Per rispondere alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici, la Commissione Europea ha presentato la proposta di sostituzione della Direttiva NIS (Network and Information Security Directive) del 2016 con la NIS2. La Direttiva NIS2 (Network and Information Security 2) ha l’obiettivo di rafforzare la cybersicurezza in tutta l’Unione Europea, ampliando l’ambito di applicazione e introducendo obblighi più stringenti per le aziende.
Principali novità della direttiva NIS2
Ambito di applicazione esteso
La direttiva non si applica più solo a operatori di servizi essenziali e fornitori di servizi digitali, ma include anche un maggior numero di settori, come:
- Energia
- Trasporti
- Sanità
- Acqua potabile e reflua
- Settore bancario e finanziario
- Infrastrutture digitali e cloud
- Pubblica amministrazione
- Produzione di beni critici (farmaceutico, elettronica, chimico, ecc..)
CLASSIFICAZIONE DELLE AZIENDE
Le imprese vengono suddivise in “essenziali” e “importanti”, con requisiti di sicurezza e controllo più stringenti per le prime.
Soggetti essenziali (EE)
Soglia dimensionale: varia a seconda del settore, ma in genere 250 dipendenti, ricavi annui di 50 milioni di euro o bilancio di 43 milioni di euro.
- Energia
- Trasporti
- Finanza
- Pubblica Amministrazione
- Salute
- Spazio
- Approvigionamento idrico (acqua potabile e acque reflue)
Soggetti importanti (EE)
Soglia dimensionale: varia a seconda del settore, ma generalmente 50 dipendenti, ricavi annui di 10 milioni di euro o bilancio di 10 milioni di euro.
- Servizi postali
- Gestione dei rifiuti
- Prodotti chimici
- Ricerca
- Alimentari
- Industria Manifatturiera
- Provider digitali (ad es. social network, motori di ricerca, marketplace online)
Requisiti principali della Direttiva NIS2
La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.
- Gestione del rischio
Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.
- Responsabilità aziendale
NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell’azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l’esclusione temporanea dalle posizioni dirigenziali.
- Obblighi di comunicazione
I soggetti essenziali e cruciali devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un “early warning” entro 24 ore.
- Continuità del business
Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.
Miglioramento della gestione del rischio
Obbligo di adottare misure tecniche e organizzative per la gestione dei rischi informatici (es. crittografia, autenticazione forte, piani di risposta agli incidenti).
Obbligo di notifica degli incidenti
Le aziende devono segnalare entro 24 ore un incidente di sicurezza significativo e fornire un rapporto dettagliato entro 72 ore.
Maggiore vigilanza e sanzioni più severe
Le autorità nazionali avranno più poteri di supervisione e controllo, con multe fino a 10 milioni di euro o 2% del fatturato annuo in caso di mancato rispetto della normativa.
Adempimenti per le aziende
- Valutare se si rientra nei settori coinvolti e nella classificazione “essenziale” o “importante”.
- Implementare misure di sicurezza adeguate (firewall, backup, gestione accessi, formazione del personale).
- Redigere un piano di gestione del rischio informatico e aggiornare periodicamente le misure di protezione.
- Predisporre un sistema di monitoraggio e risposta agli incidenti per rispettare i tempi di notifica.
- Garantire la conformità legale e collaborare con le autorità competenti.
Scadenza per l’adeguamento
Gli Stati membri dell’UE hanno recepito la direttiva entro il 17 ottobre 2024; già da tale data è decorso il termine per l’adeguamento delle aziende.
Le certificazioni ISO/IEC e ISO 22301 contribuiscono alla conformità rispetto a NIS2
Un buon modo per garantire che la tua azienda soddisfi i requisiti NIS2 è quello di ottenere la certificazione ISO/IEC 27001 (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l’approccio completo all’implementazione della NIS2.
Se vuoi maggiori informazioni o un aiuto compila il form in basso
Ti contatteremo telefonicamente il prima possibile
