La sicurezza informatica è considerata oggi tra le priorità di una Organizzazione, a prescindere dalle dimensioni. Ecco che in questo contesto, la Direttiva cd NIS 2 “Network and Information Security” e il noto Standard ISO 27001 sono due normative che assumono, senza dubbio, un ruolo chiave.
Mettiamole a confronto in pieno spirito di quell’atteggiamento acquiescente che rende la compliance, in questo caso cybersecurity, efficace. Senza pretesa di esaustività.
La NIS2
Si tratta della Direttiva UE 2022/2555(1) in vigore dal gennaio 2023, sulla sicurezza delle reti e delle informazioni, la quale abroga e sostituisce la precedente Direttiva NIS 1 del 2016(2), nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.La NIS 2 infatti ha il chiaro intento di rafforzare il livello globale di cybersicurezza, onde garantire “l’adozione di misure tecniche e organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale” dalla capacità di prevenire a quella di minimizzare l’impatto che gli incidenti di sicurezza possono determinare.
La differenza principale tra le due Direttive (NIS e NIS 2) risiede sostanzialmente nell’ambito di applicazione diversamente strutturate rispetto all’evoluzione normativa attuata. Del resto, la NIS 1 è stata la prima direttiva relativa alla sicurezza delle reti e delle informazioni nella UE, mirando da un lato a migliorare la sicurezza delle reti e dei sistemi informativi in Europa, e imponendo dall’altro precisi obblighi in determinati settori e Operatori cd “critici” per la infrastruttura digitale e la fornitura dei servizi.
La NIS 2 rappresenta una versione più evoluta anche in considerazione dell’innovazione digitale che nel frattempo si è verificata.
Ne consegue l’ampliamento del campo di applicazione (art. 2), sì coinvolgendo non solo gli Operatori di cui alla NIS 1, ma anche le medie imprese private nonché la Pubblica Amministrazione (come enti locali, ecc.) ritenuti fornitori “critici” in ordine ai Servizi che erogano.
Naturalmente lascia impregiudicato il GDPR e richiama evidentemente il Regolamento DORA(3) avendo forti punti di contatto sinergici (governance e organizzazione interna; un approccio “risk-based”; un’analoga gestione degli incidenti; misure di sicurezza adeguate per una catena di fornitura sicura), dimostrando un’interconnessione efficace tra normative. Di qui, l’approccio integrato alla compliance cyber come si dirà poco più oltre.
Ma non è tutto, la NIS 2 introduce poi misure più stringenti e specifiche al fine di migliorare: prevenzione, risposta e resilienza agli incidenti di sicurezza.
Le principali aree di applicazione
Nel proseguire con l’analisi, vediamo ora cosa prevede la NIS 2 e quali sono le principali aree di applicazione.In definitiva, prevede:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- una gestione degli incidenti;
- una continuità operativa, pensando alla gestione del backup e il ripristino in caso di disastro nonché gestione delle crisi;
- la sicurezza della catena di fornitura ivi compresi quegli aspetti relativi alla sicurezza circa i rapporti tra un soggetto e i suoi diretti fornitori;
- la sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, inclusa la gestione e la divulgazione delle vulnerabilità.
- strategie e procedure che valutino le misure di gestione rischi cyber in termini di efficacia;
- pratiche di cd “igiene informatica” di base e formazione in materia di cybersicurezza;
- politiche e procedure circa l’uso della crittografia e, ove possibile, della cifratura;
- sicurezza delle risorse umane, strategie di controllo accessi nonché utilizzo di soluzioni che prevedano l’autenticazione a più fattori ovvero continua, di comunicazioni vocali/video/testo protette.
Nel perimetro della NIS 2 rientrano anche settori critici come quelli che si occupano della fabbricazione ovvero produzione di:
- rimorchi e semirimorchi
- dispositivi medici e di dispositivi medico-diagnostici in vitro
- macchinari e apparecchiature
- distribuzione di sostanze chimiche
- trasformazione di alimenti
- apparecchiature elettriche, prodotti di ottica, computer
- prodotti di elettronica
L’apparato sanzionatorio
Ancora uno sguardo sull’apparato sanzionatorio (art. 36). Le sanzioni previste dalla NIS 2 sono di natura pecuniaria con carattere interdittivo con divieti temporanei nei riguardi degli apicali (amministratori delegati, ecc.), di esercitare funzioni dirigenziali., seguendo i classici e ragionevoli criteri di effettività e proporzionalità con una forte spinta dissuasiva.In termini di ammontare, sull’onda del GDPR, parrebbero essere previsti anche qui due scaglioni: fino a 10 milioni di euro, o 2% del fatturato, ovvero fino a 7 milioni di euro, o 1,4% del fatturato.
