanzioni sostanziali in caso di non conformità.

NIS2 riguarda circa 160.000 entità in tutta l'UE, rispetto alle circa 10.000 della Direttiva NIS originale. Copre 18 settori classificati come entità «essenziali» (Allegato I) o «importanti» (Allegato II):

• Entità essenziali (Allegato I): Energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio
• Entità importanti (Allegato II): Servizi postali e di corriere, gestione dei rifiuti, chimica, alimentazione, industria manifatturiera, fornitori digitali (mercati online, motori di ricerca, reti sociali), organizzazioni di ricerca

Key Timeline

Le 10 misure di sicurezza dell'Articolo 21

L'Articolo 21 della NIS2 impone alle entità essenziali e importanti di attuare «misure tecniche, operative e organizzative adeguate e proporzionate» per gestire i rischi di cybersicurezza. Queste misure devono basarsi su un approccio multirischio e coprire almeno i seguenti dieci ambiti:

1. Politiche di analisi dei rischi e di sicurezza dei sistemi informativi

Requisito: Stabilire e mantenere politiche complete di cybersicurezza che coprano metodologie di valutazione dei rischi, classificazione degli asset e uso accettabile. Le politiche devono essere approvate dalla direzione e riesaminate almeno annualmente.

Fasi di attuazione:Eseguire una valutazione dei rischi secondo ISO 27005 o NIST SP 800-30. Documentare una politica di sicurezza delle informazioni allineata a ISO 27001. Classificare tutti gli asset informativi per criticità. Definire criteri di accettazione dei rischi e piani di trattamento. Assegnare responsabilità e calendari di riesame.

Evidenze necessarie: Politica di sicurezza scritta approvata dalla direzione, rapporto di valutazione dei rischi, inventario degli asset, piano di trattamento dei rischi, registri del riesame annuale.

2. Gestione degli incidenti

Requisito: Attuare procedure per prevenire, rilevare, analizzare, contenere e rispondere agli incidenti di cybersicurezza. NIS2 introduce tempistiche specifiche di segnalazione: pre-allarme entro 24 ore, notifica completa entro 72 ore e relazione finale entro un mese al CSIRT designato.

Fasi di attuazione:Sviluppare un piano di risposta agli incidenti con ruoli definiti (matrice RACI). Stabilire una capacità di rilevamento 24/7 o affidare un servizio MDR. Definire criteri di classificazione e procedure di escalation. Testare il piano con esercitazioni tabletop regolari.

Evidenze necessarie: Piano di risposta agli incidenti, contatti CSIRT e modelli di notifica, registro degli incidenti, rapporti delle esercitazioni, documentazione post-incidente.

3. Continuità operativa e gestione delle crisi

Requisito:Garantire la continuità operativa attraverso gestione dei backup, disaster recovery e procedure di gestione delle crisi.

Fasi di attuazione: Eseguire una BIA. Implementare sistemi di backup automatizzati con procedure di ripristino testate. Sviluppare un piano di DR con RTO e RPO definiti. Stabilire un piano di comunicazione di crisi.

Evidenze necessarie: BIA, politica di backup e registri dei test di ripristino, piano di DR, procedure di gestione delle crisi, risultati annuali dei test.

4. Sicurezza della catena di fornitura

Requisito:Affrontare i rischi di sicurezza nelle relazioni con i fornitori diretti e i prestatori di servizi, compresa la valutazione della qualità dei prodotti e delle pratiche di cybersicurezza.

Fasi di attuazione:Creare un inventario dei fornitori con classificazione per criticità. Definire requisiti minimi di sicurezza. Condurre valutazioni annuali dei fornitori critici. Monitorare la postura di sicurezza dei fornitori. Includere requisiti di notifica degli incidenti nei contratti.

Evidenze necessarie: Inventario e classificazione dei rischi dei fornitori, clausole di sicurezza nei contratti, rapporti di valutazione, piano di risposta agli incidenti della catena di fornitura.

5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete

Requisito:Integrare la sicurezza nell'intero ciclo di vita dei sistemi, compresa la gestione e la divulgazione delle vulnerabilità.

Fasi di attuazione:Implementare un SSDLC. Condurre test di sicurezza (SAST, DAST, SCA) nelle pipeline CI/CD. Stabilire un programma di gestione delle vulnerabilità. Definire una politica di divulgazione delle vulnerabilità.

Evidenze necessarie:Documentazione SSDLC, rapporti dei test di sicurezza, politica di gestione delle vulnerabilità, registri delle patch, politica di divulgazione.

6. Politiche e procedure per valutare l'efficacia della gestione dei rischi

Requisito: Stabilire politiche e procedure per valutare se le misure attuate sono efficaci. Testare, auditare e misurare regolarmente i controlli di sicurezza.

Fasi di attuazione: Definire metriche e KPI di sicurezza. Pianificare audit interni e penetration test regolari. Implementare strumenti di monitoraggio continuo. Condurre riesami della direzione trimestrali. Considerare audit esterni o certificazioni.

Evidenze necessarie: Dashboard delle metriche, rapporti di audit interno, rapporti di penetration test, verbali dei riesami della direzione, registri di certificazione.

7. Pratiche di igiene informatica di base e formazione

Requisito: Attuare pratiche di igiene informatica di base e fornire formazione regolare a tutti i dipendenti, compresa la direzione.

Fasi di attuazione: Implementare un programma di sensibilizzazione alla cybersicurezza. Fornire formazione specializzata alla direzione. Condurre simulazioni di phishing. Applicare politiche di password, crittografia dei dispositivi, clean desk e telelavoro sicuro.

