A gennaio 2023, l’Unione Europea ha approvato la nuova Direttiva sulla Sicurezza delle Reti e delle Informazioni, chiamata NIS2. Gli Stati membri hanno tempo fino al 18 ottobre 2024 per integrare la Direttiva nelle loro leggi nazionali, dopodiché chi non rispetterà le regole rischia multe fino a 10 milioni di euro, incluse aziende e pubbliche amministrazioni. Ma quali sono i requisiti della NIS2 e cosa serve per adeguarsi?
Cos’è la NIS2?
La Direttiva UE 2022/2055, nota come NIS2, mira a migliorare la sicurezza informatica e la resilienza delle organizzazioni europee. Rispetto alla precedente NIS1, NIS2 copre più settori e stabilisce norme comuni per tutti gli Stati membri. La direttiva distingue tra due tipi di soggetti coinvolti: quelli essenziali (come le amministrazioni pubbliche, i settori energetico, sanitario e bancario) e quelli importanti (come servizi postali, agroalimentari e digitali). Inoltre, riguarda sia le organizzazioni pubbliche che private che operano in settori considerati critici per l’Unione Europea.
Conseguenze per chi non rispetta la NIS2
Le regole della NIS2 si applicano subito ai soggetti essenziali, che dovranno essere monitorati da subito, mentre i soggetti importanti saranno controllati solo in caso di sospetti o segnalazioni. Le sanzioni variano in base alla tipologia di organizzazione: fino a 7 milioni di euro o il 1,4% del fatturato annuo per i soggetti importanti, e fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali.
Come adeguarsi alla NIS2
Le organizzazioni devono individuare i processi e le risorse cruciali per i servizi regolati dalla Direttiva e adottare misure tecniche e gestionali per garantire la sicurezza delle reti informatiche. A differenza del GDPR, la NIS2 fornisce indicazioni più precise sulle misure di sicurezza richieste, che includono:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- gestione degli incidenti
- continuità operativa e gestione delle crisi (backup e disaster recovery)
- sicurezza della catena di approvvigionamento
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza
- politiche e procedure relative all’uso della crittografia e della cifratura
- sicurezza delle risorse umane con strategie di controllo dell’accesso
- uso di soluzioni di autenticazione a più fattori o autenticazione continua, di comunicazioni vocali, video e testuali protette.
Cubbit: un esempio italiano di conformità
Un esempio di soluzione cloud che sta emergendo in Italia è Cubbit, una piattaforma di archiviazione dati geo-distribuita che permette agli utenti di scegliere dove conservare i dati, mantenendo la residenza dei dati sul territorio italiano. Questo sistema aiuta le pubbliche amministrazioni a rispettare i requisiti della NIS2 e del GDPR, garantendo controllo e sicurezza sui dati. Cubbit, inoltre, è partner di Gaia-X e ha ottenuto certificazioni internazionali per la qualità e la sicurezza delle informazioni. Grazie alla sua struttura geo-distribuita, Cubbit offre una protezione elevata contro attacchi informatici e un elevatissimo livello di affidabilità dei dati, compatibile con le principali piattaforme del settore.
Sovranità dei dati
Cubbit è pienamente certificata a livello internazionale, avendo ottenuto le certificazioni ISO 9001:2015 per la gestione della qualità, ISO/IEC 27001:2013 per la sicurezza delle informazioni, ISO/IEC 27017:2015 per la sicurezza nel cloud e ISO/IEC 27018:2019 per la protezione dei dati personali. Inoltre, ha ricevuto il prestigioso marchio “Cybersecurity Made in Europe” e la qualifica ACN (ex AgID), che facilita l’accesso ai suoi servizi cloud per le amministrazioni pubbliche tramite la piattaforma MePa.
Una delle caratteristiche più apprezzate è la possibilità di controllare totalmente la posizione geografica dei dati grazie alla tecnologia di geofencing, che permette di stabilire in modo preciso le aree geografiche in cui i dati devono essere conservati. Questo è fondamentale per garantire la conformità a normative europee stringenti come GDPR e NIS2, particolarmente rilevanti per settori sensibili come quello sanitario, dove la protezione e la residenza dei dati all’interno dei confini nazionali sono essenziali.
Protezione totale contro ransomware e disastri naturali
A differenza dei tradizionali sistemi cloud che concentrano i dati in pochi data center, spesso vulnerabili a cyber attacchi o disastri naturali, Cubbit adotta un approccio avanzato e decentralizzato. I dati vengono criptati, frammentati e distribuiti su una rete di nodi situati in diverse località nazionali, garantendo livelli superiori di sicurezza e resilienza. Ogni nodo contiene solo porzioni criptate dei dati, provenienti da diversi utenti, rendendo impossibile per un cybercriminale accedere alle informazioni complete.
Cubbit offre inoltre una protezione avanzata contro ransomware, con funzionalità ideali per aziende alla ricerca di soluzioni cloud sicure e conformi alle normative. Grazie al versionamento e al blocco degli oggetti (object lock), è possibile conservare multiple versioni dei file, facilitando la disaster recovery in caso di attacco. Questa tecnologia permette di ripristinare facilmente i dati senza costi aggiuntivi. Il blocco degli oggetti, inoltre, previene modifiche o cancellazioni non autorizzate, assicurando che i dati rimangano intatti per il periodo specificato dall’utente e riducendo il rischio di dover pagare riscatti in seguito a un attacco ransomware.
Flessibilità e semplicità d’uso
Cubbit si distingue anche per la sua straordinaria flessibilità. La piattaforma è completamente compatibile con tutti i client dell’ecosistema S3, il che rende l’integrazione nei sistemi aziendali già esistenti semplice e immediata. Tra le applicazioni più significative si includono la creazione di backup off-site automatizzati, la collaborazione sicura su macchine virtuali o sistemi NAS in loco, e lo sviluppo di strategie di conservazione documentale a lungo termine, in linea con le normative vigenti.
In collaborazione con i responsabili IT di oltre 200 aziende, Cubbit ha redatto la guida alla NIS2.