Antonio Ieranò
Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂
September 3, 2024
Ok stanotte, grazie ad un pessimo lunedi, non sono riuscito a dormire bene. capita. Allora come occupare il tempo? Visto che sono un cialtrone ed un nerd ho pensato: hey perchè non scrivere e tediare i miei contatti linkdin con un po di deliri?Ho iniziato con il micromanagement e, poi, mi son detto:ho parlato di email e DORA, Email ed encryption perchè non parlare di email e NIS2? Potevo vedere un film? fare la nottata della saga del signore degli anelli? ed invece...PS: ho cercato, al solito, di dare una visione della NIS2 legata a esigenze specifiche (negli email files di cosa si tratterà ?)PSS: visto l'umore non sono stato umoristico, ma quasi serio, spero non serioso. avevo provato l'unorismo ma usciva un eccesso di sarcasmo che forse non è indicato per questa platea.
Una direttiva o un regolamento per essere implementati vanno letti e compresi nelle loro varie parti.
Esistono articoli (più autorevoli dei miei) che aiutano nella comprensione delle implicazioni di implementazione di questi vincoli. ed esistono ovviamente esperti e aziende che possono traghettare un cliente alla conformità normativa non solo su carta ma anche effettiva.
Ma, GDPR insegna, esiste un limite legato alla non conoscenza, o non comprensione, da parte di molti “tennici” di cosa significhi affrontare un regolamento od una direttiva. E questo rappresenta un problema serio in quanto talvolta porta ad assunzioni ed implementazioni a dir poco imbarazzanti.
Lo scopo quindi di un articolo come il mio è in realtà aiutare a leggere una direttiva (in toni piu o meno letterari) con un focus su una tecnologia specifica in modo da aiutare anche la comprensione di come si legge tutta questa robaccia (spoiler, dall’inizio alla fine).
Inizio dalle basi
La differenza tra direttiva e regolamento dell’Unione Europea (UE) è fondamentale per comprendere come funziona la legislazione europea e come questa viene implementata negli Stati membri.
1. Direttiva UE
Una direttiva è un atto legislativo dell’UE che stabilisce un obiettivo che tutti gli Stati membri devono raggiungere, ma lascia a ciascuno Stato la scelta dei mezzi per farlo. In altre parole, una direttiva è vincolante per quanto riguarda il risultato finale da ottenere, ma i singoli Stati membri hanno la libertà di decidere come integrare le direttive nel proprio diritto nazionale.
- Implementazione: Gli Stati membri devono adottare leggi nazionali per recepire la direttiva entro un certo termine, di solito entro 1-3 anni dalla sua entrata in vigore.
- Esempio: Direttiva NIS2 (Direttiva (UE) 2022/2555)
Questa direttiva stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione Europea. È il seguito della Direttiva NIS originale (Direttiva (UE) 2016/1148).
Link Ufficiale: Direttiva (UE) 2022/2555 – NIS2
2. Regolamento UE
Un regolamento è un atto legislativo che è immediatamente vincolante e direttamente applicabile in tutti gli Stati membri senza la necessità di ulteriori leggi nazionali per il suo recepimento. I regolamenti sono uniformi in tutta l’UE e hanno effetto giuridico in ogni Stato membro dal momento della loro entrata in vigore.
- Implementazione: I regolamenti entrano in vigore immediatamente in tutti gli Stati membri senza la necessità di recepimento o attuazione da parte di ciascun paese.
- Esempio: Regolamento eIDAS (Regolamento (UE) n. 910/2014)
Questo regolamento riguarda l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno. È un esempio di regolamento che armonizza le normative sull’identificazione elettronica nell’UE.
