NIS2 e sovranità dei dati: la guida definitiva 2024

La Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi (NIS), adottata nel 2016, ha rappresentato il primo passo significativo compiuto dall'Unione Europea verso la creazione di un quadro normativo comune per la sicurezza informatica. L'Unione ha adottato NIS2, ovvero la versione più aggiornata di quella Direttiva, a gennaio 2023 anche se i vari Stati membri dovranno recepirla entro il 17 ottobre 2024.

I soggetti interessati, sono quindi chiamati ad adeguarsi in tempo utile. L'obiettivo è quello di migliorare i servizi digitali essenziali nei settori critici, al fine di garantire un livello adeguato di sicurezza delle reti e dei sistemi informativi.

Come osserva Cubbit, servizio di cloud storage tutto italiano e sovrano (vedremo più avanti cosa significa...), l'introduzione della Direttiva NIS2 amplia ulteriormente gli obblighi di conformità coinvolgendo un'estesa platea di soggetti.

Cos'è la Direttiva NIS2

Con la rapida evoluzione del panorama digitale e l'emergere di nuove minacce, è apparso evidente come la normativa precedente necessitasse di aggiornamenti significativi per rimanere efficace nel fronteggiare le sfide attuali e future della sicurezza informatica. È qui che entra in gioco la Direttiva NIS2 (2022/2555), che si presenta come revisione e "potenziamento" della versione precedente.

NIS2, infatti, non soltanto si prefigge di aumentare il livello della sicurezza informatica nei Paesi dell'Unione ma mira ad ampliare gli ambiti di applicazione.

Le aziende che in qualche modo si occupano di storage dei dati, per fornire i propri servizi o per metterli a disposizione della clientela (si pensi ai Managed Service Provider, MSP), trovano in NIS2 una sfida davvero impegnativa.

Cubbit nasce proprio come una piattaforma che soddisfa i requisiti europei, permettendo alle imprese di archiviare i dati in modo efficiente dal punto di vista dei costi, della cybersecurity e della conformità, ricavando allo stesso tempo il massimo valore possibile.

A chi si rivolge

La Direttiva NIS2 vuole rafforzare il concetto di cybersicurezza sull'intero territorio europeo. Settori critici e infrastrutture essenziali rientrano, ovviamente, nell'ambito della NIS2: energia, trasporti, sanità e infrastrutture finanziarie.

Le nuove disposizioni, tuttavia, si applicano anche a servizi online, piattaforme di e-commerce, motori di ricerca, servizi cloud, piattaforme di social networking e altri servizi digitali ritenuti essenziali per l'economia e la società. Nel complesso, gli operatori interessati sono sia privati che pubblici.

Tutte le imprese di medie e grandi dimensioni attive in specifici segmenti di mercato sono incluse nel campo di applicazione della Direttiva. Gli Stati membri hanno comunque facoltà di indicare entità più piccole, con un elevato profilo di rischio per la sicurezza, a loro volta raggiunte dagli obblighi della NIS2.

Al momento, la stella polare è il contenuto degli allegati I e II alla Direttiva NIS2: i due documenti elencano le imprese tenute a conformarsi con la nuova normativa.

È un cambio di passo importante perché i soggetti chiamati ad adeguarsi alle prescrizioni contenute nella NIS2 devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi informatici e delle reti che gli stessi usano nelle loro attività e nella fornitura dei servizi.

L'obiettivo è quello di prevenire o ridurre al minimo l'impatto degli incidenti informatici nei confronti dei destinatari dei servizi e degli altri servizi eventualmente collegati.

Cosa devono fare i soggetti interessati

NIS2 ambisce a razionalizzare gli obblighi di sicurezza e comunicazione per le imprese imponendo un approccio di gestione del rischio. È ad esempio previsto un elenco minimo di elementi di sicurezza che devono essere in ogni caso applicati. La Direttiva introduce inoltre disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto dei report e sulle scadenze da rispettare.

Come si legge nel testo della normativa, il legislatore ha posto l'accento, in particolare, anche sulla cosiddetta supply chain o "catena di approvvigionamento": per mettere nelle mani dei clienti un prodotto o un servizio, ci si affida generalmente a vari fornitori. In tanti frangenti, la catena di approvvigionamento si è dimostrata in passato assai deficitaria: basta che un anello della catena introduca delle problematiche di sicurezza perché i suoi effetti negativi si riverberino sui clienti finali. Di fatto rappresentando un problema complesso da gestire per chi fornisce prodotti e servizi.

