Miei
appunti e riflessioni sulla NIS2. In molti mi hanno chiesto cosa ne so e
cosa ne penso, quindi pubblico tutto quello che ne so e ne penso.
Si trova sul mio file "I miei appunti sulla NIS2" scaricabile da qui: https://www.cesaregallotti.it/Pubblicazioni.html.
Due parole sulla NIS 2
NIS 2 (Direttiva UE 2022/2055) entrata in vigore il 17 gennaio 2023.
NIS2 dovrà essere recepita entro ottobre 2024.
- Aumentano i soggetti.
- Richiede un’analisi dei rischi.
- Le misure dovrebbero essere adeguate al contesto, considerando quindi anche la capacità di spesa.
Soggetti a cui si applica la NIS2
L’applicabilità
dipende dai settori e dalla dimensione (più di 50 addetti e giro
d’affari superiore ai 10 milioni di Euro; escludendo quindi le piccole) dell’organizzazione. La NIS2 è applicabile quindi a:
- soggetti essenziali (essential
entities);
- soggetti importanti (important
entities).
La differenza pratica riguarda i controlli e le sanzioni.
La NIS2 coinvolge più aziende rispetto al PNCS.
Con
la NIS 2 le entità dovranno riconoscersi come soggetti che devono
applicare la NIS 2, non è più l’autorità che le designa come tali. E’
previsto che le entità si registrino secondo regole che saranno fornite.
Sulla
base delle registrazioni, entro il 17 aprile 2025, gli Stati membri
creano un elenco dei soggetti essenziali e importanti e dei soggetti che
forniscono servizi di registrazione dei nomi di dominio.
Lo schema seguente si trova sul sito https://ccb.belgium.be/en/nis-2-directive-what-does-it-mean-my-organization.
Rientreranno
nel perimetro di applicazione anche i soggetti definiti “critici” dalla
Direttiva (UE) 2022/2557, meglio nota come Direttiva CER.
Ulteriori soggetti potrebbero essere aggiunti dalla normativa nazionale.
Valutazione del rischio
NIS2
è multirischio: logico, fisico, governo, lock in tecnologico,
utilities. E considera l’impatto “sociale ed economico” e richiede un
“livello appropriato” di sicurezza.
Il Belgio mette a disposizione un approccio piuttosto semplice (ma non capisco bene come funziona): https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation.
Interessante
la tabella degli impatti, perché forse potrebbe essere riutilizzata per
identificare gli incidenti significativi (vedere sotto).
Gli
Orientamenti della Commissione del 13.9.2023 indicano di considerare le
seguenti minacce, sempre in una logica di multirischio:
- sabotaggi,
-
furti,
-
incendi,
-
inondazioni,
-
problemi di telecomunicazione,
-
problemi di interruzioni di corrente,
-
qualsiasi accesso fisico non autorizzato in
grado di compromettere la disponibilità, l'autenticità, l'integrità o la
riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti
da tali sistemi informativi e di rete o accessibili attraverso di essi,
-
guasti del sistema,
-
errori umani,
-
azioni malevole, fenomeni naturali.
Commento
L’auspicio
è che, se saranno date indicazioni su come condurre una valutazione del
rischio, non venga riproposto il modello formale, ma non utile, basato
su asset, minacce e vulnerabilità, ma invece un modello, come poi si
vede negli Orientamenti, basato sugli eventi, per cui non è utile avere
un dettaglio di tutti gli asset a questo scopo (è invece necessario per
attività operative).
Misure di sicurezza
La Direttiva identifica (articolo 21 paragrafo 2) le misure di gestione del rischio, ossia:
- Politiche di analisi dei rischi e della
sicurezza dei sistemi informatici
-
Sistemi di gestione degli incidenti
-
Soluzioni di business continuity capaci di
garantire la continuità operativa e la gestione della crisi, dai backup al
disaster recovery
-
Misure di sicurezza dell’intera supply chain,
a comprendere perciò i rapporti tra ogni soggetto e i suoi fornitori
-
Sicurezza dell’acquisizione, sviluppo e
manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la
divulgazione delle vulnerabilità
-
Strategie e procedure per valutare l’efficacia
delle misure di gestione dei rischi di cybersecurity
-
Pratiche di igiene informatica basilari e
formazione in materia di sicurezza informatica
-
Procedure relativa all’uso della crittografia
e, se necessario, della cifratura
-
Misure per la sicurezza delle risorse umane
grazie a strategie e politiche di controllo degli accessi (log management) e
gestione degli asset
-
Uso di soluzioni di autenticazione a più
fattori o di autenticazione continua, di comunicazioni vocali, video e testuali
protette e di sistemi di comunicazione di emergenza protetti all’interno
dell’entità, ove opportuno.
Perri dice che
c’è un indice sulla valutazione delle competenze, ma io non l’ho trovato (o
forse ho capito male); forse nelle interpretazioni.
Entro
il 17 ottobre 2024, la Commissione adotta atti di esecuzione che
stabiliscono i requisiti tecnici e metodologici delle misure di cui
sopra per quanto riguarda i fornitori di:
- servizi DNS,
-
registri dei nomi di dominio di primo livello
(TLD),
-
servizi di cloud computing,
-
servizi di data center,
-
reti di distribuzione dei contenuti,
-
servizi gestiti,
-
servizi di sicurezza gestiti,
-
mercati online,
-
motori di ricerca online,
-
piattaforme di servizi di social network,
-
prestatori di servizi fiduciari.
