La Direttiva NIS2 è entrata in vigore: non farti cogliere impreparato

Compliance - Data Protection

La Direttiva NIS2 unisce gli stati membri dell’UE nella ricerca e nell’implementazione di alti standard di sicurezza informatica. Siamo pronti?

Direttiva NIS2: sei preparato?

Come ormai abbiamo appurato e come impariamo ogni giorno, più i servizi digitali diventano parte della società e delle nostre infrastrutture, più sono esposti a minacce. Ed è per questo che, nel 2016, è entrata in gioco la Direttiva NIS, o Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi, al fine di garantire un alto livello di sicurezza in tutta l’Unione Europea.

La tua azienda è al passo con tutte le regolamentazioni italiane ed europee relative alla sicurezza informatica? Mai sottovalutare l’importanza di questi obblighi, perché costruire un futuro digitale sicuro e responsabile dipende dal contributo di ognuno di noi.

La Direttiva NIS si fonda su alcuni principi cardine:

  • Obblighi di segnalazione: I fornitori di servizi essenziali e digitali devono segnalare incidenti di sicurezza significativi, contribuendo così a una risposta coordinata e tempestiva alle minacce.
  • Migliorare la sicurezza informatica: La NIS richiede agli Stati membri di adottare misure nazionali per garantire un elevato livello di sicurezza delle reti e dei sistemi informatici, aiutando a prevenire e rispondere a incidenti, attacchi e malfunzionamenti.
  • Cooperazione europea: La direttiva promuove la cooperazione tra gli stati membri con un network europeo di cybersecurity, facilitando scambi di informazioni e best practice.

Da NIS a Direttiva NIS2

Nel 2022 si è evoluta nella Direttiva NIS2, per affrontare le nuove sfide emergenti nel panorama della cybersecurity, come l’aumento delle minacce e la digitalizzazione accelerata. Questa revisione amplia il campo di applicazione della direttiva, includendo più settori e tipi di entità, con l’obiettivo di rafforzare ulteriormente la sicurezza di sistemi e reti nell’UE. È ufficialmente divenuta obbligatoria il 18 ottobre di quest’anno.

Tre tipologie di target

La Direttiva NIS2 ha ampliato e migliorato la panoramica dei target a cui si applica, ora divisa in tre categorie principali di entità: OES ovvero fornitori di servizi essenziali, FSD che sta per fornitori di servizi digitali, e i fornitori di servizi critici.

La categoria degli OES è stata notevolmente ampliata con l’avvento della NIS2, quanto meno per le grandi imprese. Alcune delle categorie comprendono le medie imprese, mentre le piccole e micro imprese sono per ora ritenute fuori ambito dalla portata della NIS2. L’elenco OES ora comprende, infatti:

  • Energia: Produzione, trasmissione e distribuzione di energia elettrica, gas e combustibili.
  • Trasporti: Ferrovie, navigazione marittima, trasporto aereo e gestione del traffico.
  • Banche e Finanza: Istituzioni finanziarie, mercati finanziari e infrastrutture di pagamento.
  • Sanità: Fornitura di assistenza sanitaria, gestione di strutture sanitarie e infrastrutture correlate.
  • Acqua potabile e gestione delle acque reflue: Fornitura e trattamento dell’acqua.
  • Digitale: Infrastrutture digitali essenziali, inclusi i data center, i fornitori di servizi cloud e la gestione del traffico Internet.
  • Spazio: Infrastrutture satellitari e sistemi correlati.
  • Amministrazione pubblica: Servizi pubblici essenziali forniti dalle amministrazioni pubbliche.

Anche la categoria degli FSD è stata ampliata:

  • Motori di ricerca: Google, Bing, ecc.
  • Social network: Facebook, Twitter, Instagram, ecc.
  • Marketplace online: Amazon, eBay, ecc.
  • Servizi di cloud computing: Amazon Web Services, Microsoft Azure, Google Cloud, ecc.
  • Gestione delle infrastrutture di rete: Fornitori di servizi di rete.