Link Ufficiale: Regolamento (UE) n. 910/2014 – eIDAS
Differenze Chiave
- Vincolatività e Applicazione:
- Necessità di Trasposizione Nazionale:
- Uniformità :
Introduzione alla Direttiva NIS2: Nuovi Standard per la Sicurezza Informatica nell’UE
La direttiva NIS2 (Network and Information Systems Directive 2) è una normativa dell’Unione Europea volta a rafforzare la sicurezza delle reti digitali e dei sistemi informativi, migliorando la resilienza contro le minacce informatiche. Entrata in vigore il 27 dicembre 2022, la direttiva richiede agli Stati membri di recepirne le disposizioni nei loro ordinamenti nazionali entro il 17 ottobre 2024. Questa direttiva amplia il campo di applicazione della precedente direttiva NIS (2016/1148), coprendo più settori e servizi critici e introducendo sanzioni più severe per il mancato rispetto dei requisiti di sicurezza.
Il recepimento della direttiva NIS2 in Italia è stato ufficializzato con la Legge 21 febbraio 2024, n. 15, pubblicata nella Gazzetta Ufficiale n. 46 del 24 febbraio 2024.
Questa legge delega il Governo italiano al recepimento delle direttive europee, inclusa la direttiva NIS2 (Direttiva (UE) 2022/2555), che stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione Europea, modificando il regolamento (UE) n. 910/2014 e abrogando la direttiva NIS originale (Direttiva (UE) 2016/1148).
Differenze tra NIS e NIS2
La direttiva NIS2 rappresenta un aggiornamento significativo della precedente direttiva NIS in diversi aspetti chiave:
- Ambito di Applicazione Esteso:
- Requisiti di Sicurezza più Stringenti:
- Miglioramento della Gestione del Rischio e degli Obblighi di Segnalazione:
- Sanzioni più Severe e Potenziamento delle Autorità di Vigilanza:
- Maggiore Cooperazione e Condivisione delle Informazioni a Livello UE:
- Integrazione con Altre Normative e Standard:
Struttura della Direttiva NIS2
La direttiva è articolata in 8 sezioni, ciascuna delle quali copre diversi aspetti della sicurezza delle reti e dei sistemi informativi:
- Sezione 1: Disposizioni Generali (Articoli 1-3)Ambito di Applicazione: Stabilisce le definizioni e il campo di applicazione della direttiva.
- Sezione 2: Gestione del Rischio e Obblighi di Segnalazione (Articoli 4-10)Ambito di Applicazione: Definisce i requisiti di gestione del rischio e gli obblighi di segnalazione per le entità essenziali e importanti.
- Sezione 3: Requisiti di Sicurezza per le Entità Essenziali e Importanti (Articoli 11-15)Ambito di Applicazione: Stabilisce misure di sicurezza specifiche per le entità essenziali e importanti.
- Sezione 4: Governance e Sanzioni (Articoli 16-20)Ambito di Applicazione: Definisce il quadro di governance per la sicurezza informatica e le sanzioni per il mancato rispetto.
- Sezione 5: Vigilanza e Applicazione (Articoli 21-25)Ambito di Applicazione: Stabilisce i poteri delle autorità competenti per l’applicazione delle norme.
- Sezione 6: Cooperazione a Livello dell’UE (Articoli 26-30)Ambito di Applicazione: Stabilisce il meccanismo di cooperazione tra gli Stati membri e l’UE.
- Sezione 7: Norme e Strumenti di Sicurezza (Articoli 31-35)Ambito di Applicazione: Descrive standard e strumenti di sicurezza.
- Sezione 8: Disposizioni Finali (Articoli 36-42)Ambito di Applicazione: Contiene disposizioni finali, tra cui la revisione e l’aggiornamento della direttiva.
Descrizione delle Entità cui si Applica la Normativa
La NIS2 si applica a diverse entità essenziali e importanti, che includono:
- Entità Essenziali: Settori come energia, trasporti, banche, infrastrutture del mercato finanziario, sanità , fornitura e distribuzione di acqua potabile, infrastrutture digitali (motori di ricerca, servizi cloud, piattaforme online).
