Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Continuità Operativa e Sicurezza Multirischio: Come le Direttive (UE) 2022/2557 e 2022/2555 (NIS2) Proteggono le Infrastrutture Critiche dell’Europa

Sandro Sana : 20 Ottobre 2024 09:38

L’Unione Europea ha emanato due direttive chiave per rafforzare la protezione e la resilienza delle infrastrutture critiche: la Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2). Queste normative mirano entrambe a garantire la sicurezza dei soggetti essenziali per il funzionamento della società e dell’economia, ma affrontano differenti aspetti delle minacce. La Direttiva 2557, recepita in Italia con il Decreto Legislativo n. 134 del 4 settembre 2024 e pubblicata in Gazzetta Ufficiale, si concentra sulla continuità operativa dei soggetti critici. La Direttiva 2555 (NIS2), invece, recepita con il Decreto Legislativo n. 138 del 4 settembre 2024, ha un approccio multirischio che mira ad aumentare la sicurezza dei sistemi informativi e di rete da una vasta gamma di minacce, non solo informatiche ma anche fisiche e ambientali, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati.

Direttiva (UE) 2022/2557: Continuità Operativa

La Direttiva (UE) 2022/2557, pubblicata in Italia con il Decreto Legislativo n. 134, ha come obiettivo primario garantire la continuità operativa delle infrastrutture critiche in settori come energia, trasporti, sanità, acqua e pubblica amministrazione. Questa direttiva stabilisce un quadro giuridico per prevenire, mitigare e gestire rischi fisici o ambientali che potrebbero compromettere la fornitura di servizi essenziali.

Obiettivi principali:

  • Prevenzione e resilienza: La direttiva stabilisce un quadro armonizzato per prevenire e mitigare le interruzioni che possono influire sulla fornitura di servizi essenziali, con particolare attenzione ai rischi fisici, come disastri naturali, attacchi terroristici e cambiamenti climatici​;
  • Gestione delle interdipendenze: Le infrastrutture critiche europee sono sempre più interconnesse e interdipendenti. Un’interruzione in un settore può avere effetti a catena sugli altri, rendendo cruciale un approccio integrato alla prevenzione delle interruzioni di servizi essenziali;
  • Resistenza a minacce fisiche e ambientali: Questa direttiva si occupa di migliorare la capacità di resistenza alle minacce fisiche e ambientali, promuovendo misure di prevenzione e piani di ripristino volti a garantire che i soggetti critici possano continuare a operare anche in presenza di eventi catastrofici;

Ambito di applicazione:

  • La direttiva copre un ampio spettro di settori che includono infrastrutture fisiche critiche, come energia, trasporti, sanità, alimentazione, acqua potabile, e altri settori che forniscono servizi essenziali alla società.

Direttiva (UE) 2022/2555 (NIS2): Sicurezza dei Sistemi Informativi e di Rete

La Direttiva (UE) 2022/2555 (NIS2), recepita con il Decreto Legislativo n. 138, si concentra sulla protezione dei sistemi informativi e di rete da un’ampia gamma di minacce, adottando un approccio multirischio. Questo significa che la direttiva non si limita alla protezione contro le minacce informatiche, ma tiene conto anche di altre minacce fisiche e ambientali che possono influenzare la sicurezza e il funzionamento dei sistemi di rete.

Obiettivi principali:

  • Gestione integrata dei rischi: NIS2 impone che i soggetti critici adottino misure tecniche e organizzative non solo per prevenire e mitigare gli attacchi cyber, ma anche per proteggere i sistemi informativi da minacce fisiche come furti, incendi, allagamenti, interruzioni di corrente o di connettività;
  • Approccio multirischio: L’aspetto distintivo della direttiva NIS2 è la sua copertura completa delle minacce ai sistemi informatici e di rete, che includono sia attacchi cyber (come malware o ransomware) sia minacce non informatiche, come danni fisici alle strutture che ospitano le reti o interruzioni nei servizi infrastrutturali di supporto;
  • Notifica e gestione degli incidenti: Un punto centrale della direttiva è l’obbligo per i soggetti di segnalare prontamente gli incidenti, garantendo una risposta coordinata ed efficiente tra gli Stati membri per affrontare gli incidenti su scala nazionale e transfrontaliera​;

Ambito di applicazione:

  • NIS2 espande il suo raggio d’azione oltre i settori tradizionalmente associati alle infrastrutture critiche, includendo anche settori digitali avanzati, come i servizi cloud, la gestione dei domini DNS, i servizi fiduciari e i fornitori di servizi di comunicazione elettronica​;

Parallelismo tra le due direttive

  1. Obiettivo primario:
    • Direttiva 2557: Garantire la continuità operativa (Business Continuity) dei soggetti critici in presenza di minacce fisiche e naturali, come disastri o attacchi fisici. L’attenzione è sul mantenimento della fornitura di servizi essenziali anche durante crisi di grande portata​;
    • Direttiva NIS2: Aumentare la sicurezza dei sistemi informativi e di rete con un approccio multirischio, che considera sia le minacce informatiche sia quelle fisiche. L’obiettivo è rendere più sicuri i sistemi informatici da cui dipendono i servizi essenziali, proteggendoli non solo da attacchi cyber, ma anche da eventi fisici come furti o disastri naturali​;
  2. Tipi di rischi affrontati:
    • Direttiva 2557: Affronta principalmente minacce fisiche e ambientali che possono influire sull’infrastruttura fisica e la capacità di fornire servizi essenziali, come attacchi terroristici, sabotaggi o disastri naturali;
    • Direttiva NIS2: Affronta un ampio spettro di rischi multirischio per i sistemi informativi, includendo sia le minacce cyber che quelle non puramente informatiche (come furti, incendi, allagamenti o interruzioni di corrente), proteggendo così l’integrità e la disponibilità delle reti;
  3. Approccio e misure:
    • Direttiva 2557: Stabilisce requisiti per la resilienza operativa e la continuità fisica delle infrastrutture critiche, con misure di prevenzione e ripristino per affrontare minacce fisiche​;
    • Direttiva NIS2: Introduce un approccio multirischio alla cibersicurezza, con misure di gestione del rischio e piani di resilienza che proteggono i sistemi da un’ampia gamma di minacce, siano esse cyber o fisiche;
  4. Ambito di applicazione:
    • Direttiva 2557: Copre settori che includono principalmente infrastrutture fisiche critiche, come energia, trasporti, sanità e alimentazione, con un focus sulla continuità operativa (Allegato A)​;
    • Direttiva NIS2: Include un ampio spettro di settori digitali, come servizi cloud, DNS, e piattaforme digitali, e adotta un approccio integrato per proteggere i sistemi informatici da un’ampia gamma di rischi fisici e cyber (Allegati 1-2-3-4);

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2) si completano, affrontando la protezione delle infrastrutture critiche e dei servizi essenziali da due prospettive complementari. La 2557 è focalizzata sulla continuità operativa in presenza di minacce fisiche, garantendo che i soggetti critici possano continuare a operare anche in condizioni avverse. La NIS2, con il suo approccio multirischio, mira a proteggere i sistemi informativi e di rete da una gamma estesa di minacce, comprese quelle non strettamente cyber. Insieme, queste normative offrono una visione integrata per affrontare le sfide attuali della sicurezza e della resilienza in Europa.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006