La categoria dei servizi critici include le imprese che lavorano nella produzione, trasformazione e distribuzione di alimenti, produttori e distributori nell’industria alimentare e chimica, così come la produzione e la distribuzione di elettrodomestici, macchinari, mezzi di trasporto, eccetera, oltre ad altre categorie di amministrazione pubblica.

Adempiere agli obblighi della Direttiva NIS2

Tutti gli stati membri dell’UE hanno la responsabilità di incorporare le normative della NIS2 nella legislazione nazionale. Alcuni tra i passaggi di adeguamento richiesti alle aziende erano già previsti dalla normativa precedente e da altre regolamentazioni, in particolar modo dalla certificazione ISO 27001, ma, in breve, questi sono i principi chiave da rispettare:

  1. Rivedere e aggiornare le politiche di analisi dei rischi e di sicurezza dei sistemi informatici
  2. Gestione dei ruoli, della sicurezza e degli incidenti
  3. Processi per la continuità operative e backup in caso di eventi avversi
  4. Sicurezza della catena di approvvigionamento, compresi i rapport dell’azienda con fornitori diretti e fornitori di servizi
  5. Sicurezza di acquisizione, mantenimento e sviluppo dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
  6. Strategie e procedure ad hoc per monitorare e valutare l’efficacia delle misure di sicurezza informatica e della gestione dei rischi
  7. Adottare best practice relative alla sicurezza informatica e stabilire un’adeguata formazione in merito
  8. Policy e procedure su crittografia e sul suo utilizzo, anche in caso di anonimizzazione e pseudonimizzazione
  9.  Gestione e sicurezza delle risorse umane, con l’adozione di strategie e politiche di controllo sull’accesso e la gestione dei dati
  10. Uso di sistemi di sicurezza come l’autenticazione a due fattori o autenticazione continua, comunicazioni vocali, video e testuali protette e sistemi di comunicazione protetti di emergenza
Vuoi avere una consulenza gratuita per la tua azienda, per capire se sei in regola con la compliance richiesta?

Rischi per il mancato adempimento alla Direttiva NIS2

Com’è giusto che sia, qualsiasi mancanza nell’adeguamento alla Direttiva NIS può portare a “sanzioni effettive, proporzionate e dissuasive rispetto alla gravità  della  violazione  degli obblighi derivanti dalla direttiva”, citando testualmente il decreto legislativo 138/2024.

A differenza della prima versione, che offriva solo linee guida generali lasciando più libertà di stabilire sanzioni e pene ai singoli stati, la NIS 2 introduce sanzioni ancora più pesanti per la mancata conformità, con sanzioni fino a 20 milioni di euro (o il 4% del fatturato globale). In precedenza, infatti, il massimo era di 10 milioni di euro (o il 2% del fatturato) per i servizi essenziali e 7 milioni di euro (o l’1,4% del fatturato) per gli altri target. Inoltre, la NIS 2 introduce una novità fondamentale: la responsabilità personale dei dirigenti, che rischiano il proprio patrimonio in caso di violazione dei requisiti di sicurezza cibernetica. Per questo, infatti, a seconda del caso, sono previste anche pene in termini di carcere per i diretti responsabili.

Direttiva NIS2: sei preparato?

La tua azienda è al passo con tutte le regolamentazioni italiane ed europee relative alla sicurezza informatica? Mai sottovalutare l’importanza di questi obblighi, perché costruire un futuro digitale sicuro e responsabile dipende dal contributo di ognuno di noi.

Richiedici una consulenza gratuita: per noi di Smart Flow la compliance è di casa.

Post recenti
Il caso Vinted: il GDPR non perdona, perché la sostenibilità va oltre l’ambiente
Osservatorio Consumo Digitale Responsabile: il diritto di scegliere etico.
La Direttiva NIS2 è entrata in vigore: non farti cogliere impreparato
Consenso e privacy: l’Estetista Cinica e il suo appello ai follower
Impegno nella sostenibilità: la nostra relazione di impatto