La NIS2: una nuova era per la sicurezza digitale

Regole più chiare, obiettivi ambiziosi e opportunità strategiche per proteggere dati e infrastrutture

Al Workshop GARR 2024, la sessione “Sicurezza: nuove regole e opportunità”, moderata da Leonardo Lanzi, ha fatto luce sulle novità normative in arrivo in ambito cybersecurity. Al centro dell’attenzione, la direttiva europea NIS2, destinata a trasformare la protezione delle infrastrutture critiche e dei dati sensibili, anche in ambito accademico e di ricerca.

La direttiva NIS2 rappresenta un punto di svolta per il rafforzamento della cybersicurezza in Europa. Con il Decreto Legislativo 138/2024, il campo di applicazione è stato esteso a 18 settori strategici, tra cui energia, trasporti, sanità, infrastrutture digitali e pubblica amministrazione. Gli enti coinvolti saranno classificati in due categorie: essenziali e importanti, in base a criteri oggettivi. Le nuove normative introducono obblighi proporzionati al livello di rischio, supportati da misure flessibili e adattabili, fondate su un’attenta analisi delle minacce. Tra gli obiettivi principali figurano una gestione avanzata del rischio informatico, che include la protezione della catena di approvvigionamento e l’adozione di misure di sicurezza calibrate sui profili di rischio. A partire dal 2026, la direttiva prevede la notifica obbligatoria degli incidenti significativi entro 24 ore, seguita da un rapporto dettagliato entro 72 ore. L’Agenzia per la Cybersicurezza Nazionale (ACN) sarà incaricata di definire le misure di sicurezza, elaborando specifiche linee guida per la protezione della supply chain e garantendo un approccio flessibile e su misura per le diverse organizzazioni.

Basta un solo anello debole per rendere insicura tutta la catena. Un singolo punto di attacco può propagare l’infezione a tutti gli altri anelli, mettendo a rischio intere infrastrutture. La sicurezza della supply chain diventa quindi centrale: contratti specifici con i fornitori, valutazioni periodiche e processi di risposta agli incidenti condivisi sono strumenti essenziali per mitigare i rischi.

Questo ampio aggiornamento normativo sta generando un impatto diretto anche sul modo in cui le organizzazioni affrontano la sicurezza informatica. Luca Carbone, dirigente tecnologo dell’Istituto Nazionale di Fisica Nucleare (INFN), durante il workshop ha evidenziato la crescente “bulimia normativa” che caratterizza il settore. “La sicurezza informatica non è mai stata così complessa”, ha dichiarato Carbone, sottolineando come la NIS2 e la Legge 90/2024 stiano aumentando la difficoltà di gestione della protezione digitale. In particolare, il ruolo del management è un fattore molto importante nella definizione delle misure di sicurezza. L’INFN ha avviato da tempo un processo strutturato istituendo, già qualche anno fa, il Nucleo di Cybersecurity (NuCS), che coordina attività tra le sue 25 strutture e comprende gruppi di lavoro su protezione, monitoraggio, risposta agli incidenti e un Security Operation Center (SOC) centrale. Un audit interno indipendente garantisce la compliance normativa, mentre procedure dettagliate permettono la gestione delle notifiche di incidenti significativi, coinvolgendo lo CSIRT-INFN come punto di contatto con le autorità e con GARR-CERT. Carbone ha inoltre sottolineato l’importanza della formazione, del dialogo con gli uffici legali e della partecipazione a tavoli settoriali per sviluppare soluzioni condivise.

Riguardo alla necessità di avere un approccio graduale nell’adozione della NIS2, Andrea Ranaldi, sistemista e sviluppatore presso ISPRA, che ha descritto il percorso intrapreso da ISPRA per approcciarsi alla direttiva NIS2 (adottata con il DL 138/2024) e alle leggi correlate, come la Legge 90/2024. Ha parlato della necessità di un approccio graduale nell’adozione della NIS2, evidenziando come gli approcci top-down non considerino le specificità delle organizzazioni. “La sicurezza informatica non è una soluzione preconfezionata, ma un processo continuo”, ha dichiarato, suggerendo che le organizzazioni si evolvano passo dopo passo per adattarsi alla nuova normativa. ISPRA, infatti, ha adottato un approccio incrementale, simile al sistema Kanban, che suddivide le attività in obiettivi progressivi, per garantire che ogni fase della conformità venga gestita in modo efficiente. Ranaldi ha inoltre sottolineato l’importanza della creazione di una mappa delle risorse per identificare rischi e responsabilità, uno strumento fondamentale per la gestione delle minacce.

