FAQ

L'MFA (Multi-Factor Authentication) è un sistema di sicurezza che richiede due o più prove diverse per verificare l'identità di un utente (come una password e un codice sul telefono).

Nel contesto della direttiva NIS2, è una misura di igiene cibernetica obbligatoria per proteggere gli accessi alle reti e ai dati delle aziende critiche, prevenendo intrusioni in caso di password rubate.

Perché è fondamentale per la NIS2?

• Gestione del rischio (Art. 21): La direttiva impone un approccio proattivo. Usare software non patchato o privo di supporto è considerata una grave negligenza.

• Verifica continua: Strumenti come lo SCARR del GARR permettono di dimostrare alle autorità competenti (in Italia l'ACN) che l'organizzazione monitora costantemente la propria superficie di attacco.

Perché è fondamentale per la NIS2?

• Regola del 3-2-1-1: La NIS2 spinge verso strategie di backup avanzate. Avere un backup offline o immutabile è l'unica vera difesa quando i cybercriminali tentano di criptare o cancellare anche i backup di rete.

• Obbligo di verifica: Per la NIS2 non basta "fare" il backup; l'organizzazione deve dimostrare (tramite i test regolari) di essere effettivamente in grado di ripartire in caso di incidente grave.

Perché è fondamentale per la NIS2?

• Prevenzione delle minacce interne e laterali: Limitare i permessi impedisce che l'eventuale compromissione di un singolo account (ad esempio tramite phishing) dia all'attaccante le chiavi dell'intera rete aziendale.

• Account "Fantasma": La revoca immediata al termine degli incarichi elimina il rischio degli account orfani, uno dei canali preferiti dai cybercriminali per infiltrarsi nei sistemi senza farsi notare.

1. Cos'è la direttiva NIS2 e come è stata recepita in Italia? La direttiva NIS2 (Network and Information Security) è la normativa europea volta a garantire un livello comune elevato di cybersicurezza in tutta l'Unione Europea, migliorando la resilienza dei sistemi informativi e di rete. In Italia, la direttiva è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138 (noto come "Decreto NIS"), in vigore dal 16 ottobre 2024.

2. A quali soggetti si applica la normativa NIS2? Il decreto si applica a soggetti pubblici e privati operanti in settori definiti "altamente critici" (come energia, trasporti, settore bancario, sanitario, infrastrutture digitali, pubblica amministrazione) e "critici" (come servizi postali, gestione rifiuti, industria chimica, alimentare, ricerca). Generalmente, l'obbligo ricade sulle organizzazioni che superano i parametri delle medie imprese (più di 50 dipendenti e 10 milioni di fatturato o bilancio annuo), ma per alcune categorie, come le Pubbliche Amministrazioni centrali e locali, i fornitori di reti di comunicazione, i prestatori di servizi fiduciari e i fornitori di domini, la normativa si applica indipendentemente dalle dimensioni. I soggetti sono classificati in due categorie con obblighi e regimi di vigilanza differenziati: soggetti essenziali e soggetti importanti.

3. Quali sono i principali obblighi per le organizzazioni? I soggetti che rientrano nel perimetro NIS2 devono adempiere a quattro macro-obblighi principali:

• Registrazione: Iscriversi e mantenere aggiornati i propri dati sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale.

• Responsabilità del Management: Gli organi di amministrazione e direttivi devono approvare le misure di sicurezza, sovrintendere alla loro implementazione, seguire formazioni specifiche e sono direttamente responsabili in caso di violazioni.

• Misure di Sicurezza: Adozione di misure tecniche, operative e organizzative per la gestione dei rischi, tra cui politiche di sicurezza, gestione degli asset, continuità operativa (disaster recovery), sicurezza delle risorse umane, crittografia e MFA (autenticazione a più fattori).

• Notifica degli Incidenti: Obbligo di comunicare tempestivamente gli incidenti informatici significativi all'autorità competente.

4. Quali sono le tempistiche per notificare un incidente informatico? La procedura di notifica al CSIRT Italia (il gruppo di risposta agli incidenti dell'ACN) prevede tempi estremamente stringenti:

• Pre-notifica entro 24 ore da quando si è venuti a conoscenza dell'incidente significativo.

• Notifica completa entro 72 ore, contenente una valutazione iniziale dell'incidente, della sua gravità e dell'impatto.

• Relazione finale entro un mese dalla notifica, con una descrizione dettagliata dei fatti, della minaccia e delle misure di mitigazione adottate.

5. Quali sono le scadenze per mettersi in regola? Le tempistiche previste per l'adeguamento sono graduali:

• Registrazione: Dal 1° gennaio al 28 febbraio di ogni anno solare.

• Aggiornamento annuale: Dal 15 aprile al 31 maggio di ogni anno per aggiornare le informazioni sulla piattaforma (es. domini, IP, referenti).

• Notifica degli incidenti: L'obbligo scatta dopo 9 mesi dalla ricezione della comunicazione di inserimento nell'elenco dei soggetti NIS da parte dell'ACN.

• Misure di sicurezza di base: I requisiti di sicurezza devono essere implementati entro 18 mesi dalla ricezione della comunicazione di inserimento nell'elenco.

6. Chi è l'Autorità di controllo in Italia? L'Autorità nazionale competente NIS e Punto di contatto unico è l'Agenzia per la cybersicurezza nazionale (ACN). L'ACN è supportata da diverse Autorità di settore NIS (es. vari Ministeri competenti per materia) che collaborano nell'individuazione dei soggetti e nella vigilanza.

7. La NIS2 si applica anche ai fornitori (Supply Chain) come chi vende telecamere o servizi IT? Non è previsto un meccanismo di propagazione diretta e automatica della normativa ai fornitori, i quali non diventano "soggetti NIS" per il solo fatto di lavorare con un'organizzazione obbligata. Tuttavia, i soggetti NIS hanno l'obbligo di garantire la sicurezza della propria catena di approvvigionamento. Questo significa che dovranno censire i fornitori di apparati fisici (es. telecamere) e software, valutare i rischi e imporre specifici obblighi contrattuali di sicurezza ai propri fornitori.

8. Come impatta la NIS2 sull'acquisizione di sistemi di Intelligenza Artificiale (IA)? L'adozione di sistemi di Intelligenza Artificiale deve rispettare i requisiti di cybersicurezza richiesti dalla NIS2, in particolare per la gestione dei rischi della supply chain. Quando un'organizzazione NIS valuta fornitori commerciali di IA, deve verificare che il fornitore garantisca l'esportabilità dei log per consentire il monitoraggio degli incidenti, adotti controlli rigorosi sugli accessi privilegiati al modello e integri principi di sicurezza per prevenire attacchi specifici all'IA, come l'avvelenamento dei dati (data poisoning)