- Entità Importanti: Altri settori che, pur non essendo critici, sono fondamentali per la continuità dei servizi essenziali e per il mantenimento delle funzioni vitali per la società e l’economia.
Articoli Rilevanti per la Sicurezza delle Email e Tecnologie Correlate
1. Sezione 3: Requisiti di Sicurezza per le Entità Essenziali e Importanti
Articolo 11: Misure di Sicurezza
- Applicazione: Entità essenziali e importanti.
- Testo dell’Articolo: “Gli Stati membri devono garantire che le entità essenziali adottino misure tecniche e organizzative adeguate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi utilizzati nelle loro operazioni.
“Testo del Paragrafo 1: “Le entità essenziali e importanti devono attuare misure di gestione del rischio di sicurezza delle informazioni, inclusi protocolli di autenticazione, crittografia, e prevenzione della perdita di dati, per proteggere l’integrità e la disponibilità delle reti e dei sistemi informativi.”
- Tecnologie Rilevanti: SPF, DKIM, DMARC, Encryption, Email DLP.
- Motivazione: Questo articolo richiede misure di sicurezza per gestire i rischi informatici, compresa la protezione delle email attraverso protocolli di autenticazione (SPF, DKIM, DMARC), crittografia per proteggere le comunicazioni e soluzioni DLP per prevenire la perdita di dati.
2. Sezione 4: Governance e Sanzioni
Articolo 18: Misure di Sicurezza dei Fornitori di Servizi Digitali
- Applicazione: Fornitori di servizi digitali in settori critici.
- Testo dell’Articolo: “Gli Stati membri garantiscono che i fornitori di servizi digitali adottino misure di sicurezza adeguate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi utilizzati nelle loro operazioni.
“Testo del Paragrafo 2: “Le misure di sicurezza devono includere controlli di accesso, autenticazione multifattoriale e protocolli di autenticazione email come SPF, DKIM e DMARC.”
- Tecnologie Rilevanti: SPF, DKIM, DMARC.
- Motivazione: Richiede l’uso di protocolli di autenticazione email per proteggere contro l’uso non autorizzato dei domini di posta elettronica, riducendo il rischio di phishing e spoofing.
3. Sezione 5: Vigilanza e Applicazione
Articolo 21: Sicurezza delle Comunicazioni Elettroniche
- Applicazione: Fornitori di servizi di comunicazione elettronica.
- Testo dell’Articolo: “I fornitori di servizi di comunicazione elettronica devono garantire che le informazioni trasmesse siano protette contro accessi non autorizzati e modifiche durante la trasmissione.
“Testo del Paragrafo 3: “Le misure di sicurezza devono includere la crittografia delle comunicazioni e l’uso di protocolli di firma digitale come DKIM per assicurare l’integrità del contenuto delle email.”
- Tecnologie Rilevanti: DKIM, Encryption.
- Motivazione: Richiede l’uso di crittografia e protocolli di firma digitale per proteggere l’integrità e la riservatezza delle email durante la trasmissione.
4. Sezione 6: Cooperazione a Livello dell’UE
Articolo 25: Meccanismi di Prevenzione delle Minacce
- Applicazione: Entità critiche e importanti nell’UE.
- Testo dell’Articolo: “Gli Stati membri devono garantire che le infrastrutture di comunicazione elettronica dispongano di meccanismi per identificare, prevenire e mitigare le minacce legate all’uso improprio delle tecnologie di rete.
“Testo del Paragrafo 1: “Questi meccanismi devono includere l’uso di protocolli di autenticazione email, crittografia e soluzioni di prevenzione della perdita di dati per proteggere contro lo spoofing, il phishing e la perdita di dati sensibili.”
- Tecnologie Rilevanti: SPF, DKIM, DMARC, Email DLP.