Si pensi a una vulnerabilità di sicurezza presente in un componente messo a disposizione da un fornitore: potrebbe esporre a rischi di attacco una vasta platea di utenti. Addirittura, il problema di sicurezza potrebbe emergere a distanza di tempo dall'effettiva introduzione del prodotto sul mercato. Con tutte le conseguenze del caso.

Gli Stati membri, in collaborazione con la Commissione Europea e l'ENISA (Agenzia dell'Unione Europea per la Cybersicurezza), possono effettuare valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche. Come modello è citato l'approccio utilizzato per il dispiegamento e la gestione delle reti 5G.

I blocchi per l'implementazione della Direttiva NIS2 in Italia, tratto dal documento dell'Agenzia per la cybersicurezza nazionale (ACN).

Massima attenzione sui servizi cloud e sulla sovranità dei dati

Il ruolo del cloud è centrale nell'ambito della Direttiva NIS2, come racconta Cubbit. Le aziende che si appoggiano a servizi di cloud storage o che, a loro volta, forniscono strumenti basati sul cloud ai loro clienti, devono porre massima attenzione sulla scelta dei fornitori.

In questo quadro, Cubbit si presenta come un prezioso alleato per guardare alla conformità nell'ambito della cybersicurezza. Le aziende, indipendentemente dalla loro dimensione, possono avvalersi di un sistema di cloud storage che permette di rispettare i dettami della Direttiva NIS2.

Cubbit parla di data retention iper-resiliente: significa che la piattaforma di cloud storage è abile nella conservazione sicura dei dati (per molte aziende prevista per legge), in modo affidabile e resistente, di fatto azzerando il rischio di perdita o compromissione dei dati. In particolare, l'utilizzo di tecniche di ridondanza dei dati, come la replicazione su più server e la frammentazione sui nodi geo-distribuiti, garantisce che anche in caso di guasti hardware o malfunzionamenti, i dati rimangano accessibili e non vengano persi.

Il concetto di sovranità digitale, inoltre, mira a ridurre la dipendenza delle imprese europee dai fornitori che hanno sede principale fuori dai confini dell'Unione. Nel caso di Cubbit, i dati restano memorizzati in forma crittografata all'interno di nodi distribuiti, ad esempio, solo in Italia.

Nel pieno rispetto delle prescrizioni del GDPR e del contenuto della Direttiva NIS2, quindi, Cubbit assicura la sovranità dei dati eliminando alla radice qualunque potenziale intromissione da parte di soggetti terzi e lasciando i dati unicamente nelle mani dei titolari del trattamento.

I vantaggi di Cubbit per il rispetto della Direttiva NIS2

Cubbit nasce come una piattaforma già in linea con le prescrizioni della Direttiva NIS2, grazie al suo approccio innovativo alla sicurezza dei dati e alla gestione delle infrastrutture digitali. Si distingue per il suo sistema di archiviazione geo-distribuito e crittografato, che offre una soluzione altamente sicura e resiliente per la conservazione dei dati.

Il modello di cloud storage peer-to-peer elimina tutti i singoli punti vulnerabili, una carenza tipica dei sistemi di archiviazione cloud di tipo centralizzato. Si tratta di un approccio, quindi, che armonizza pienamente con gli obiettivi della NIS2: la Direttiva promuove la riduzione dei rischi di incidenti informatici attraverso l'adozione di schemi distribuiti e la diversificazione delle risorse digitali.

I cinque pilastri di Cubbit

Di seguito, riassumiamo perché Cubbit garantisce agli utenti un'opzione sicura e affidabile per la gestione dei dati digitali:

Architettura geo-distribuita. Grazie all'approccio usato da Cubbit per lo storage delle informazioni, i dati dell'azienda sono automaticamente frammentati e memorizzati in nodi distribuiti all'interno di una specifica area geografica, comunque entro i confini dell'Unione Europea. Nel caso in cui un nodo dovesse avere problemi, i dati restano sempre disponibili e accessibili attraverso gli altri.

