Anche l’Unione europea ha riscontrato un aumento degli attacchi informatici ad aziende, istituzioni e infrastrutture critiche negli ultimi anni. La direttiva NIS 2 (“Network and Information Security 2”) dell’UE ha l’obiettivo di aumentare i requisiti minimi legati alla sicurezza informatica in tutti i Paesi dell’Unione europea e rafforzare la solidità dei sistemi di rete e di informazione e la cooperazione internazionale. Si prevede che la maggior parte degli Stati membri dell’UE recepirà la direttiva NIS 2 nel proprio diritto nazionale nel corso di quest’anno.
La NIS 2 rappresenta l’evoluzione della prima direttiva NIS, entrata in vigore già nel 2016. La NIS 1 è stata la prima norma esaustiva dell’UE con lo scopo di incrementare la sicurezza informatica dei sistemi di rete e di informazione. La stesura della successiva direttiva NIS 2, che sostituì nella sua interezza la NIS 1, iniziò a dicembre 2020 per poi entrare in vigore a gennaio 2023.
Cosa stabilisce la direttiva NIS 2?
Come abbiamo già accennato, la direttiva NIS 2 ha lo scopo di rafforzare la sicurezza informatica in Europa e allargare i requisiti anche alle aziende che non gestiscono infrastrutture critiche. La direttiva definisce nel complesso 18 settori, suddivisi in due categorie:
-
Soggetti essenziali (“Essential Entities”):
le aziende con più di 250 collaboratori o con un fatturato superiore a 50 milioni di euro sono considerate particolarmente critiche se operano ad esempio nei settori energetico, dei trasporti, bancario, sanitario, idrico o della pubblica amministrazione. -
Soggetti importanti (“Important Entities”):
le aziende con più di 50 collaboratori o con un fatturato annuo superiore a 10 milioni di euro sono considerate importanti, ma meno critiche rispetto ai soggetti essenziali. Rientrano ad esempio in questa categoria servizi postali e di corriere, aziende chimiche, imprese alimentari e fornitori di servizi digitali. Anche le piccole imprese, ad esempio i fornitori di servizi legati ai nomi di dominio, possono essere classificate come “essenziali” se i loro servizi sono fondamentali per la sicurezza degli approvvigionamenti o per altre infrastrutture critiche.
In linea di massima, la direttiva NIS 2 richiede alle aziende di adottare una gestione dei rischi adeguata: devono essere in grado di far fronte agli incidenti di sicurezza e ripristinare le operazioni dopo i guasti. Prevede inoltre l’inclusione delle catene di approvvigionamento nella gestione dei rischi e un’integrazione di misure quali l’igiene informatica, la formazione sulla sicurezza informatica, il controllo degli accessi, l’autenticazione a più fattori e la comunicazione sicura.
Conseguenze della NIS 2 per i domini
La NIS 2 avrà alcune ripercussioni anche per Hostpoint e per i nostri clienti dei domini. In base all’articolo 28 della direttiva, i registry dei domini di primo livello (TLD) nell’area UE devono mantenere informazioni aggiornate e verificate sui titolari di domini. La raccolta di questi dati è responsabilità del relativo registry di dominio, ma anche dei registrar di dominio come Hostpoint.
In concreto, si tratta dei seguenti dati:
- Nome di dominio
- Data di registrazione
- Nome, indirizzo e-mail e numero di telefono del titolare del dominio
- Indirizzo e-mail e numero di telefono della persona di contatto se il dominio è gestito da un soggetto terzo
Quali sono i TLD interessati?
Tra i TLD dell’UE rientrano ad esempio .de, .at, .fr e .it. Sono tuttavia esenti da questa normativa le estensioni di dominio di Paesi al di fuori dell’UE, come il dominio di primo livello nazionale svizzero .ch e i TLD generici come .com, .org o .net.
L’UE richiede ai registry di garantire che i dati dei titolari dei domini siano sempre aggiornati. Questi a loro volta impongono requisiti ai registrar responsabili presso i quali è stato registrato il dominio. Anche Hostpoint, registrar di domini leader in Svizzera, è tenuto a rispettare questi requisiti. Fungiamo da interfaccia tra i registry dei singoli paesi e i titolari dei domini. Il nostro compito è raccogliere le informazioni richieste dai clienti e verificarle ulteriormente su richiesta di un registry.
Il processo diventa più chiaro con un esempio: una persona o un’azienda vuole registrare un nome di dominio con l’estensione .de presso Hostpoint. Quando si ordina un dominio, chiediamo di fornire alcuni dati di contatto che vengono verificati da Hostpoint e trattati con la massima riservatezza. È tuttavia possibile che tali dati, su richiesta del registry competente (nel caso dei domini .it si tratta di IIT CNR) debbano essere ulteriormente verificati.
Lo scopo della verifica dei dati del titolare del dominio è garantire che possa essere facilmente contattato in casi rilevanti per la sicurezza. Dovrebbe inoltre ridurre l’uso improprio dei domini (ad es. a fini di phishing) attraverso dati di registrazione errati o incompleti. In futuro la registrazione di domini di primo livello nazionale UE fornendo dati falsi diventerà più difficile.
Cosa cambia per gli utenti che effettuano una richiesta WHOIS?
Con la NIS 2 le persone giuridiche potranno di nuovo visualizzare una maggiore quantità di dati effettuando una richiesta WHOIS. I dati effettivamente pubblicati dipendono dalle regole del rispettivo registry. Nel caso degli utenti privati, i dati personali continueranno a rimanere protetti.
In quanto titolare di dominio, devo fare qualcosa?
Il possesso di un dominio di primo livello nazionale dell’area UE registrato presso Hostpoint non implica necessariamente la necessità di un’azione da parte Sua. In presenza di informazioni di contatto che devono subire un’ulteriore verifica, La contatteremo in modo proattivo e renderemo il processo il più semplice possibile.
Per maggiori informazioni sul processo di verifica, consulti il nostro Support Center. In caso di domande sui domini e sulla NIS 2 può contattare il nostro servizio di supporto tramite e-mail (domain@hostpoint.ch) o telefono (0844 04 04 04). Siamo a disposizione nella Sua lingua 7 giorni su 7, dalle 8 alle 18.