Direttiva NIS2: per chi è obbligatoria e quali sono i requisiti per le aziende

Pubblicato in Sicurezza informatica.

Direttiva NIS2
Condividi

Il 28 novembre 2022 il Parlamento Europeo ha approvato la direttiva NIS2, Network and Information Systems Directive 2, successivamente pubblicata nella Gazzetta Ufficiale il 27 dicembre dello stesso anno. Gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per adeguarsi alle nuove disposizioni.

La NIS 2, ufficialmente denominata “Direttiva UE 2022/2555”, ha l’obiettivo di eliminare le disparità tra i vari sistemi giuridici nazionali degli stati membri dell’Unione Europea , rafforzare gli obblighi di sicurezza informatica, ampliare il numero di settori e attori coinvolti e promuovere una maggiore cooperazione tra gli Stati membri. Questo approccio mira a garantire una maggiore uniformità nell’applicazione delle misure di sicurezza informatica a livello europeo.

Perché NIS1 Non È Più Sufficiente

L’aumento degli attacchi informatici ha evidenziato i limiti della precedente direttiva NIS1. La NIS2 è stata sviluppata per rispondere a quattro criticità principali:

  • Resilienza informatica insufficiente delle imprese;
  • Mancanza di coordinamento nelle risposte alle crisi tra Stati e imprese;
  • Comprensione limitata delle minacce e delle sfide da parte delle aziende;
  • Resilienza disomogenea tra gli Stati membri.

Questi problemi hanno reso evidente la necessità di una revisione, e con NIS2, l’Unione Europea punta ad armonizzare e standardizzare gli obblighi di sicurezza.

Le novità della direttiva NIS2

La nuova direttiva NIS 2 non è una semplice revisione della precedente, ma presenta importanti differenze che hanno lo scopo di ottenere un più alto livello di armonizzazione degli standard di sicurezza e degli obblighi di monitoraggio nell’Unione Europea.
Innanzitutto, l’adozione volontaria della direttiva NIS originale viene abolita: NIS 2 è obbligatoria per determinate entità e l’UE prevede sanzioni finanziarie, simile a quelle previste dal GDPR, per chi non si conforma entro i termini stabiliti. I requisiti della NIS 2 includono controlli tecnici più rigorosi per garantire la sicurezza delle operazioni ed estendono lo scopo della direttiva oltre l’ambiente IT interno delle aziende.

Tra i maggiori cambiamenti notiamo la sostituzione del complesso processo di identificazione nelle mani degli Stati Membri (Art 5 NIS 1) attraverso un sistema di auto identificazione basato su settori e dimensioni delle entità pubblica o private.
In questo senso, l’articolo 2 della nuova direttiva specifica l’applicazione delle nuove regole a tutte le entità che rientrano nella definizione di media impresa, o che superano i massimali per le medie imprese e che forniscono i loro servizi o svolgono le loro attività all’interno dell’Unione. Inoltre, NIS 2 individua alcune tipologie di entità per cui la dimensione non è rilevante, rendendole comunque soggette alla direttiva. Nel paragrafo successivo specifichiamo tutte le entità soggette a NIS 2.

Un’altra novità è la sostituzione delle categorie di NIS 1, ossia operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP), con le nuove categorie di “entità essenziali” e “entità importanti”.

Inoltre, la NIS richiede a determinati soggetti non stabiliti nell’Unione Europea, ma che offrono servizi al suo interno, di designare un rappresentante nell’Unione. Questo è il caso dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello (TLD), fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social networking che non sono stabiliti nell’Unione.

Le entità soggette alla NIS 2 dovranno fornire informazioni specifiche alle autorità competenti riguardo l’elenco degli Stati membri di soggetti essenziali e importanti, nonché la registrazione presso l’Agenzia dell’Unione europea per la cybersicurezza (ENISA). Gli Stati membri possono adottare processi nazionali che richiedono ai soggetti di registrarsi al fine di stabilire e aggiornare l’elenco.

NIS2: per quali settori aziendali è obbligatoria

NIS 2 si rivolge a entità essenziali e entità importanti. Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.

Settori ad Alta Criticità (Allegato 1)

  • Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
  • Trasporti: Strada, ferrovia, aria e acqua
  • Bancario: Banche, borse, istituzioni finanziarie
  • Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
  • Acqua: Acque reflue e acqua potabile
  • Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
  • Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
  • Pubblica amministrazione: Entità governative centrali e regionali
  • Spazio: Operatori di infrastrutture terrestri

Altri Settori Critici (Allegato 2)

  • Posta e corrieri: Spedizione di posta e pacchi
  • Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
  • Prodotti chimici: Produzione e distribuzione di prodotti chimici
  • Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
  • Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
  • Servizi digitali: Motori di ricerca, mercati online e reti sociali
  • Ricerca: Organizzazioni di ricerca

Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti.
La distinzione tra entità essenziali e importanti è la seguente:

  • Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
  • Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.

Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni. Fa eccezione la pubblica amministrazione che svolge attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresa la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.

Requisiti e obblighi per le aziende

La Direttiva NIS 2 introduce nuovi requisiti e obblighi per le organizzazioni in quattro aree principali.

  1. Gestione del Rischio: le organizzazioni devono adottare misure per minimizzare i rischi informatici. Queste misure includono, ad esempio: la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una migliore sicurezza di rete, un controllo degli accessi più efficace e la crittografia.
  2. Responsabilità Aziendale: NIS 2 richiede che la direzione aziendale supervisioni, approvi e sia formata e responsabile delle misure di cybersicurezza e affronti i rischi informatici. Le violazioni possono comportare sanzioni per la direzione e un potenziale divieto temporaneo di ricoprire ruoli dirigenziali.
  3. Obblighi di Segnalazione: Le entità essenziali e importanti devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura del loro servizio o sui destinatari. La NIS2 stabilisce scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente. La notifica ufficiale, inoltre, deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
  4. Business Continuity: le aziende devono pianificare come intendono garantire la continuità aziendale in caso di gravi incidenti informatici. Questo piano dovrebbe includere considerazioni sul recupero dei sistemi, procedure di emergenza e la creazione di un team di risposta alle crisi.

Le Misure Minime di NIS2

Oltre alle quattro aree generali di requisiti, la NIS 2 impone alle entità essenziali e importanti di implementare misure di sicurezza di base per affrontare specifiche forme di minacce informatiche probabili. Queste includono:

  • Definire e includere requisiti di sicurezza per i prodotti e servizi ICT, compresi certificazioni di cybersicurezza, cifratura e utilizzo di prodotti open source.
  • Promuovere e facilitare la divulgazione coordinata delle vulnerabilità.
  • Supportare la disponibilità, l’integrità e la riservatezza del nucleo pubblico della rete internet aperta, compresa la cybersicurezza dei cavi di comunicazione sottomarini.
  • Promuovere lo sviluppo e l’integrazione di tecnologie avanzate per implementare misure di avanguardia nella gestione dei rischi di cybersicurezza.
  • Promuovere attività di formazione, sensibilizzazione, sviluppo di competenze e iniziative di ricerca e sviluppo in materia di cybersicurezza, inclusi, ad esempio, orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica destinati ai cittadini, ai portatori di interessi e ai soggetti.
  • Sostenere istituti accademici e di ricerca nello sviluppo e nella diffusione di strumenti di cybersicurezza e infrastrutture di rete sicure.
  • Creare procedure e strumenti adeguati per facilitare la condivisione volontaria di informazioni sulla cybersicurezza tra le entità, nel rispetto delle normative dell’Unione.
  • Rafforzare la cyber resilienza e l’igiene informatica delle PMI, in particolare quelle escluse dall’ambito di applicazione della direttiva, fornendo orientamenti e supporto facilmente accessibili.
  • Promuovere una protezione informatica attiva per affrontare le minacce in tempo reale.

Per approfondire, qui di seguito trovi il Documento integrale della direttiva NIS 2 in lingua italiana.

Scopri come TechLab Informatica può supportarti nella sicurezza informatica.

TechLab: Il Partner per la Tua Sicurezza Informatica Aziendale

La direttiva NIS 2 rappresenta un passo significativo verso una maggiore sicurezza informatica e una resilienza condivisa a livello europeo. Quando si tratta di regolamenti e direttive, molte aziende considerano la conformità come l’obiettivo finale: qualcosa a cui devono adeguarsi soddisfacendo i requisiti minimi. Tuttavia, questa può essere vista invece come il punto di partenza per raggiungere livelli più elevati di sicurezza informatica.
Si tratta quindi di abbracciare una cultura della sicurezza che coinvolga tutti gli aspetti dell’organizzazione, dalle tecnologie adottate alla formazione continua del personale.

Contatta Tech Lab e definisci il tuo piano di sicurezza informatica aziendale oggi stesso!


Condividi

Teleassistenza da remoto

Per iniziare una sessione di teleassistenza fai clic sull'icona blu per computer Windows oppure sull'icona grigia per computer Macintosh, poi segui le istruzioni che ti verranno fornite dall'operatore.

Windows:

Macintosh:

Azienda
Contatti
Servizi

Progetto di comunicazione Dibiproject.com

Privacy policy | Cookie policy