Al via la NIS2: cosa cambia per la sicurezza fisica

di Francesco Panarelli - Key Accounts&Business Development Director presso Hikvision Italy 

Il Consiglio dei ministri del 7 agosto scorso ha approvato i decreti attuativi della Direttiva UE 2022/2555 (NIS2). In attesa della pubblicazione in GU, possiamo offrire una disamina delle novità apportate dalla norma, anche per capire in che modo possa interessare il settore sicurezza. Essendo infatti destinata essenzialmente alle grandi committenze, la NIS2 può avere importanti riflessi sulle scelte commerciali dei fornitori, partendo dai system integrator per arrivare ai produttori.

NIS 2: nuovi destinatari

La novità più importante delle NIS2, entrata in vigore nel 2023 per elevare la sicurezza cyber in un mondo che cambia alla velocità della luce, è l’estensione dei destinatari rispetto alla precedente NIS1: per l’Italia si vocifera di altri 50.000 soggetti ritenuti “essenziali e importanti”. Se la la NIS1 si rivolgeva infatti esclusivamente alle infrastrutture critiche, la NIS2 si allarga a fornitori di servizi “essenziali e importanti”, aprendosi quindi anche alla grande distribuzione alimentare, alla filiera della gestione dei rifiuti, alla produzione di dispositivi medici, ma anche di computer e prodotti di elettronica e ottica, come pure al mondo della distribuzione postale. La NIS2 si allarga inoltre a realtà non sempre superdimensionate, come le aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro: la platea si allarga quindi considerevolmente rispetto alla NIS1. Starà all’ACN - Agenzia per la Cybersicurezza Nazionale – individuare quali soggetti saranno ritenuti destinatari della NIS2 sulla base di una serie di parametri e di una piattaforma che, entro 90 giorni dall’autoregistrazione delle potenziali imprese candidate, stabilirà la categorie di rilevanza e le relative misure di sicurezza da porre in essere. La NIS 2 sarà quindi realmente operativa solo a completamento dello screening (si ipotizza non prima di aprile 2025). Il 17 Ottobre si sono aperte le autocandidature: c’è ancora tempo per capire quali saranno i reali destinatari. La buona notizia è che in Italia vi è consapevolezza della debolezza cyber (dovute sia a mancanza di competenze, sia a mancanza di risorse) soprattutto delle realtà meno dimensionate: l’ACN ha quindi assicurato che inizialmente metterà in campo un approccio più consulenziale che sanzionatorio. 

NIS 2: cosa cambia per la supply chain

Un elemento critico per il nostro settore è che la NIS2 introduce nuove regole per la sicurezza della supply chain, ossia dell’intera catena di fornitura, delle realtà che verranno ritenute destinatarie della Direttiva. Questo implica che i rapporti con i vendor e subappaltatori, soprattutto di materiali connessi o connettibili ed essenziali per garantire operatività e resilienza dell’infrastruttura (dunque in particolare quelli destinati a finalità di sicurezza), verranno esaminati con la stessa profondità e severità che la NIS2 prevede per le realtà a cui si rivolge. Anche fornitori e subappaltatori dovranno quindi garantire un alto livello di protezione cyber, non solo in termini di resistenza a possibili attacchi, ma anche in termini di capacità e velocità di ripristino delle funzioni necessarie per assicurare la resilienza e la continuità operativa. Questo si può interpretare sia come rischio, sia come opportunità. Lato grandi utenti, si alzerà il livello di sensibilità al tema sicurezza, considerato anche lo spostamento di responsabilità in capo ai vertici aziendali per violazione cyber di qualunque dispositivo connesso: questo se non altro potrebbe portare ad uno stanziamento costante di risorse dedicate alla security. Il rischio è che il primo interlocutore di queste utenze è il system integrator o il grande installatore. Come dovrà attrezzarsi per essere compliant, non esistendo un decalogo di misure da mettere in campo? Il nostro suggerimento è di partire dalla ISO/IEC 27001:2013 (ISO 27001), lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni). Ottenere una certificazione accreditata ISO 27001 permette infatti di dimostrare che l’azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni venga gestita in linea con le best practice internazionali e gli obiettivi aziendali. I produttori di tecnologie per la sicurezza fisica sono doppiamente oggetto della Direttiva, dovendo vigilare sulla propria catena di fornitura ma dovendo essi stessi porre in essere le misure tecniche ed organizzative previste. 

Hikvision vanta le certificazioni ISO/IEC 27001:2013 (ISO 27001) ed è compliant al Common Criteria (ISO 15408), unico standard globale di sicurezza dei prodotti universalmente riconosciuto. Hikvision è stata inoltre designata nel 2018 CVE Numbering Authority (CNA): può dunque assegnare degli identificatori CVE per le vulnerabilità dei suoi prodotti. Le misure per le sicurezza cyber messe in campo da Hikvision in ambito produttivo ed organizzativo sono descritte nel White Paper “Network and Information Security (NIS2) Directive”