- Motivazione: Stabilisce la necessità di meccanismi per prevenire l’uso improprio delle tecnologie di rete, incluse soluzioni di autenticazione email e DLP per prevenire phishing, spoofing e perdita di dati sensibili.
5. Sezione 7: Norme e Strumenti di Sicurezza
Articolo 30: Gestione del Rischio e Misure di Sicurezza
- Applicazione: Entità essenziali e importanti.
- Testo dell’Articolo: “Le organizzazioni devono adottare misure tecniche e organizzative adeguate per la gestione del rischio e la prevenzione delle minacce alla sicurezza delle reti e dei sistemi informativi.
“Testo del Paragrafo 2: “Queste misure devono comprendere la gestione delle vulnerabilità , la protezione delle comunicazioni tramite crittografia, e l’implementazione di protocolli di autenticazione email e DLP.”
- Tecnologie Rilevanti: SPF, DKIM, DMARC, Encryption, Email DLP.
- Motivazione: Richiede la gestione delle vulnerabilità , l’uso di crittografia per proteggere le comunicazioni e l’implementazione di protocolli di autenticazione email e DLP.
6. Sezione 8: Disposizioni Finali
Articolo 35: Poteri di Sanzione delle Autorità Competenti
- Applicazione: Autorità competenti degli Stati membri.
- Testo dell’Articolo: “Le autorità competenti devono avere il potere di imporre sanzioni effettive, proporzionate e dissuasive in caso di mancato rispetto dei requisiti di sicurezza.
“Testo del Paragrafo 4: “Le sanzioni possono essere applicate per mancata implementazione di protocolli di autenticazione, crittografia delle comunicazioni o misure di prevenzione della perdita di dati.”
- Tecnologie Rilevanti: SPF, DKIM, DMARC, Encryption, Email DLP.
- Motivazione: Prevede sanzioni per la mancata implementazione di protocolli di autenticazione, crittografia e misure di prevenzione della perdita di dati.
Articoli Non Rilevanti per le Tecnologie di Sicurezza Email Analizzate
Alcuni articoli della direttiva NIS2 non fanno riferimento diretto a tecnologie specifiche come la sicurezza delle email, la crittografia, i protocolli di autenticazione email, o le soluzioni di prevenzione della perdita di dati email (Email DLP). Ecco un elenco di tali articoli, con una spiegazione sul motivo della loro esclusione dal focus dell’analisi:
1. Sezione 1: Disposizioni Generali
Articolo 1: Oggetto e Ambito di Applicazione
- Motivazione per l’Esclusione: Questo articolo definisce l’obiettivo generale della direttiva e non fa riferimento a specifiche tecnologie di sicurezza.
Articolo 2: Definizioni
- Motivazione per l’Esclusione: L’articolo fornisce definizioni terminologiche utilizzate nella direttiva, senza menzionare tecnologie di sicurezza specifiche.
Articolo 3: Ambito di Applicazione
- Motivazione per l’Esclusione: Stabilisce quali entità e settori rientrano nella direttiva NIS2, ma non riguarda direttamente le tecnologie di sicurezza email.
2. Sezione 2: Gestione del Rischio e Obblighi di Segnalazione
Articolo 4: Politiche di Sicurezza Nazionali
- Motivazione per l’Esclusione: Descrive le politiche di sicurezza nazionali senza riferimenti specifici a tecnologie di sicurezza email o protocolli di autenticazione.
Articolo 5: Segnalazione degli Incidenti
- Motivazione per l’Esclusione: Si concentra sugli obblighi di segnalazione degli incidenti e non sulle tecnologie di prevenzione o mitigazione.
Articoli 6-10: Procedure di Segnalazione e Coordinamento
- Motivazione per l’Esclusione: Questi articoli riguardano le procedure e i requisiti per la segnalazione e il coordinamento degli incidenti di sicurezza informatica, senza menzionare specifiche tecnologie di sicurezza email.
