Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Continuità Operativa e Sicurezza Multirischio: Come le Direttive (UE) 2022/2557 e 2022/2555 (NIS2) Proteggono le Infrastrutture Critiche dell’Europa

Sandro Sana : 20 Ottobre 2024 09:38

L’Unione Europea ha emanato due direttive chiave per rafforzare la protezione e la resilienza delle infrastrutture critiche: la Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2). Queste normative mirano entrambe a garantire la sicurezza dei soggetti essenziali per il funzionamento della società e dell’economia, ma affrontano differenti aspetti delle minacce. La Direttiva 2557, recepita in Italia con il Decreto Legislativo n. 134 del 4 settembre 2024 e pubblicata in Gazzetta Ufficiale, si concentra sulla continuità operativa dei soggetti critici. La Direttiva 2555 (NIS2), invece, recepita con il Decreto Legislativo n. 138 del 4 settembre 2024, ha un approccio multirischio che mira ad aumentare la sicurezza dei sistemi informativi e di rete da una vasta gamma di minacce, non solo informatiche ma anche fisiche e ambientali, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati.

Direttiva (UE) 2022/2557: Continuità Operativa

La Direttiva (UE) 2022/2557, pubblicata in Italia con il Decreto Legislativo n. 134, ha come obiettivo primario garantire la continuità operativa delle infrastrutture critiche in settori come energia, trasporti, sanità, acqua e pubblica amministrazione. Questa direttiva stabilisce un quadro giuridico per prevenire, mitigare e gestire rischi fisici o ambientali che potrebbero compromettere la fornitura di servizi essenziali.

Obiettivi principali:

  • Prevenzione e resilienza: La direttiva stabilisce un quadro armonizzato per prevenire e mitigare le interruzioni che possono influire sulla fornitura di servizi essenziali, con particolare attenzione ai rischi fisici, come disastri naturali, attacchi terroristici e cambiamenti climatici​;
  • Gestione delle interdipendenze: Le infrastrutture critiche europee sono sempre più interconnesse e interdipendenti. Un’interruzione in un settore può avere effetti a catena sugli altri, rendendo cruciale un approccio integrato alla prevenzione delle interruzioni di servizi essenziali;
  • Resistenza a minacce fisiche e ambientali: Questa direttiva si occupa di migliorare la capacità di resistenza alle minacce fisiche e ambientali, promuovendo misure di prevenzione e piani di ripristino volti a garantire che i soggetti critici possano continuare a operare anche in presenza di eventi catastrofici;

Ambito di applicazione:

  • La direttiva copre un ampio spettro di settori che includono infrastrutture fisiche critiche, come energia, trasporti, sanità, alimentazione, acqua potabile, e altri settori che forniscono servizi essenziali alla società.

Direttiva (UE) 2022/2555 (NIS2): Sicurezza dei Sistemi Informativi e di Rete

La Direttiva (UE) 2022/2555 (NIS2), recepita con il Decreto Legislativo n. 138, si concentra sulla protezione dei sistemi informativi e di rete da un’ampia gamma di minacce, adottando un approccio multirischio. Questo significa che la direttiva non si limita alla protezione contro le minacce informatiche, ma tiene conto anche di altre minacce fisiche e ambientali che possono influenzare la sicurezza e il funzionamento dei sistemi di rete.

Obiettivi principali:

  • Gestione integrata dei rischi: NIS2 impone che i soggetti critici adottino misure tecniche e organizzative non solo per prevenire e mitigare gli attacchi cyber, ma anche per proteggere i sistemi informativi da minacce fisiche come furti, incendi, allagamenti, interruzioni di corrente o di connettività;
  • Approccio multirischio: L’aspetto distintivo della direttiva NIS2 è la sua copertura completa delle minacce ai sistemi informatici e di rete, che includono sia attacchi cyber (come malware o ransomware) sia minacce non informatiche, come danni fisici alle strutture che ospitano le reti o interruzioni nei servizi infrastrutturali di supporto;
  • Notifica e gestione degli incidenti: Un punto centrale della direttiva è l’obbligo per i soggetti di segnalare prontamente gli incidenti, garantendo una risposta coordinata ed efficiente tra gli Stati membri per affrontare gli incidenti su scala nazionale e transfrontaliera​;

Ambito di applicazione:

  • NIS2 espande il suo raggio d’azione oltre i settori tradizionalmente associati alle infrastrutture critiche, includendo anche settori digitali avanzati, come i servizi cloud, la gestione dei domini DNS, i servizi fiduciari e i fornitori di servizi di comunicazione elettronica​;

Parallelismo tra le due direttive

  1. Obiettivo primario:
    • Direttiva 2557: Garantire la continuità operativa (Business Continuity) dei soggetti critici in presenza di minacce fisiche e naturali, come disastri o attacchi fisici. L’attenzione è sul mantenimento della fornitura di servizi essenziali anche durante crisi di grande portata​;
    • Direttiva NIS2: Aumentare la sicurezza dei sistemi informativi e di rete con un approccio multirischio, che considera sia le minacce informatiche sia quelle fisiche. L’obiettivo è rendere più sicuri i sistemi informatici da cui dipendono i servizi essenziali, proteggendoli non solo da attacchi cyber, ma anche da eventi fisici come furti o disastri naturali​;
  2. Tipi di rischi affrontati:
    • Direttiva 2557: Affronta principalmente minacce fisiche e ambientali che possono influire sull’infrastruttura fisica e la capacità di fornire servizi essenziali, come attacchi terroristici, sabotaggi o disastri naturali;
    • Direttiva NIS2: Affronta un ampio spettro di rischi multirischio per i sistemi informativi, includendo sia le minacce cyber che quelle non puramente informatiche (come furti, incendi, allagamenti o interruzioni di corrente), proteggendo così l’integrità e la disponibilità delle reti;
  3. Approccio e misure:
    • Direttiva 2557: Stabilisce requisiti per la resilienza operativa e la continuità fisica delle infrastrutture critiche, con misure di prevenzione e ripristino per affrontare minacce fisiche​;
    • Direttiva NIS2: Introduce un approccio multirischio alla cibersicurezza, con misure di gestione del rischio e piani di resilienza che proteggono i sistemi da un’ampia gamma di minacce, siano esse cyber o fisiche;
  4. Ambito di applicazione:
    • Direttiva 2557: Copre settori che includono principalmente infrastrutture fisiche critiche, come energia, trasporti, sanità e alimentazione, con un focus sulla continuità operativa (Allegato A)​;
    • Direttiva NIS2: Include un ampio spettro di settori digitali, come servizi cloud, DNS, e piattaforme digitali, e adotta un approccio integrato per proteggere i sistemi informatici da un’ampia gamma di rischi fisici e cyber (Allegati 1-2-3-4);

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2) si completano, affrontando la protezione delle infrastrutture critiche e dei servizi essenziali da due prospettive complementari. La 2557 è focalizzata sulla continuità operativa in presenza di minacce fisiche, garantendo che i soggetti critici possano continuare a operare anche in condizioni avverse. La NIS2, con il suo approccio multirischio, mira a proteggere i sistemi informativi e di rete da una gamma estesa di minacce, comprese quelle non strettamente cyber. Insieme, queste normative offrono una visione integrata per affrontare le sfide attuali della sicurezza e della resilienza in Europa.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Visita il sito web dell'autore

Articoli in evidenza

Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo?

Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006