Nell’era digitale attuale, in cui le minacce informatiche si evolvono con una rapidità sorprendente, la cybersicurity è diventata un imperativo per ogni organizzazione. La direttiva NIS2 rappresenta un significativo passo avanti nella legislazione europea e ha l’obiettivo di rafforzare il livello di sicurezza informatica all’interno dell’Unione Europea.

La conformità a questa normativa non si limita a soddisfare un obbligo legale, ma si configura come una pietra miliare strategica per le organizzazioni che cercano di proteggere i loro asset digitali e fisici, rafforzare la fiducia dei consumatori e migliorare la loro competitività sul mercato.

La direttiva NIS2 offre numerosi benefici concreti per le aziende, promuovendo un ambiente digitale più sicuro e resiliente. Innanzitutto, adottare strategie di cyber resilience basate sui requisiti della NIS2 può contribuire a migliorare l’igiene digitale e la postura di sicurezza di un’organizzazione, con l’obiettivo di ridurre il rischio di incidenti informatici, rafforzare la resilienza informatica e favorire la continuità operativa.

Adottare pratiche di gestione del rischio e governance della sicurezza informatica, come richiesto dalla direttiva, può anche contribuire positivamente allo sviluppo di una cultura interna orientata alla cybersecurity e alla cyber resilience

La diffusione di una cultura aziendale della cybersecurity può aumentare la consapevolezza e la preparazione del personale, potenzialmente rendendo l’azienda più robusta di fronte alle minacce emergenti.

Che cos’è la direttiva NIS2 e quando entra in vigore

l Decreto Legislativo n. 138 che recepisce la direttiva (UE) 2022/2555, meglio nota come Direttiva NIS2, è stato pubblicato in Gazzetta Ufficiale il primo ottobre 2024. Secondo il normale iter, il decreto legislativo entra in vigore dopo 15 giorni dalla pubblicazione, pertanto, il nuovo decreto NIS2 entra ufficialmente in vigore il 16 ottobre 2024 e rappresenta un aggiornamento cruciale nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni.

Alcune delle principali differenze tra la vecchia e la nuova direttiva riguardano disposizioni più precise sul processo di reporting degli incidenti, sul contenuto dei report e sulla tempistica. A livello europeo, NIS2 rafforza la sicurezza informatica delle principali tecnologie ICT. Gli Stati membri dovranno effettuare valutazioni coordinate dei rischi delle supply chain critiche in collaborazione con la Commissione ed ENISA, l’Agenzia dell’Unione europea per la cybersicurezza.

Quali sono i tre pilastri della NIS?

I tre pilastri fondamentali della Direttiva NIS sono:

• gestione del rischio,
• continuità operativa
• cooperazione tra Stati membri.

Ogni azienda soggetta deve sviluppare politiche per identificare e gestire i rischi informatici, attuare piani di emergenza per garantire la continuità del servizio in caso di incidenti e collaborare con le autorità nazionali e internazionali per condividere informazioni su minacce e incidenti.

Cosa prevede la direttiva NIS2?

La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.

1. Gestione del rischio

Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.

1. Responsabilità aziendale

NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell’azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l’esclusione temporanea dalle posizioni dirigenziali.

1. Obblighi di comunicazione

I soggetti essenziali e cruciali devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un “early warning” entro 24 ore.

1. Continuità del business

Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.

Quali aziende sono soggette alla NIS2?

La Direttiva NIS2 si rivolge a tutte le aziende pubbliche e private che forniscono servizi critici o che operano in settori di interesse strategico per l’economia e la sicurezza dell’Unione Europea.

Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.

1. Settori ad Alta Criticità (Allegato 1)

• Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
• Trasporti: Strada, ferrovia, aria e acqua
• Bancario: Banche, borse, istituzioni finanziarie
• Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
• Acqua: Acque reflue e acqua potabile
• Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
• Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
• Pubblica amministrazione: Entità governative centrali e regionali
• Spazio: Operatori di infrastrutture terrestri

 

1. Altri Settori Critici (Allegato 2)

• Posta e corrieri: Spedizione di posta e pacchi
• Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
• Prodotti chimici: Produzione e distribuzione di prodotti chimici
• Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
• Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
• Servizi digitali: Motori di ricerca, mercati online e reti sociali
• Ricerca: Organizzazioni di ricerca

Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:

• Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
• Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.

Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni.

Fa eccezione la pubblica amministrazione che svolge attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresa la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.

Cosa fare per adeguarsi alla NIS2?

La Direttiva NIS2 introduce requisiti rigorosi per assicurare la protezione delle infrastrutture critiche e la sicurezza informatica aziendale. Ignorare queste disposizioni può esporre la tua azienda a conseguenze significative, incluse pesanti sanzioni finanziarie:

• Fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali.
• Fino a 7 milioni di euro o l’1,4% del fatturato annuo mondiale per i soggetti importanti.

Per prepararsi alla NIS 2, le aziende devono seguire alcuni semplici passi fondamentali:

1. Valutare la propria situazione. E’ necessario identificare i settori in cui opera l’azienda, i dati sensibili che gestisce e i potenziali rischi a cui è soggetta.
2. Effettuare una valutazione del rischio. Un’analisi approfondita delle minaccee delle vulnerabilità informatiche a cui l’azienda è esposta è fondamentale per definire le misure di sicurezza adeguate.
3. Implementare le misure di sicurezza. E’ importante adottare le misure tecniche e organizzative necessarie per mitigare i rischi individuati, basandosi su standard e best practice del settore.
4. Testare e monitorare. Le misure di sicurezza implementate devono essere regolarmente testate per verificarne l’efficacia e monitorate costantemente per adattarle all’evolversi delle minacce.

Oltre a questi passi fondamentali, ecco alcuni suggerimenti extra per le aziende:

1. Nominare un responsabile per la sicurezza informatica. Questa figura avrà la responsabilità di supervisionare l’implementazione e il mantenimento delle misure di sicurezza.
2. Formare il personale sulla sicurezza informatica. Tutti i dipendenti dovrebbero essere consapevoli delle minacce informatiche e sapere come proteggere i dati e le infrastrutture aziendali.
3. Utilizzare soluzioni di sicurezza affidabili. Investire in soluzioni di sicurezza informatica di ultima generazione per proteggere efficacemente le infrastrutture e i dati aziendali dalle minacce informatiche in continua evoluzione.

Per una consulenza più specifica o per un controllo di conformità della tua azienda puoi contattarci: i nostri esperti in privacy e GDPR sono a tua disposizione per eseguire una Gap Analysis per la tua azienda. I nostri esperti identificheranno i requisiti già soddisfatti e i passi ancora da compiere per raggiungere essere compliance alla NIS2.