La Direttiva Europea NIS2, che si pone l’obiettivo di rafforzare il quadro normativo previsto dalla NIS1, deve essere recepita entro il 17 ottobre 2024. Scopriamo nell’articolo a chi si applica e i dettagli.
Dalla Direttiva NIS alla NIS2
La Direttiva Europea 1148/2016, conosciuta come Direttiva NIS, è stata introdotta nel 2016. Il suo obiettivo? Promuovere la cultura della sicurezza informatica e migliorare i livelli di protezione nelle reti e nei sistemi informativi. Per la prima volta, il Parlamento Europeo ha affrontato la questione della sicurezza informatica a livello comunitario, stabilendo misure per valutare il grado di sicurezza e le procedure per segnalare gli incidenti informatici. Questa iniziativa mirava a incentivare la cooperazione tra Stati membri e a garantire una maggiore condivisione delle informazioni relative alla sicurezza informatica.
La Direttiva si rivolgeva a:
- operatori di servizi essenziali (OSE), ovvero soggetti pubblici o privati che forniscono servizi essenziali all’interno di vari settori. Tra questi energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastruttura digitale;
- fornitori di servizi digitali (FSD), ovvero società che forniscono servizi e-commerce, cloud computing o motori di ricerca (escluse le PMI).
Gli obblighi che imponeva erano essenzialmente due:
- misure di sicurezza adeguate e proporzionate ai rischi;
- segnalazione incidenti alle autorità competenti.
Per saperne di più > LA DIRETTIVA NIS – Network and Information Security
La Direttiva NIS2, che ha abrogato la precedente, è stata adottata il 14 ottobre 2022 e deve essere recepita entro il 17 ottobre 2024 da tutti gli Stati membri. La NIS2 si pone l’obiettivo di rafforzare il quadro normativo previsto dalla NIS 1. Mira quindi a rafforzare gli obblighi di sicurezza informatica, aumentare la cooperazione tra gli Stati e ampliare il numero di settori coinvolti. Tutto ciò grazie all’introduzione di protocolli di sicurezza più rigorosi, maggior rigore negli obblighi di segnalazione delle violazioni e quadri di governance più solidi.
Per approfondire > NIS2, la direttiva europea che rafforza la cyber security
Le differenza principali tra le due Direttive
Ambito di applicazione ampliato
Se la NIS si applicava soltanto agli OSE e ai FSD, la NIS2 amplia il suo ambito di applicazione identificando due nuove categorie di soggetti:
- soggetti essenziali;
- soggetti importanti.
Questi soggetti fanno riferimento ai settori che comprendono sia quelli già individuati dalla direttiva NIS 1, sia un ulteriore elenco di settori critici: servizi sanitari, servizi postali, settore alimentare e di macchinari e altri servizi digitali.
Requisiti e applicazione più rigorosi
La NIS2 aggiunge requisiti più dettagliati: valutazione del rischio, piani di risposta agli incidenti e anche misure di sicurezza per la catena di fornitura. Un aspetto fondamentale della NIS 2 è l’adozione di un approccio multirischio, che si spinge oltre la semplice protezione dagli attacchi informatici, includendo anche i rischi connessi a fattori umani, eventi fisici e questioni ambientali. Non mira quindi a proteggere dagli incidenti soltanto i sistemi informatici e di rete ma anche il loro ambiente fisico.
Ad esempio, le misure adottate per la protezione dai rischi di incendio dei server in una sede aziendale possono variare notevolmente rispetto a quelle implementate in un’altra sede. Sebbene il rischio di incendio possa essere un problema comune a entrambe le località, le probabilità e la gravità delle minacce possono differire in modo significativo. Di conseguenza, anche le misure di sicurezza devono essere adattate e differenziate in base alle specifiche circostanze di ciascuna sede.
Per quanto riguarda la segnalazione degli incidenti, la NIS2 prevede tempi più brevi per informare le autorità competenti. Dalla conoscenza dell’incidente possono passare massimo 24 ore per l’invio della segnalazione. Entro 72 ore deve essere inviata una notifica che specifichi nei dettagli l’incidente. Inoltre, in caso di non conformità, le multe diventano più gravi: possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale dell’azienda. Ma non finisce qui: le autorità competenti possono anche scegliere di sospendere i servizi in caso di gravi violazioni.
