La direttiva NIS2, acronimo di Network and Information Systems Directive 2, rappresenta una delle più recenti iniziative legislative europee in materia di sicurezza cibernetica. L’obiettivo della NIS2 è quello di garantire la sicurezza delle reti e dei sistemi informativi, prevenendo gli attacchi e proteggendo i cittadini europei da eventuali conseguenze negative.
GDPR e NIS2
Il GDPR ha avuto un impatto significativo come standard normativo, e ha modificato il modo in cui le aziende operano. Sebbene si tratti di un regolamento emanato dall’UE, le aziende in tutto il mondo hanno riconosciuto l’ampia portata dello standard e hanno scelto di conformarsi alle norme del GDPR, anche se la loro presenza nell’UE era minima.
Il GDPR ha introdotto una maggiore attenzione alla privacy, alla sicurezza, alla protezione e ai diritti relativi ai dati, per garantire la tutela degli utenti e dei clienti. Lo scopo del regolamento è quello di concedere agli utenti maggiore controllo e trasparenza sui dati raccolti dalle aziende. Anche se in vigore solo da pochi anni, ha rivoluzionato il modo in cui le aziende gestiscono i dati degli utenti.
Esiste un nuovo standard di conformità che potrebbe avere un impatto altrettanto significativo, ma se ne discute ancora poco. Si tratta della direttiva NIS2, un regolamento di conformità dell’UE che impatta un ambito di aziende molto più ampio rispetto alla direttiva NIS originale.
La direttiva NIS2 è una nuova normativa sulla sicurezza informatica che si propone di stabilire le basi per la segnalazione degli incidenti, la gestione dei rischi relativi alla sicurezza informatica, la gestione del rischio nella catena di approvvigionamento e di imporre sanzioni severe per la non conformità. Mentre il GDPR ha mirato a migliorare gli standard di privacy e sicurezza a livello dei dati degli utenti, la direttiva NIS2 cerca di elevare gli standard di privacy e sicurezza delle aziende e delle organizzazioni nel loro complesso.
Sebbene le aziende non debbano conformarsi a questa nuova normativa fino all’autunno del 2024, è importante che si preparino con anticipo poiché la conformità potrebbe richiedere un impegno significativo a seconda dei controlli e delle strategie di sicurezza informatica attualmente in atto. Attraverso un piano di conformità prioritario, le aziende possono garantire il rispetto tempestivo della scadenza ed evitare di affrettarsi all’ultimo momento.ù
Cos’è la direttiva NIS2?
La direttiva NIS, o Direttiva sulla sicurezza delle reti e dell’informazione, rappresenta una normativa legislativa dell’UE volta alla tutela della cybersicurezza. La direttiva NIS2 costituisce una versione ampliata della NIS originale e amplia il campo di applicazione ad aziende di diversi settori. Inoltre, essa impone requisiti di sicurezza informatica e gestione del rischio più specifici e rigorosi e aumenta le sanzioni per le aziende che non si conformano.
La direttiva NIS2 richiede alle aziende di gestire i rischi all’interno della propria rete e dei propri sistemi informativi e di implementare uno standard minimo di misure di sicurezza che affrontino la sicurezza della supply chain, la gestione delle vulnerabilità, la valutazione del rischio informatico. Inoltre, le aziende devono concentrarsi maggiormente sulla gestione dei rischi critici della supply chain. È anche richiesto di stabilire un organo di gestione che supervisioni, approvi e sia formato sulle misure di sicurezza informatica. La direttiva NIS2 prevede anche una finestra di risposta specifica all’incidente, che può variare da 24 a 72 ore dopo la conoscenza dell’incidente, e richiede la presentazione di un rapporto finale entro un mese dall’invio della notifica dell’incidente stesso.
La versione precedente
La prima versione della NIS è stata adottata originariamente nel 2016, ma le aziende interessate erano limitate rispetto a quelle coinvolte da NIS2. Inoltre, NIS aveva una portata limitata e sanzioni meno severe per la non conformità.
Su chi impatta NIS2?
NIS2 è una direttiva UE che si applica a tutte le aziende con sede in uno stato membro dell’UE. La direttiva si rivolge alle società classificate come “soggetti essenziali” e “soggetti importanti”. Tuttavia, le soglie dimensionali variano da settore a settore. I “soggetti essenziali” includono le società con 250 o più dipendenti e un fatturato di almeno 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro.
I settori interessati dai soggetti essenziali includono energia, trasporti, mercati bancari e finanziari, bevande e rifiuti, gestione delle infrastrutture digitali e dei servizi ICT, compresi i fornitori di servizi di cloud computing, pubblica amministrazione e spazio.
