I settori del trasporto e della logistica rivestono un ruolo fondamentale nel collegare le economie globali e, qualsiasi interruzione in questi ecosistemi può avere ripercussioni significative sia per le organizzazioni sia per intere economie.
Di fatto, il settore del trasporto e della tecnologia sta vivendo una rapida trasformazione, caratterizzata dalla crescente digitalizzazione e automazione grazie a tecnologie come l’intelligenza artificiale, il cloud, l’IoT e l’IIoT. Tuttavia, sebbene questi sviluppi offrano notevoli opportunità per il settore, l’accelerata digitalizzazione introduce anche un livello elevato di rischio informatico. Ad esempio, nel settore marittimo, il report del 2023 della società di ricerca inglese Thetius e dal titolo “Shifting Tides, Rising Ransoms and Critical Decisions” ha evidenziato un aumento del 467% nel numero di organizzazioni che hanno pagato riscatti dopo attacchi informatici.
Inoltre, l’incremento dell’interconnessione e della dipendenza dalle tecnologie digitali espone il settore del trasporto e della logistica a vulnerabilità informatiche sempre più gravi. Senza considerare che l’uso di infrastrutture IT e OT obsolete e la dipendenza da fornitori critici di nicchia complicano gli sforzi per rafforzare la cyber resilience.
Nel primo semestre del 2024, gli attacchi informatici contro il settore trasporti e logistica sono continuati, come documentato da un recente report della società di cybersecurity americana Wisdiam. Tra il 1° luglio 2023 e il 30 luglio 2024, sono stati segnalati pubblicamente 27 incidenti, confermando la persistenza di queste minacce. È doveroso evidenziare che, se da un lato alcuni di questi attacchi hanno causato esclusivamente la perdita di dati, dall’altro lato il furto di informazioni può avere diverse conseguenze. Quando vengono violate informazioni personali identificabili (PII), come quelle dei dipendenti, le persone a cui appartengono sono esposte a un rischio maggiore di frode, furto di identità e altri potenziali rischi, come la sicurezza personale. Contratti e proprietà intellettuale, che possono essere sensibili dal punto di vista commerciale, potrebbero finire nelle mani dei concorrenti. Le informazioni sulle risorse infrastrutturali possono rivelare dettagli sensibili, come ubicazioni riservate delle risorse, marche e modelli di articoli e condizioni, che nelle mani di avversari possono facilitarne lo sfruttamento.
Costruire la cyber resilience con la NIS2
La UE, per salvaguardare gli ecosistemi dai cyber attack in continuo aumento, ha definito il quadro normativo potenziato della NIS2 per aumentare la cyber resilience di entità essenziali e importanti in tutta l’UE.
La NIS2 pone enfasi sulle supply chain e sulle aziende di trasporto e logistica poiché le interruzioni dei loro sistemi digitali possono avere conseguenze di vasta portata nella nostra società moderna. Di fatto, la direttiva mira a elevare gli standard di cybersecurity in tutto il settore, armonizzando la supervisione e migliorando le pratiche di sicurezza. Le organizzazioni di questo settore devono valutare e controllare le minacce alla sicurezza informatica provenienti da fornitori e venditori esterni (i.e. componenti di sicurezza critici, fornitori di servizi IT) per garantire la sicurezza del sistema e la resilienza contro gli attacchi informatici.
Inoltre, è doveroso evidenziare che la NIS2 si integra con altre normative e linee guida europee sulla protezione dei dati e sulla privacy, tra cui: il GDPR (General Data Protection Regulation), il Regolamento DORA (Digital Operational Resilience Act), la Direttiva CER (Critical Entity Resilience), il CRA (Cyber Resilience Act)e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
NIS2: di cosa si tratta nel dettaglio
La Direttiva NIS2 mira a rafforzare il livello complessivo di cybersecurity negli Stati membri dell’Unione Europea, aumentando i requisiti di conformità per i settori considerati essenziali o importanti, attraverso:
- Un ampliamento del campo di applicazione a un maggior numero di settori e organizzazioni
- Un rafforzamento della sicurezza delle catene di fornitura
- Una semplificazione degli obblighi di segnalazione
- L’introduzione di misure di sorveglianza
- Requisiti di enforcement più severi
- L’inclusione della responsabilità (accountability) degli organi direttivi delle aziende
- L’armonizzazione e l’inasprimento delle sanzioni a livello comunitario
Quando entra in vigore la NIS2?
La Direttiva NIS2 è stata approvata dal Parlamento europeo il 16 gennaio 2023 e l’Italia ha incorporato le sue disposizioni nel diritto nazionale con il Ddl n. 137 del 1.10.2024, a cui seguiranno ,nei prossimi mesi, atti governativi per la completa l’implementazione.
Di seguito è riportato il cronogramma della fase iniziale di applicazione, come stabilito dall’art. 42 – Fase di prima applicazione.
Entro il 31 dicembre 2024 – Aziende e pubbliche amministrazioni dovranno effettuare una valutazione (assessment) per determinare se rientrano negli obblighi della Direttiva NIS 2, esaminando gli articoli 6 e 7, gli Allegati I, II, III e IV, e qualsiasi altro atto normativo futuro.
Tra il 1° gennaio e il 28 febbraio 2025 – I soggetti, pubblici o privati, che dall’assessment risulteranno soggetti agli obblighi del decreto, dovranno registrarsi volontariamente sulla piattaforma digitale fornita da ACN, inserendo le informazioni previste dalla normativa.
Entro il 17 gennaio 2025 – I fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, servizi di cloud computing, data center, reti di distribuzione dei contenuti, servizi gestiti, servizi di sicurezza gestiti, oltre a fornitori di mercati online, motori di ricerca online e piattaforme di social network, dovranno registrarsi sulla piattaforma.
Entro il 31 marzo 2025 – ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma.
Tra il 1° aprile 2025 e il 15 aprile 2025 – ACN, attraverso la piattaforma, comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
Entro il 15 aprile 2025 – I soggetti che riceveranno la notifica dovranno nominare un responsabile per l’adempimento degli obblighi previsti dal decreto.
Tra il 15 aprile e il 31 maggio 2025 – I soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.
Successivamente, le aziende e le pubbliche amministrazioni – che avranno ricevuto la comunicazione di inclusione da parte dell’ACN – dovranno procedere con gli ulteriori adempimenti previsti nel decreto e, precisamente:
A partire dal 1° gennaio 2026 – Dovranno adempiere all’obbligo di notifica degli incidenti.
Entro il 1° ottobre 2026, dovranno adempiere a: obblighi degli organi di amministrazione e direttivi; obblighi in materia di misure di sicurezza; obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.
Il Ddl. n. 137 del 1.10.2024, che recepisce la Direttiva NIS 2, prevede l’adozione di ulteriori provvedimenti normativi in futuro. Ad esempio, entro sei mesi dall’entrata in vigore del decreto saranno specificati i dettagli riguardanti gli obblighi per gli organi di amministrazione e direzione, nonché le disposizioni sulle misure di sicurezza cibernetica e la segnalazione degli incidenti. Inoltre, alcuni adempimenti particolari non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.
Federica Maria Rita Livelli
Estratto dell’articolo pubblicato completo sul numero di Novembre 2024 de Il Giornale della Logistica
RIPRODUZIONE RISERVATA © Copyright Il Giornale della Logistica