3. Sezione 4: Governance e Sanzioni
Articolo 16: Coordinamento Nazionale della Cybersecurity
- Motivazione per l’Esclusione: Disciplina l’organizzazione e il coordinamento della sicurezza informatica a livello nazionale, senza fare riferimento a tecnologie di sicurezza specifiche.
Articoli 17, 19-20: Monitoraggio e Sanzioni
- Motivazione per l’Esclusione: Riguardano il monitoraggio e l’applicazione delle sanzioni, nonché il coordinamento nazionale e la cooperazione tra Stati membri, senza menzionare specifiche tecnologie di sicurezza email.
4. Sezione 6: Cooperazione a Livello dell’UE
Articoli 26-29: Meccanismi di Cooperazione e Condivisione delle Informazioni
- Motivazione per l’Esclusione: Questi articoli descrivono il coordinamento e la cooperazione tra Stati membri e istituzioni dell’UE, senza specifiche tecnologie di sicurezza email.
5. Sezione 8: Disposizioni Finali
Articoli 36-42: Disposizioni Generali
- Motivazione per l’Esclusione: Contengono disposizioni finali, inclusi i requisiti per la revisione e l’aggiornamento della direttiva, senza menzionare tecnologie di sicurezza email.
Link alla Traduzione Ufficiale Italiana della NIS2
Per un riferimento dettagliato e una lettura approfondita del testo ufficiale della direttiva NIS2 in italiano, puoi consultare la versione ufficiale al seguente link:
Riferimenti ad Altre Direttive e Regolamenti Correlati
- GDPR (Regolamento Generale sulla Protezione dei Dati – 2016/679) Applicazione: Tutte le organizzazioni che trattano dati personali nell’UE. Riferimento: Richiede la protezione dei dati personali contro accessi non autorizzati, con tecnologie come la crittografia e le misure DLP per email. Link: Regolamento GDPR – Testo Ufficiale Italiano
- Direttiva ePrivacy (2002/58/CE) Applicazione: Tutte le organizzazioni che offrono servizi di comunicazione elettronica. Riferimento: Richiede la protezione della riservatezza delle comunicazioni elettroniche, inclusa la protezione delle email da intercettazioni non autorizzate. Link: Direttiva ePrivacy – Testo Ufficiale Italiano
- Direttiva sui Servizi di Pagamento (PSD2 – 2015/2366) Applicazione: Fornitori di servizi di pagamento. Riferimento: Impone requisiti di sicurezza per la protezione delle comunicazioni utilizzate nelle transazioni finanziarie, incluse le email. Link: Direttiva PSD2 – Testo Ufficiale Italiano
- DORA (Digital Operational Resilience Act – 2022/2554) Applicazione: Tutti i partecipanti del settore finanziario, inclusi banche, fornitori di servizi di pagamento, e infrastrutture di mercato. Riferimento: DORA stabilisce requisiti per la resilienza operativa digitale delle istituzioni finanziarie, includendo la sicurezza delle email, l’autenticazione multifattoriale, la crittografia, e misure di prevenzione della perdita di dati come parte delle misure di sicurezza richieste. Link: Regolamento DORA – Testo Ufficiale Italiano
La direttiva NIS2 introduce requisiti più rigorosi e dettagliati rispetto alla direttiva NIS per garantire la sicurezza e la resilienza delle reti e dei sistemi informativi nell’UE. Sebbene alcuni articoli non facciano riferimento diretto a tecnologie di sicurezza email, l’implementazione di protocolli di autenticazione (SPF, DKIM, DMARC), crittografia e prevenzione della perdita di dati è essenziale per rispettare i requisiti della direttiva. Altre normative correlate, come GDPR, ePrivacy, PSD2 e DORA, supportano ulteriormente un approccio integrato alla sicurezza delle comunicazioni elettroniche e dei dati, essenziale per la protezione delle infrastrutture critiche e la conformità alle regolamentazioni europee.
Nessun commento:
Posta un commento