Enrico Venuto, coordinatore della sicurezza informatica del Politecnico di Torino, ha partecipato alla discussione introducendo il concetto di distributed accountability. “La sicurezza informatica non è solo una questione che riguarda il nucleo di sicurezza IT di ateneo, ma una responsabilità di tutti i centri ed i dipartimenti”, ha dichiarato Venuto, spiegando come il Politecnico abbia creato una rete di referenti IT nei dipartimenti cui affidare la gestione della sicurezza dei propri asset e dei propri servizi, anche attraverso l’accesso con credenziali dedicate ad un sistema di gestione della vulnerabilità. Questo approccio responsabilizza, diminuisce i tempi di risposta e riduce il carico sul team centrale di cybersecurity, che può concentrarsi su attività di coordinamento e monitoraggio. Venuto ha anche evidenziato l’importanza della formazione continua per gli operatori di sicurezza, poiché solo un aggiornamento costante può garantire una risposta efficace alle sfide moderne.

L’importanza di un approccio proattivo nell’implementazione delle normative è stata evidenziata dall’amministratore delegato di IPS S.p.A., Fabio Romani, che ha presentato il primo Laboratorio accreditato di prova (LAP) per la cybersicurezza nazionale, realizzato da IPS, fornitore globale di soluzioni di Cyber Intelligence con oltre 30 anni di esperienza nel mercato high-tech. “La cybersecurity è un investimento, non un costo”, ha affermato Romani, ribadendo che il LAP rappresenta una risorsa essenziale per garantire la sicurezza delle infrastrutture critiche. Il laboratorio, che opera sotto la direzione del Centro di Valutazione e Certificazione Nazionale (CVCN), svolge attività fondamentali di test di intrusione e analisi di vulnerabilità, con l’obiettivo di verificare la robustezza dei sistemi. Romani ha anche parlato delle necessità economiche extra che derivano dall’adeguamento alle normative, un processo che impone importanti investimenti che dovrebbero essere condivisi tra governo, enti pubblici, fornitori di tecnologia e cittadini. Ha concluso ribadendo l’importanza di un approccio proattivo nell’implementazione delle normative, invitando tutti a contribuire con piccoli ma determinanti passi individuali per conseguire obiettivi strategici comuni, come l’autonomia tecnologica e la resilienza nazionale.

NIS2 e GDPR: un’alleanza per proteggere i dati personali

La NIS2 e il GDPR si integrano nella protezione dei dati. Sebbene abbiano obiettivi distinti, Roberto Puccinelli, DPO del CNR ha messo in luce come le due normative condividano un approccio basato sul rischio. “Una solida cybersecurity è la base per garantire la protezione dei dati personali”, ha affermato Puccinelli. L’approccio integrato tra il responsabile della sicurezza informatica (CISO) e il responsabile della protezione dati (RPD) è fondamentale per evitare sovrapposizioni di competenze e per promuovere un sistema sicuro. La collaborazione tra queste due figure è essenziale per ottimizzare la gestione delle risorse e migliorare la resilienza complessiva dell’organizzazione.

La sessione ha messo in evidenza l’importanza della collaborazione e della formazione per affrontare le sfide della NIS2. Questa direttiva rappresenta un cambiamento cruciale nel panorama della sicurezza informatica, con regole ambiziose e strumenti avanzati per proteggere dati e infrastrutture critiche. Tuttavia, il successo dipenderà dalla capacità di ogni attore di impegnarsi collettivamente, trasformando la sicurezza da obbligo tecnico a priorità strategica. Solo un approccio condiviso e strutturato potrà garantire la resilienza digitale necessaria per affrontare le minacce di un mondo sempre più connesso.

I protagonisti della sessione: Andrea Ranaldi, Enrico Venuto, Fabio Romani, Luca Carbone, Roberto Puccinelli insieme al moderatore Leonardo Lanzi