Alcuni prevedono che siano quindi da applicare:-
requisiti specifici settoriali stabiliti dalla
Commissione (o, in alternativa, requisiti raccomandati da ENISA o dalle
autorità nazionali);
-
requisiti di base comuni (o, in alternativa,
certificazione ISO/IEC 27001).
Il Belgio (come l’Italia) propone elenchi di misure basati sul NIST CSF: https://ccb.belgium.be/en/cyberfundamentals-framework.
Allo
stato attuale (13 marzo 2024) non sono state stabilite le misure da
adottare. In Italia sappiamo che adesso, per i soggetti sotto NIS, sono
richieste quelle del Framework Nazionale per la Cybersecurity e la Data
Protection (https://www.cybersecurityframework.it/framework2) e così in altri Paesi. Forse con la NIS 2 seguiranno altri schemi.
Attenzione
che le misure stabilite dagli Stati membri e di cui all’articolo 21
paragrafo 1 della NIS2 vanno applicate a tutte le attività operative
operazioni e a tutti i servizi del soggetto interessato, non solo a
risorse informatiche specifiche o a servizi critici forniti dal
soggetto. Mia interpretazione: per evitare che un soggetto con servizi
“sicuri” e “non sicuri” possa essere violato sfruttando le carenze dei
servizi “non sicuri” per poi, con movimenti laterali, compromettere
anche quelli “sicuri”.
Commento
Personalmente
spero sia adottata la ISO/IEC 27001. Potrebbero anche lasciare più
scelte ai soggetti. Infatti delegati italiani potrebbero partecipare
agli aggiornamenti e alle estensioni della ISO/IEC 27001, e non subire
passivamente gli aggiornamenti del NIST.
In
tutti i casi, raccomando di cominciare a implementare la ISO/IEC 27001,
su cui, eventualmente, innestare le richieste specifiche che saranno
fatte. Un’implementazione ISO/IEC 27001 può essere facilmente
convertibile per NIST CSF o altri.
Gestione incidenti
Come
già previsto dalla Direttiva NIS 1, anche NIS 2 prevede l’obbligo di
notifica al CSIRT e alle autorità competenti (oltre che ai destinatari
stessi del servizio) degli incidenti significativi (incidenti
informatici capaci di impattare in modo significativo sulla fornitura
del servizio).
Le comunicazioni al CSIRT dovranno avvenire:
- Entro 24 ore dalla conoscenza dell’incidente
con una notifica di preallarme (questo per attenuare la potenziale
diffusione di incidenti e per consentire di chiedere assistenza);
-
deve riportare i dati strettamente necessari
se l'incidente significativo è sospettato di essere il risultato di atti
illegittimi o malevoli o se potrebbe avere (ossia se è probabile che abbia) un
impatto transfrontaliero;
-
deve contenere una valutazione iniziale
dell'incidente significativo, comprensiva della sua gravità e del suo impatto,
nonché, ove disponibili, gli indicatori di compromissione.
-
Entro 72 ore dalla conoscenza dell’incidente
con aggiornamenti rispetto alle informazioni fornite con il preallarme
-
Entro 1 mese dalla conoscenza dell’incidente
con una relazione finale a completamento del processo di segnalazione
(questo per poter trarre insegnamenti preziosi dai singoli incidenti);
-
la relazione deve essere comprensiva della sua
gravità e del suo impatto, il tipo di minaccia o la causa di fondo che ha
probabilmente innescato l'incidente, le misure di mitigazione adottate e in
corso e, se opportuno, l'impatto transfrontaliero dell'incidente.
Alcuni
soggetti sono soggetti a più normative e quindi a diverse modalità di
notificazione degli incidenti. In alcuni casi, il recepimento può essere
complesso.
Obbligatorietà:
- Articolo 23, stabilisce quando è obbligatorio
notificare;
-
Articolo 30, indica quando la notifica è
volontaria (altri incidenti, minacce, quasi incidenti, anche da parte degli
altri soggetti).
Nella
NIS2 c’è la definizione di “incidente significativo” nell’articolo 23,
paragrafo 3: se ha causato o è in grado di causare una grave
perturbazione operativa dei servizi o perdite finanziarie per il
soggetto interessato o se si è ripercosso o è in grado di ripercuotersi
su altre persone fisiche o giuridiche causando perdite materiali o
immateriali considerevoli.Vanno quindi definiti meglio e forse la tabella degli impatti usata per valutare il rischio.
Definiti
anche i «quasi incidenti». Un evento che avrebbe potuto compromettere
la disponibilità, l'autenticità, l'integrità o la riservatezza di dati
conservati, trasmessi o elaborati o dei servizi offerti dai sistemi
informatici e di rete o accessibili attraverso di essi, ma che è stato
efficacemente evitato o non si è verificato.
La NIS2 istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).
Altri argomenti
La NIS2 prevede ulteriori argomenti:
- Cooperazione tra Stati membri
-
Sanzioni
-
Punti di contatto nazionali
-
Ruolo dell'ENISA
Questi però non rientrano nelle mie competenze e non li ho approfonditi.
Bibliografia
Sito web del Center for cyber security Belgium: https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation. Grazie ad Alessandro Cosenza per la segnalazione.
Presentazione
“Directive (EU) 2022/2555 of 14 December 2022 on measures for a high
common level of cybersecurity across the Union (“NIS2 directive”)”.
Sito web della UE: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new. Però non fornisce indicazioni che io ritengo utili.
Criteri interpretativi sulla NIS2 della Commissione: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive. Grazie a Pierluigi Perri.
Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (2003/361/CE). Grazie a Giancarlo Caroti.