Come la Direttiva NIS2 affronta la continuità operativa e la gestione delle crisi?

La Direttiva NIS2 affronta la continuità operativa e la gestione delle crisi attraverso una serie di requisiti volti a rafforzare la postura di sicurezza informatica delle entità essenziali e importanti, promuovere la cooperazione e stabilire quadri per la gestione degli incidenti e delle crisi. Se vuoi capire meglio qual è l’obiettivo principale della Direttiva NIS2, puoi approfondire nell’articolo dedicato.

Misure di Continuità Operativa

• Articolo 21: Questo articolo stabilisce che le entità essenziali e importanti devono implementare misure tecniche, operative e organizzative adeguate per gestire i rischi informatici per i loro sistemi e servizi. Questo include misure per “prevenire o minimizzare l’impatto degli incidenti” sulle loro operazioni e sui destinatari dei loro servizi.
• Requisiti Specifici per la Continuità Operativa: L’Articolo 21, Paragrafo 2, elenca esplicitamente “operazioni di continuità, come la gestione del backup e del disaster recovery, e la gestione delle crisi” come elementi chiave delle misure richieste per la gestione del rischio informatico. Le organizzazioni che vogliono strutturare un piano di adeguamento alla direttiva NIS2 devono partire proprio da questi requisiti operativi.
• Focus sulla Sicurezza della Catena di Fornitura: La Direttiva riconosce l’importanza della sicurezza della catena di fornitura per garantire la continuità operativa.
  • L’Articolo 21, Paragrafo 2, include la “sicurezza della catena di fornitura” come un elemento necessario della gestione del rischio informatico. Questo riguarda aspetti relativi alla sicurezza delle relazioni tra le entità e i loro fornitori diretti o prestatori di servizi.
  • L’Articolo 22, Paragrafo 1, conferisce agli Stati membri, in cooperazione con la Commissione e l’ENISA, il compito di condurre valutazioni coordinate del rischio di sicurezza delle catene di fornitura critiche. Affrontare vulnerabilità e dipendenze all’interno delle catene di fornitura critiche è essenziale per garantire la continuità operativa, soprattutto in caso di interruzioni.

Quadro di Gestione delle Crisi

• Autorità Nazionali di Gestione delle Crisi: L’Articolo 9, Paragrafo 1, stabilisce che ogni Stato membro deve designare o istituire una o più autorità competenti per la gestione di incidenti informatici e crisi di ampia portata. Queste autorità sono indicate come “autorità di gestione delle crisi di sicurezza informatica“.
• Piani Nazionali di Risposta: Ogni Stato membro è tenuto ad adottare un “piano nazionale per la risposta agli incidenti e alle crisi informatiche di ampia portata.” Questo piano deve prevedere:
  • Obiettivi e procedure per la gestione degli incidenti e delle crisi informatiche.
  • Ruoli e responsabilità delle autorità di gestione delle crisi informatiche.
  • Integrazione delle procedure di gestione delle crisi informatiche nel quadro generale di gestione delle crisi nazionali.
  • Misure di preparazione nazionale, incluse esercitazioni e attività di formazione.
  • Identificazione delle parti interessate rilevanti del settore pubblico e privato.
  • Procedure e accordi per garantire la partecipazione efficace dello Stato membro nella gestione coordinata di incidenti e crisi di ampia portata a livello dell’UE.
• EU-CyCLONe (European Cyber Crisis Liaison Organisation Network): L’Articolo 16 istituisce l’EU-CyCLONe per supportare la gestione coordinata degli incidenti e delle crisi informatiche di ampia portata a livello operativo. Questa rete:
  • È composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri. La Commissione partecipa anch’essa, sia come membro a pieno titolo (se l’incidente o la crisi influisce in modo significativo sui servizi regolati dalla Direttiva NIS2) che come osservatore.
  • Si propone di migliorare la preparazione, sviluppare una consapevolezza situazionale condivisa, valutare gli impatti, coordinare la gestione delle crisi e supportare il processo decisionale politico durante incidenti e crisi informatiche di ampia portata.
• Cooperazione e Condivisione delle Informazioni: La NIS2 pone l’accento sulla cooperazione e condivisione delle informazioni tra Stati membri, autorità competenti ed entità rilevanti per migliorare la gestione delle crisi. Questo include disposizioni relative a:
  • Gruppo di Cooperazione: L’Articolo 14 istituisce un Gruppo di Cooperazione composto da rappresentanti di ciascuno Stato membro per facilitare la cooperazione strategica e lo scambio di informazioni in materia di sicurezza informatica. Questo gruppo ha il compito di contribuire alle decisioni politiche, discutere le migliori pratiche e fornire indicazioni strategiche sulla gestione delle crisi.
  • Rete CSIRT: L’Articolo 15 istituisce una rete di CSIRT composta da rappresentanti dei CSIRT nazionali. Questa rete si concentra sulla cooperazione operativa, incluso lo scambio di informazioni sugli incidenti, la discussione delle risposte coordinate e l’assistenza reciproca durante gli incidenti informatici. Per i soggetti NIS, è utile conoscere anche gli obblighi di designazione del referente CSIRT previsti dalla normativa italiana.

