Gli obblighi della Nis2 per il settore dei trasporti e l’impatto sulla supply chain
La direttiva, che punta a migliorare il quadro europeo in tema di cyber security, entrerà in vigore anche in Italia coinvolgendo anche il settore dei trasporti
Contributo a firma di Katia Redini*
*Ad Ing. Redini Consulting
A fine dicembre 2022, è stata pubblicata sulla Gazzetta Ufficiale dell’Ue la Direttiva Nis2 che abroga e sostituisce la Nis (Network and Information Security) del 2016, proprio nell’ottica di migliorare il quadro europeo in tema di cyber security imponendo l’applicazione di una serie di misure di sicurezza informatica e attività di gestione del rischio, allargando inoltre il campo di applicazione della stessa.
Della Direttiva Nis2 si sente parlare da tempo e tra meno di un mese, esattamente il 17 ottobre 2024 , entrerà in vigore anche in Italia coinvolgendo pesantemente i settori coinvolti, tra i quali i Trasporti, secondo la classificazione indicata.
Nell’allegato I (Settori di elevata criticità), troviamo infatti che “le società di trasporto di passeggeri e merci per vie d’acqua interne, marittime e costiere, escluse le singole imbarcazioni gestite da tali società”, “gli enti di gestione dei porti, compresi i loro impianti portuali, e gli enti che gestiscono opere e attrezzature contenute nei porti” e “gli operatori di servizi di traffico navale (Vts)” rientrano nell’ambito di applicazione della direttiva Nis 2.
Specificando che se ne parla da tempo cerco di evitare di ripetere informazioni che sono note a tutte le Società che obbligatoriamente devono adeguarsi: cosa prevede, quali adeguamenti, quali sanzioni per chi non risulterà conforme, etc.
Giusto in estrema sintesi, gli obiettivi della Nis2 sono di aumentare cyber security (compresa la sicurezza Ot, attenzione!), semplificare la segnalazione e creare regole e sanzioni coerenti in tutta l’Ue.
Ampliando il suo ambito, la Nis2 richiede a più aziende e settori di adottare misure con l’obiettivo finale di migliorare la sicurezza informatica a lungo termine. Introducendo regole più severe, la Nis2 ha un impatto su una gamma più ampia di settori. Le entità vengono classificate come essenziali o importanti e la Direttiva delinea i requisiti di sicurezza nonché un processo per la segnalazione degli incidenti.
La Nis2 rafforza i requisiti per la valutazione del rischio informatico da parte di importanti realtà essenziali nei settori che rientrano nel suo ambito di applicazione e copre i rischi derivanti dalle catene di fornitura e i rapporti con i fornitori.
Ed è su quest’ultimo punto che a mio avviso occorre mettere l’accento. Il mondo della logistica e dei trasporti per sua specificità è un tessuto interconnesso di tanti player che nell’intera filiera giocano ciascuno un ruolo fondamentale. La supply chain è un obiettivo strategico per gli hacker che vogliono infiltrarsi all’interno di un’impresa.
Nell’operatività legata all’import/export di merci ad esempio, il flusso dei dati scambiati coinvolge terminal portuale, agenzie marittime, spedizionieri, organi di controllo (GdF, Dogana, Capitaneria), compagnie di navigazione, società di trasporto su gomma/rotaia, società di servizi portuali, etc. in uno scenario dominato dallo scambio telematico.
Ciascuno di questi attori utilizza a sua volta delle forniture provenienti da terze parti con prevalenza di componente digitale, considerando altresì quanto stia aumentando l’automazione nel contesto dei trasporti (di conseguenza l’Ot– Operational Technology), sia a terra che a bordo (gru, accessi automatizzati, sistemi di propulsione, …).
La Direttiva chiede che vi sia “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi” ovvero “i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.”
Questo requisito evidenzia la portata dell’impatto della Direttiva Nis2.
L’attenzione è posta sull’erogazione dei servizi per i quali le Società si ritrovano in perimetro e, di conseguenza, su qualsiasi fornitore che potenzialmente potrebbe causare un malfunzionamento, un disservizio o un’interruzione per il soggetto essenziale o importante.
Ebbene, se fino ad ora i soggetti che rientrano direttamente nel perimetro si sono più o meno attivati, così non è per le aziende più piccole che non incorreranno nelle sanzioni previste.
Va notato tuttavia che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali; quale sarà quindi l’impatto sul business quando verrà chiesto di dimostrare quali iniziative sono state avviate per aumentare la postura di difesa cibernetica?
ISCRIVITI ALLA NEWSLETTER GRATUITA DI SUPPLY CHAIN ITALY