La ratio sanzionatoria è evidente: creare una maggiore responsabilizzazione degli Operatori che gestiscono servizi essenziali di un certo rilievo.
La ISO 27001, una breve panoramica alla luce delle novità
Lo Standard ISO/IEC 27001 è una tra le più “vecchie” norme tecniche a carattere volontario, la cui struttura, anche grazie all’High Level Structure – HLS, è considerata da sempre una normativa tecnica che ricordiamo essere volontaria, quindi vigente ma non cogente, invidiabile dal punto di vista della chiarezza espositiva dei contenuti e dei risultati attesi; e le versioni aggiornate sostanziali militano in tal senso.Dalla prima versione del lontano 2005, concepita a sua volta dalla BS 7799,(4) la cui prima versione era del 1997, a oggi molte “cose” sono cambiate a maggior ragione in considerazione dell’evoluzione delle tecnologie emergenti.
Da allora, la ISO/IEC 27001 ha subito svariate e significative trasformazioni, l’ultima di recente nel 2022(5) non stravolge più di tanto la forma o la sostanza, eccezion fatta per la parte relativa ai “controlli” di cui all’Annex A. La gran parte diquesti 93 controlli infatti sono considerati, anche da autorevoli commentatori, dei miglioramenti di quelli precedenti.
Ne consegue che un’Organizzazione, la quale abbia un buon livello di sicurezza non dovrebbe avere affatto dei problemi ad aggiornare il Sistema di Gestione, anzi. Al riguardo, IAF(6) scrive che “l’impatto dei cambiamenti della ISO/IEC 27001:2022 è limitato all’introduzione di una nuova Appendice A, ma i requisiti della norma non richiedono di adeguare i propri controlli a esso, bensì di confrontarli con esso dopo aver scelto quelli necessari, in modo da evitare che dei controlli necessari siano stati omessi”.
Forse senza forse, il lavoro più oneroso risiede nella revisione dell’apparato documentale, consistendo nell’aggiornamento dell’attività di risk assessment e della dichiarazione di applicabilità (SOA), per quanto esso sia oggetto di un “riesame” che si auspica essere con cadenza almeno annuale. Per ulteriori approfondimenti, specialmente in ottica di compliance, rimandiamo qui(7) per non ripeterci.
NIS 2 e ISO/IEC 27001 a confronto
Se volessimo mettere a confronto la NIS 2 e la ISO/IEC 27001 potremmo rilevare, dopo la primissima e sostanziale differenza in forza della quale la NIS 2 rappresenta una direttiva europea e quindi cogente e vigente, mentre la ISO 27001 indossa le vesti sì di una normativa internazionale, ma in quanto tecnica non cogente, notiamo come la NIS 2 imponga una conformità normativa necessaria, mentre la ISO 27001 no.Per quanto la compliance alla 27001 sia più che opportuna oltre che vantaggiosa, specie in certi contesti nei quali fa la differenza dimostrare (accountability) l’impegno di un’Organizzazione verso la sicurezza informatica.
Se volessimo rappresentare nella tabella che segue le principali differenze potremmo dire che:
| AMBITO | NIS 2 | ISO 27001 |
| Obbligo | Obbligatorio per entità in settori critici | Volontario |
| Focus | Regolamentazione specifica per settori critici | Framework generale per la sicurezza informatica |
| Applicazione | Sistemi informatici | Tutti i tipi di informazioni |
| Certificazione | Non obbligatoria | Obbligatoria per la conformità |
NIS 2 e ISO/IEC 27001 in ottica di conformità, i vantaggi di una compliance coordinata e integrata: alcuni suggerimenti
Entrambe le normative e segnatamente la Direttiva NIS 2 rappresentano per la sicurezza informatica passi significativi in avanti, assicurando da un lato un livello di protezione armonizzato per i cittadini e le Organizzazioni in tutti gli Stati membri, e rafforzando dall’altro la resilienza contro le minacce informatiche in continua e costante evoluzione.L’opportunità di una compliance coordinata
In primis, v’è una migliore sicurezza informatica. La implementazione congiunta di NIS 2 e ISO 27001 offre infatti un approccio completo e integrato alla sicurezza informatica, coprendo sia i requisiti specifici del settore, che le best practice generali.Non solo, ma anche e più di tutto crea una robusta e sostanziale fiducia da parte di clienti e partner con una significativa riduzione del rischio sanzionatorio.