Formazione e Sensibilizzazione

• Articolo 20, Paragrafo 2: Questo articolo, pur essendo principalmente focalizzato sulla gestione del rischio informatico, richiede che gli Stati membri garantiscano che i membri degli organi direttivi delle entità essenziali e importanti ricevano una formazione adeguata. Inoltre, incoraggia queste entità a offrire una formazione simile ai propri dipendenti per dotarli delle conoscenze e delle competenze necessarie per identificare i rischi e valutare le pratiche di gestione del rischio informatico. Sebbene non sia esplicitamente indicato, questa formazione comprende probabilmente aspetti di continuità operativa e gestione delle crisi.

Cosa significa tutto questo per le organizzazioni soggette alla NIS2

• La NIS2 adotta un approccio proattivo alla continuità operativa imponendo misure di gestione del rischio informatico e mettendo in risalto l’importanza della pianificazione della continuità.
• La Direttiva istituisce quadri completi per la gestione delle crisi sia a livello nazionale che a livello dell’UE, con l’obiettivo di garantire una risposta coordinata ed efficace agli incidenti informatici e alle crisi di ampia portata.
• La condivisione delle informazioni e la cooperazione sono centrali nell’approccio della NIS2, riconoscendo che le minacce informatiche spesso trascendono i confini nazionali e richiedono sforzi congiunti.

Attraverso questi requisiti, la NIS2 mira a migliorare la resilienza delle entità essenziali e importanti e, per estensione, a rafforzare la resilienza del mercato interno e della società dell’UE di fronte a minacce informatiche in evoluzione. Per chi deve verificare la propria posizione rispetto agli obblighi di iscrizione, è utile consultare anche le informazioni su ACN e l’elenco dei soggetti NIS2.

Domande frequenti sulla continuità operativa nella NIS2

• Quali misure concrete deve adottare un’organizzazione per soddisfare i requisiti di continuità operativa della NIS2?
• L’Articolo 21 richiede almeno un piano di backup e disaster recovery documentato, procedure di gestione delle crisi e una valutazione periodica dei rischi legati alla catena di fornitura. Le misure devono essere proporzionate alla dimensione e al profilo di rischio dell’organizzazione.
• Chi è responsabile della gestione delle crisi informatiche a livello nazionale in Italia?
• In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità competente designata per la gestione delle crisi di sicurezza informatica ai sensi della NIS2. ACN coordina anche i rapporti con la rete EU-CyCLONe a livello europeo.
• La NIS2 obbliga anche le organizzazioni a formare il proprio personale sulla gestione delle crisi?
• Sì. L’Articolo 20 prevede che i membri degli organi direttivi ricevano una formazione adeguata sulla gestione del rischio informatico, e incoraggia le organizzazioni a estendere percorsi formativi simili a tutti i dipendenti coinvolti nella sicurezza operativa.