La direttiva NIS2 si applica ai “soggetti importanti”, i quali includono i settori specificati di seguito:
- Servizi postali e corrieri
- Gestione dei rifiuti
- Produzione e distribuzione di prodotti chimici
- Settore manifatturiero
- Fornitori di servizi digitali
- Organizzazioni di ricerca
Laddove un soggetto non soddisfi i requisiti menzionati, ma costituisce un “fornitore unico” sociale o economico critico all’interno di uno Stato membro, può essere designato come soggetto essenziale o importante. Tuttavia, è bene notare che gli Stati membri hanno tempo fino ad aprile 2025 per finalizzare i propri elenchi di entità essenziali e importanti.
Differenze tra NIS e NIS2
La nuova direttiva NIS2 non solo estende notevolmente la portata delle organizzazioni che devono rispettarla, ma introduce anche sanzioni molto più severe e norme dettagliate per garantire che le aziende rispettino le sue disposizioni. A tale scopo, le autorità di regolamentazione hanno a disposizione poteri investigativi e di vigilanza, tra cui:
- Ispezioni sul posto
- Controlli di sicurezza
- Richiesta di ulteriori informazioni per valutare le misure di sicurezza informatica adottate da un’organizzazione
- Scansioni di sicurezza
- Richiesta di prove e informazioni per misurare le politiche di gestione del rischio e di sicurezza informatica, nonché per ottenere dati, documentazione e altre informazioni necessarie.
I soggetti essenziali possono essere soggetti a verifiche e ispezioni in qualsiasi momento, mentre i soggetti importanti possono essere indagati solo a seguito di eventuali incidenti.
Anche se sono previste ulteriori modifiche, attualmente NIS2 è applicabile a qualsiasi azienda che operi all’interno dell’UE.
Quali sanzioni per le aziende che non rispettano la direttiva
Le organizzazioni che non rispettano la direttiva NIS2 possono essere soggette a sanzioni finanziarie significative.
- I soggetti essenziali potrebbero affrontare multe fino a 10 milioni di euro o il 2% del fatturato globale, a seconda di quale delle due cifre è più alta.
- I soggetti importanti, d’altra parte, potrebbero affrontare multe fino a 7 milioni di euro o l’1,4% del fatturato globale, a seconda di quale delle due cifre è più alta. Inoltre, le organizzazioni non conformi potrebbero essere soggette ad ulteriori imposizioni non monetarie, come ordini di conformità, istruzioni vincolanti, obblighi di notifica e segnalazione alle parti interessate e richieste di implementare misure di sicurezza aggiuntive in seguito ai risultati dei controlli di sicurezza.
Quando sarà attuata la NIS2?
Il 27 dicembre 2022 è stata pubblicata ufficialmente la direttiva NIS2, la quale è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell’UE hanno l’obbligo di integrare la direttiva NIS2 nella loro legislazione nazionale entro il 18 ottobre 2024, e le organizzazioni interessate sono tenute a conformarsi a tale direttiva entro la stessa data.
Come aderire alla direttiva
Anche se NIS2 è ancora in fase di modifica, non sono attesi molti cambiamenti, di conseguenza le aziende dovrebbero iniziare a prepararsi per conformarsi alla nuova direttiva. Di seguito sono riportati alcuni passaggi consigliati per farlo:
- Identificare le business unit, i reparti e le filiali che rientrano nell’ambito di NIS2.
- Valutare la posizione attuale dell’organizzazione in materia di gestione dei rischi e di sicurezza informatica, per individuare eventuali lacune che devono essere affrontate per ottenere la conformità.
- Parlare con l’ufficio legale per definire tempistiche e strategie per conseguire la conformità.
- Confrontarsi con la catena di approvvigionamento e i fornitori strategici per assicurarsi che anche loro siano a conoscenza dei necessari adempimenti e chiarire che sarà necessario lavorare di concerto per affrontare gli elementi di gestione del rischio previsti da NIS2.
- Collaborare con i responsabili dei dipartimenti e tutte le parti interessate per assicurarsi che siano allineati sulla strategia e possano mobilitare, per tempo, sistemi e risorse.
Conformità alla NIS2
La conformità a NIS2 può essere raggiunta in diversi modi, a seconda dell’ambiente, dei controlli e delle politiche di sicurezza esistenti e della strategia di gestione del rischio attuale. Qualora un’organizzazione avesse già una solida strategia di sicurezza e resilienza informatica, potrebbe essere necessario apportare solo pochi cambiamenti. Per le organizzazioni o i reparti più piccoli, con risorse limitate, il conseguimento della conformità potrebbe rappresentare un processo più articolato e complesso.
