NIS 2 e Incidenti gravi: Lezioni da un caso reale

Con l'adozione della Direttiva NIS 2 e la sua integrazione nelle normative nazionali, le imprese si trovano ora a operare all'interno di un contesto normativo complesso, caratterizzato da stringenti requisiti di segnalazione degli incidenti e collaborazione tra gli Stati membri.

La Direttiva NIS 2 rafforza la resilienza informatica dell'UE richiedendo notifiche rapide degli incidenti e adozione di misure preventive. 

Gli incidenti significativi devono essere notificati entro 24 ore alle autorità competenti, con un rapporto completo entro 72 ore. Le organizzazioni devono comunicare con trasparenza con il pubblico per minimizzare i disagi.  

Per la resilienza, la direttiva impone controlli di sicurezza robusti, test regolari e monitoraggio continuo per rilevare anomalie. Le procedure di escalation devono identificare i responsabili, garantire una risposta coordinata e assicurare la continuità operativa attraverso piani specifici.  

La rete CSIRT, composta da CSIRT nominati dagli Stati membri dell'UE e da CERT-EU, viene rafforzata dalla direttiva NIS2 per promuove fiducia e cooperazione tra gli Stati membri e supportare la risposta agli incidenti, lo scambio di informazioni, e la divulgazione coordinata di vulnerabilità, con il supporto di ENISA e CERT-EU.

Questo approccio integrato mira a migliorare la gestione e la prevenzione degli incidenti, promuovendo una cooperazione efficace tra team interni e autorità esterne.

L’ultimo Operational Summary pubblicato nel mese di ottobre 2024 dalla Agenzia per la Cybersicurezza Nazionale riporta che sono stati individuati 150 eventi cyber, in aumento del 18% rispetto al mese precedente, con un impatto su 147 soggetti nazionali: 107 appartenenti alla constituency, i restanti hanno riguardato cittadini e società private operanti in settori non critici. Dei 150 eventi cyber 73 sono stati classificati quali incidenti, in aumento del 128% rispetto a settembre.

L’incremento degli incidenti riportati dall’ACN  sottolinea l'urgenza di adottare un approccio strutturato e conforme alle disposizioni della NIS 2 la cui applicazione può essere osservata analizzando un caso reale, come l'attacco HTTP/2 Rapid Reset, per evidenziare come una gestione strutturata e conforme alla NIS 2 dell’incidente avrebbe potuto mitigare più efficacemente l'impatto sulle organizzazioni colpite e sul più ampio ecosistema digitale coinvolto.

L’attacco DDoS (Distributed Denial of Service) che ha sfruttato una vulnerabilità nel protocollo HTTP/2, nota come Rapid Reset, è stato rilevato per la prima volta in natura nell'agosto 2023 e la sua portata è aumentata nei mesi successivi. Questo attacco, documentato come CVE-2023-44487 e riportato dal bollettino ACN BL01/231026/CSIRT-ITA, ha causato significative interruzioni nei servizi cloud di provider leader come Google Cloud e AWS.

L’adozione delle misure previste dalla direttiva NIS 2 avrebbe migliorato significativamente la gestione e la prevenzione dell’attacco HTTP/2 Rapid Reset. Tre aspetti chiave evidenziano il potenziale impatto positivo:

1. Monitoraggio delle vulnerabilità e aggiornamenti tempestivi: La NIS 2 impone alle organizzazioni critiche di monitorare continuamente le vulnerabilità e applicare patch di sicurezza rapidamente. Se la vulnerabilità HTTP/2 fosse stata identificata e risolta preventivamente, l’attacco avrebbe avuto un impatto molto più contenuto.

2. Comunicazione efficace tra le parti coinvolte: Con la direttiva, è obbligatorio notificare gli incidenti significativi entro 24 ore. Ciò permette alle autorità e agli stakeholder di prepararsi e rispondere in modo coordinato. Una comunicazione chiara tra provider cloud, regolatori e clienti avrebbe potuto limitare l’esposizione e migliorare la risposta globale.

3. Piani di continuità operativa e simulazioni periodiche: La NIS 2 richiede piani ben definiti e test regolari per garantire resilienza. Simulazioni di attacchi DDoS avrebbero potuto evidenziare criticità operative, aumentando la capacità dei provider di affrontare eventi su larga scala.

L’attacco HTTP/2 Rapid Reset ha evidenziato l’importanza di una cooperazione strutturata per garantire resilienza e sicurezza informatica. La direttiva NIS 2 promuove un approccio collaborativo che integra enti regolatori, aziende e fornitori di servizi ICT, assicurando una risposta coordinata a livello europeo.

Cooperazione e condivisione: La rete CSIRT, prevista dalla NIS 2, facilita la condivisione di informazioni critiche tra pubblico e privato, migliorando l’analisi delle minacce e la prevenzione di attacchi futuri. Report centralizzati e database condivisi permettono di anticipare i rischi. Inoltre, i fornitori di servizi cloud come Google e AWS devono collaborare strettamente con clienti e autorità per garantire misure di sicurezza adeguate.

Best practice tecnologiche e formative: L’attacco Rapid Reset ha dimostrato il valore di strumenti come soluzioni di mitigazione DDoS (Cloudflare, AWS Shield), piattaforme SIEM per il monitoraggio continuo e processi di patch management automatizzati. Parallelamente, la formazione continua del personale e le simulazioni periodiche sono cruciali per rafforzare la capacità di risposta.

Lezioni chiave: La resilienza digitale richiede uno sforzo congiunto. Un sistema coordinato che unisca tecnologia avanzata, processi solidi e cooperazione tra pubblico e privato, come delineato dalla NIS 2, è essenziale per affrontare le sfide del panorama cyber in evoluzione. Questo modello integrato pone le basi per una sicurezza collettiva a livello europeo.

Daniele Baudone