Evidenze necessarie: Materiali formativi e registri di completamento, risultati delle simulazioni di phishing, politica di igiene informatica, certificati di formazione della direzione.

8. Politiche e procedure relative alla crittografia

Requisito:Stabilire politiche sull'uso della crittografia per proteggere riservatezza, autenticità e integrità dei dati.

Fasi di attuazione: Definire una politica di crittografia. Implementare TLS 1.2+. Crittografare i dati sensibili a riposo con AES-256. Stabilire procedure di gestione delle chiavi. Documentare inventari crittografici.

Evidenze necessarie: Politica di crittografia, registri di configurazione TLS, documentazione sulla crittografia, procedure di gestione delle chiavi, inventario crittografico.

9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset

Requisito: Attuare misure di sicurezza HR, politiche di controllo degli accessi (principio del privilegio minimo, RBAC) e gestione degli asset.

Fasi di attuazione: Implementare RBAC con privilegio minimo. Stabilire checklist di onboarding/offboarding. Mantenere un inventario completo degli asset. Condurre revisioni periodiche degli accessi. Implementare MFA per tutti gli accessi amministrativi e remoti.

Evidenze necessarie: Politica di controllo degli accessi, matrice RBAC, checklist di onboarding/offboarding, inventario degli asset, registri delle revisioni degli accessi, documentazione MFA.

10. Autenticazione multifattore, comunicazioni sicure e sistemi di comunicazione di emergenza

Requisito: Utilizzare autenticazione multifattore, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri.

Fasi di attuazione: Distribuire MFA per tutti gli account con accesso ai sistemi critici. Implementare canali di comunicazione crittografati end-to-end. Stabilire procedure di comunicazione di emergenza out-of-band. Testare regolarmente i sistemi di emergenza.

Evidenze necessarie: Registri di distribuzione MFA, documentazione della piattaforma di comunicazione sicura, piano e risultati dei test di comunicazione di emergenza, statistiche di registrazione degli utenti, documentazione delle eccezioni.

Penalties for Non-Compliance

NIS2 introduces a tiered penalty structure that makes cybersecurity a board-level concern:

Beyond financial penalties, NIS2 introduces personal liability for management. Article 20 states that management bodies of essential and important entities must approve and oversee cybersecurity risk management measures and can be held personally liable for infringements. Supervisory authorities can impose temporary bans on individuals exercising management functions if they fail to comply.

Responsabilità della direzione ai sensi di NIS2

NIS2 affronta esplicitamente l'equivoco secondo cui «la cybersicurezza è un problema IT». L'Articolo 20 richiede che:

• Gli organi di gestione approvino le misure di gestione dei rischi di cybersicurezza
• Gli organi di gestione supervisionino l'attuazione di tali misure
• I membri della direzione seguano una formazione per acquisire conoscenze e competenze sufficienti a identificare i rischi e valutare le pratiche di cybersicurezza
• Tutti i dipendenti ricevano una formazione regolare

Ciò significa che l'amministratore delegato, il CFO e i membri del consiglio di amministrazione possono essere ritenuti personalmente responsabili per le carenze nella cybersicurezza. Si tratta di un cambiamento significativo rispetto alla precedente legislazione europea in materia di cybersicurezza, in linea con le disposizioni sulla responsabilità personale della regolamentazione finanziaria.

Requisiti di segnalazione degli incidenti

NIS2 stabilisce un processo strutturato di segnalazione degli incidenti in tre fasi per gli incidenti significativi:

1. Pre-allarme (24 ore):Entro 24 ore dalla conoscenza di un incidente significativo, l'entità deve inviare un pre-allarme al CSIRT o all'autorità competente, indicando se si sospetta che l'incidente sia causato da atti illeciti o dolosi e se potrebbe avere un impatto transfrontaliero.
2. Notifica dell'incidente (72 ore):Entro 72 ore, deve essere presentata una notifica completa che includa una valutazione iniziale dell'incidente (gravità, impatto), indicatori di compromissione ove applicabile e le misure di risposta dell'entità.
3. Relazione finale (1 mese):Entro un mese dalla notifica, deve essere presentata una relazione finale comprendente una descrizione dettagliata dell'incidente, l'analisi delle cause, le misure correttive applicate e l'eventuale impatto transfrontaliero.

Iniziare il percorso di conformità NIS2

Il percorso verso la conformità NIS2 inizia con la comprensione della propria postura di sicurezza attuale. Un'analisi dei gap rispetto alle 10 misure dell'Articolo 21 rivela a che punto siete e cosa resta da fare. Per la maggior parte delle organizzazioni, le aree prioritarie sono:

1. Valutazione dei rischi e politiche (Misura 1):È il fondamento su cui si costruisce tutto il resto. Senza comprendere i rischi, non è possibile allocare efficacemente le risorse.
2. Gestione degli incidenti (Misura 2):Il requisito di segnalazione entro 24 ore significa che le capacità di rilevamento e le procedure di risposta devono essere operative prima che si verifichi un incidente.
3. Sicurezza della catena di fornitura (Misura 4):Spesso la misura più lunga da attuare perché richiede l'interazione con terze parti. Iniziate presto.
4. Misure tecniche (Misure 5, 8, 10):Gli strumenti di scansione automatizzata possono identificare rapidamente le lacune nella postura di sicurezza tecnica: gestione delle vulnerabilità, crittografia e autenticazione.