Più in generale, volessimo dare — senza pretesa alcuna di esaustività — dei suggerimenti in ottica di compliance, ecco che si consiglia di:
- effettuare una valutazione del rischio per identificare le minacce e le vulnerabilità;
- implementare le misure di sicurezza adeguate a mitigare i rischi;
- sviluppare un piano di risposta agli incidenti di sicurezza;
- fornire formazione sulla sicurezza informatica ai dipendenti;
- monitorare e revisionare regolarmente il sistema di gestione della sicurezza informatica.
Tra alcuni dei motivi per cui la NIS 2 è importante in ottica di compliance, rammentiamo:
- gli obblighi vincolanti per i settori essenziali come energia, trasporti, sanità e finanza, ovvero tutti quei settori ritenuti “critici” per l’economia, la cui sicurezza è fondamentale per il benessere collettivo;
- una migliore gestione del rischio, richiedendo alle Organizzazioni di implementare un sistema di gestione del rischio di cyber volto a identificare, valutare e mitigare i rischi informatici. Si tratta di un approccio proattivo che aiuta a prevenire incidenti informatici e a ridurre l’impatto di quelli che effettivamente si verificano;
- incident response rafforzata, a definizione dei requisiti per la gestione degli incidenti informatici, garantendo che le Organizzazioni rispondano in modo efficace e tempestivo a un attacco informatico;
- supervisione e reporting, da parte delle Autorità nazionali competenti deputate a monitorare la conformità degli operatori ai requisiti di legge;
- incremento in termini di “fiducia”, nel senso che la compliance alla NIS 2 dimostra l’impegno di un’Organizzazione a proteggere le informazioni e i sistemi informatici, il che rafforza la fiducia di clienti/partner/stakeholder.
L’importanza di una compliance integrata: cosa significa in concreto
La Direttiva NIS 2 e la norma ISO/IEC 27001 sono due pilastri fondamentali per la sicurezza informatica, come anticipato fin da principio. Entrambe mirano a rafforzare la resilienza delle Organizzazioni contro le minacce informatiche, ma con sfumature e scopi differenti.La ISO/IEC 27001 dal canto suo, offre un framework completo per la gestione della sicurezza delle informazioni, e fornisce una certificazione riconosciuta a livello internazionale basandosi sul noto ciclo di Deming del Plan Do Check Act – PDCA.
L’integrazione di NIS 2 e ISO/IEC 27001 offre all’evidenza notevoli vantaggi, tra cui anche una riduzione dei costi. Infatti, l’implementazione congiunta ottimizza risorse e riduce duplicazioni in termini di effort.
In altri termini, concretamente, ciò significa che l’integrazione può avvenire su più livelli, a seconda che si tratti di:
- un allineamento dei processi, adattare i processi di gestione del rischio e incident response esistenti per soddisfare i requisiti NIS 2;
- un utilizzo della ISO/IEC 27001 come base per la conformità NIS 2;
- una ricerca di attestazione certificata (ISO/IEC 27001), a dimostrazione di una compliance robusta.
Conclusioni
L’integrazione di NIS 2 e ISO/IEC 27001 rappresenta dunque una scelta strategica per le Organizzazioni che desiderino rafforzare la propria sicurezza informatica, ottimizzare le risorse e migliorare la postura della sicurezza.D’altronde, NIS 2 e ISO 27001 sono due normative complementari che possono essere adottate congiuntamente per ottenere una compliance cyber certamente efficace.
A questo punto, in vista della scadenza dell’ottobre 2024, quando cioè la NIS 2 sarà pienamente efficace, le Organizzazioni coinvolte non possono farsi trovare impreparate. Sono questi dunque i tempi in cui occorre individuare gli strumenti adatti in materia di sicurezza informatica, e predisporre per conseguenza gli opportuni adeguamenti a documenti e procedure necessari, integrandoli laddove possibile, facendo un’adeguata formazione degli addetti ai lavori. Mentre, nel frattempo ed è previsto a breve visto il count down, uscirà nella nostra Gazzetta Ufficiale la fonte normativa che recepisce la direttiva in parola. Attendiamo, ma non passivamente.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Direttiva UE 2022/2555 (NIS2) del 14 dicembre 2022, sulla cybersicurezza nell’Unione e che abroga la Direttiva NIS 1
(2) Direttiva UE 2016/1148 (NIS1) del 6 luglio 2016
(3) Regolamento UE 2022/2554 (DORA) del 14 dicembre 2022, sulla resilienza operativa digitale per il settore finanziario
(4) BS 7799-3 – Information security management systems — Guidelines for information security risk management
(5) ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements
(6) International Accreditation Forum (IAF), worldwide association of accreditation bodies
(7) C. PONTI (2023), “GRC, Un approccio Integrato nel processo di Auditing ISO 27001”, Risk & Compliance Platform Europe; www.riskcompliance.it
(Fonte: Chiara Ponti, https://www.riskcompliance.it/)