A gennaio 2023 l’Unione Europea ha adottato la nuova versione della Direttiva sulla Sicurezza delle Reti e delle Informazioni nota come Nis2. Gli Stati membri avranno tempo fino al 17 ottobre 2024 per recepire la Direttiva nella loro legislazione nazionale, dopodiché la mancata compliance comporterà multe fino a 10 milioni di euro per le aziende e le pubbliche amministrazioni. Ma cosa comporta la Direttiva Nis2 e cosa è necessario fare per essere conformi?
Che cos’è la Nis2
La Direttiva Ue 2022/2055, altrimenti detta Nis2, nasce con lo scopo di migliorare la cybersicurezza e la resilienza delle organizzazioni dell’Ue. Rispetto a Nis1, la Direttiva estende la sua applicazione a diversi settori, stabilendo chiare linee guida per un’implementazione omogenea negli stati membri dell’Unione.
La normativa identifica due tipologie di organizzazioni interessate: soggetti importanti e soggetti essenziali. La prima categoria include i servizi postali e di corriere, la gestione dei rifiuti, il settore chimico, il settore agroalimentare, i servizi digitali e altri settori. La seconda categoria comprende le pubbliche amministrazioni, oltre agli operatori nei settori energetico, sanitario, spaziale, bancario e finanziario, dei trasporti, delle infrastrutture digitali e delle acque.
La Direttiva riguarda inoltre organizzazioni, sia pubbliche che private, che forniscono servizi o svolgono attività nei “settori ad alta criticità” dell’Unione e superano i limiti previsti per le medie imprese.
Nis2: conseguenze della non conformità
Le normative previste dal Nis2 verranno applicate immediatamente ai soggetti essenziali, imponendo loro la sorveglianza sin dalla sua attuazione. Invece, per i soggetti importanti, l’adozione di controlli di conformità avverrà su base ex-post, attivandosi solo in presenza di evidenze fornite alle autorità riguardo a eventuali inadempienze.
La non conformità comporta l’applicazione di sanzioni pecuniarie, il cui ammontare varia in base al tipo di organizzazione coinvolta. Per i soggetti importanti, le sanzioni possono arrivare fino a 7 milioni di euro o all’1,4% del fatturato annuo globale, privilegiando l’importo più elevato tra i due. Per i soggetti essenziali, invece, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale dei due importi risulti maggiore.
Cosa fare per essere conformi alla Nis2
I soggetti coinvolti devono identificare i servizi, processi e asset cruciali per l’erogazione dei servizi inclusi nella Direttiva e successivamente determinare le misure adeguate, sia tecniche che gestionali per assicurare la sicurezza dei sistemi e delle reti informatiche.
A differenza del Gdpr, la Nis2 specifica con maggiore precisione che queste misure di sicurezza devono includere almeno:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- gestione degli incidenti
- continuità operativa e gestione delle crisi (backup e disaster recovery)
- sicurezza della catena di approvvigionamento
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza
- politiche e procedure relative all’uso della crittografia e della cifratura
- sicurezza delle risorse umane con strategie di controllo dell’accesso
- uso di soluzioni di autenticazione a più fattori o autenticazione continua, di comunicazioni vocali, video e testuali protette.
Per una gestione del rischio più efficace, è inoltre richiesta la creazione di un piano di gestione degli incidenti che includa la procedura di notifica alle autorità di controllo.
Cubbit: il cloud sovrano è made in Italy
Una soluzione di cloud storage che sta prendendo piede in Italia e in Europa è Cubbit. Fondato nel 2016, Cubbit conta oltre 250 aziende clienti e organizzazioni pubbliche e private, tra cui Leonardo, società pubblica italiana attiva nei settori della difesa, dell’aerospazio e della sicurezza, e numerosi comuni e pubbliche amministrazioni.
Partner di Gaia-X, Cubbit è il primo cloud geo-distribuito d’Europa. A differenza del cloud tradizionale, che archivia i dati su pochi data center vulnerabili, Cubbit cifra, frammenta e replica i dati in più nodi all’interno del Paese. Grazie al geofencing, l’utente può scegliere l’ubicazione di questi nodi e geo-delimitare con massima precisione l’area in cui i dati sono archiviati.
Questo sofisticato processo di geo-distribuzione garantisce la data residency all’interno del territorio italiano, aiutando le pubbliche amministrazioni a soddisfare i requisiti di conformità a Nis2 e Gdpr e fornendo al contempo pieno controllo sui dati.
Cubbit si sottopone inoltre a auditing periodici di terze parti da parte di organismi internazionali e ha acquisito le certificazioni Iso 9001:2015 per i sistemi di gestione della qualità, Iso/Iec 27001:2013 per la sicurezza delle informazioni, Iso/Iec 27017:2015 per la sicurezza nel cloud, e Iso/Iec 27018:2019 per la privacy e la protezione dei dati personali nel cloud, oltre alla Cybersecurity Made in Europe Label.
Inoltre, Cubbit ha ricevuto la qualifica Acn (ex AgID) ed è abilitata sulla piattaforma MePa (Mercato Elettronico della Pubblica Amministrazione).
Cubbit si distingue anche sul fronte della cybersicurezza. Contro ransomware e attacchi hacker, Cubbit supporta object lock e versioning, due feature di nuova generazione del protocollo S3. In aggiunta, grazie alla geo-distribuzione, Cubbit può garantire la durabilità di dati più alta sul mercato (fino a 15 9). Questo si traduce in una probabilità di perdita dei dati pari a 1 su 1 milione di miliardi, corrispondente a un rischio diecimila volte inferiore rispetto agli standard di settore.
Un altro punto di forza della piattaforma è la sua flessibilità. Cubbit è compatibile con qualsiasi client dell’ecosistema S3, rendendo più agevole la gestione dei dati e rimuovendo l’ostacolo dell’apprendimento di nuovi software. Tra gli impieghi più rilevanti si annoverano la realizzazione di backup off-site automatizzati con client come Veeam e affini, la possibilità di cooperare in modo protetto su macchine virtuali o sistemi NAS in sede, nonché l’implementazione di strategie di conservazione di documenti per lunghi periodi in modo conforme alle normative vigenti.