L'architettura di Cubbit, insieme a caratteristiche quali S3 Object Locking e Versioning, garantisce una durabilità del 99,999999999% (undici "9" in fila...) e una resilienza senza precedenti contro attacchi informatici, ransomware e disastri naturali.

Sicurezza dei dati. La piattaforma Cubbit crittografa i dati sia in transito che a riposo, garantendo un livello di sicurezza elevato. I dati crittografati sono frammentati in N pezzi, ciascuno indistinguibile l'uno dall'altro.

Rispetto della privacy. Poiché le informazioni sono frammentate e distribuite, l'accesso alle singole porzioni di dati è esclusivo per i legittimi proprietari.

Resilienza agli attacchi. Grazie alla sua architettura distribuita, Cubbit è in grado di resistere a vari tipi di attacchi informatici, inclusi attacchi di tipo DDoS (Distributed Denial of Service) e tentativi di compromissione dei dati.

Controllo nelle mani degli utenti. Il cloud storage di Cubbit assicura agli utenti un elevato grado di controllo sui loro dati. È ad esempio possibile gestire gli accessi e le autorizzazioni in modo granulare.

Complessivamente, Cubbit offre una soluzione che combina sicurezza, privacy e resilienza, elementi cruciali per adeguarsi alla Direttiva NIS2 e alle altre normative vigenti. Le certificazioni che Cubbit può esibire e i risultati degli audit periodici, rappresentano la migliore garanzia per un'azienda che deve appoggiarsi a un servizio di cloud storage rispettando le previsioni della NIS2 e delle altre normative vigenti.

Obblighi di segnalazione di incidenti

NIS2 prevede che i fornitori di servizi essenziali e i fornitori di servizi digitali segnalino tutti gli incidenti di sicurezza significativi alle Autorità nazionali competenti.

Gli obblighi di segnalazione di incidenti si riferiscono a quelli aventi un impatto sull'erogazione dei servizi: possono includere interruzioni gravi o prolungate, compromissione di dati personali, riservati e sensibili, attacchi informatici di vasta portata e così via.

Le Autorità nazionali sono poi tenute a condividere queste informazioni con gli altri Stati membri e con la Commissione Europea, al fine di migliorare la cooperazione e la risposta coordinata agli incidenti di sicurezza informatica su scala europea.

Evitare sanzioni salate

Diversamente rispetto alla versione della Direttiva entrata in vigore nel 2016, NIS2 classifica le realtà interessate dal provvedimento in soggetti essenziali e soggetti importanti. Per i soggetti essenziali, la completa adesione e la continua verifica del rispetto delle prescrizioni sono applicate fin dal momento dell'effettiva attuazione della Direttiva.

I soggetti importanti, classificati come tali, sono invece tenuti all'adozione di controlli di conformità su base ex-post: è prevista un'attivazione immediata a seguito di eventuali inadempienze evidenziate alle Autorità.

La non conformità alla Direttiva, può portare a sanzioni salate. Nel caso dei soggetti importanti, le multe possono arrivare fino a 7 milioni di euro o all'1,4% del fatturato annuo globale. In caso inadempienze, invece, i soggetti essenziali sono esposti a sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale. In entrambi i casi è preso in considerazione, tra i due, l'importo più elevato.

Conclusione: NIS2 e il futuro della cybersicurezza in Europa

La Direttiva NIS2 rappresenta un passo significativo verso un'Europa più sicura e resiliente dal punto di vista della cybersicurezza. Attraverso l'attuazione di normative più stringenti e la promozione della cooperazione tra Stati membri e settori industriali, l'Unione si posiziona in modo proattivo per affrontare le sfide emergenti nel panorama digitale in continua evoluzione.

Il successo di NIS2 dipenderà, tuttavia, dalla sua effettiva ed efficace applicazione da parte dei soggetti interessati e dalla continua vigilanza nel rispondere alle minacce in rapida evoluzione.

Nel plasmare il paesaggio della cybersicurezza europea, Cubbit può rappresentare un partner chiave in questo nuovo contesto. Grazie anche a innovazioni quali Cubbit DS3 Composer, qualunque azienda può comporre in pochi minuti il suo servizio di cloud storage sicuro, affidabile, performante, resiliente, conforme e sempre disponibile.

Credit immagine in apertura: iStock.com/TU IS