Miglioramento della cooperazione tra Stati
Uno degli obiettivi più importanti della NIS2 è quello di migliorare la cooperazione e la condivisione di informazioni tra gli Stati Membri. La Direttiva prevede infatti la creazione di un nuovo gruppo di cooperazione che mira a rafforzare la risposta collettiva dell’UE agli attacchi informatici.
Quali sono gli ambiti di applicazione della NIS2?
Per comprendere a pieno a chi viene applicata la Direttiva, vengono considerati tre criteri principali: il dimensionamento, il settore merceologico e la territorialità.
Il criterio del dimensionamento stabilisce che la direttiva riguarda le medie imprese o quelle che ne superano i limiti. Con media impresa si intende quella che coinvolge meno di 250 persone e ha un fatturato annuo di 50 milioni. Oppure un bilancio annuo che arriva ad un massimo di 43 milioni.
Il secondo criterio è quello del settore merceologico. La NIS 2 si applica sia a soggetti pubblici che privati che operano nei settori specificati negli allegati della Direttiva. Gli Allegati distinguono tra settori ad alta criticità e settori critici.
I soggetti dell’Allegato I sono considerati essenziali (in questa categoria rientrano le Pubbliche Amministrazioni, oltre che operatori del settore energetico, sanitario, spaziale, bancario, dei trasporti, delle infrastrutture digitali, delle acque), mentre quelli dell’Allegato II sono considerati importanti (rientrano in questa categoria gli operatori di servizi postali e di corriere, di gestione dei rifiuti, del settore chimico, del settore agroalimentare ecc…). Ad ogni modo, la Commissione Europea avrà la responsabilità di elaborare un elenco dettagliato di soggetti essenziali e importanti entro il 17 aprile 2025.
Infine, il terzo criterio riguarda la territorialità. Come visto, la NIS2 si applica alle medie imprese, pubbliche o private, che operano nei settori elencati negli allegati I o II, a condizione che svolgano le loro attività nell’UE.
Di conseguenza, per capire se un soggetto è incluso nell’applicazione della Direttiva NIS 2, è fondamentale considerare tre fattori: la dimensione dell’impresa, il settore in cui opera e la localizzazione delle sue attività.
Cosa devono fare le aziende per diventare conformi alla NIS2
La conformità alla NIS2 sarà, in futuro, vincolante per le aziende. Le tempistiche non sono così brevi però. La Direttiva dovrà essere prima di tutto recepita dagli Stati Membri dell’Unione Europea, che hanno tempo fino al 17 Ottobre 2024.
Coinvolgere la direzione
E’ fondamentale che la direzione dell’azienda comprenda a fondo i requisiti e le implicazioni della direttiva NIS2.
Valutare la strategia di sicurezza informatica da adottare
Va effettuata un’analisi approfondita delle pratiche di sicurezza. E’ indispensabile identificare le lacune dei sistemi IT, effettuare controlli di sicurezza e pratiche esistenti per individuare le lacune dei sistemi IT, nei controlli di sicurezza e nelle politiche esistenti permetterà di creare un quadro chiaro delle aree che necessitano di interventi.
Sviluppare un piano di attuazione
Dopo aver identificato le aree critiche, è indispensabile elaborare una tabella di marcia per delineare le azioni da intraprendere per conformarsi alla Direttiva.
Implementare i controlli di sicurezza
Adottare controlli tecnici adeguati è fondamentale. Ciò include l’implementazione di autenticazione a più fattori, crittografia, gestione delle vulnerabilità e sistemi di monitoraggio. Questi strumenti contribuiranno a proteggere l’infrastruttura digitale dell’organizzazione.
Formare i dipendenti
E’ molto importante investire nella formazione continua dei dipendenti, affinché migliori la consapevolezza della sicurezza informatica. Organizzare corsi in maniera regolare permetterà al personale non solo di individuare, ma anche di rispondere prontamente alle minacce.
Allocare risorse e budget
È importante collaborare con la direzione per assicurarsi che ci siano fondi e risorse adeguate per l’implementazione delle misure necessarie. Potrebbe essere necessario investire in nuove tecnologie, personale e formazione.
Aggiornare le politiche di sicurezza
Le politiche e le procedure di sicurezza devono essere riviste e aggiornate per allinearsi ai requisiti di NIS2. Questo include la revisione dei piani di risposta agli incidenti e delle procedure operative.
Gestire i rischi e la catena di fornitura
Valutare la robustezza delle misure di sicurezza informatica dei fornitori è essenziale. Implementare misure adeguate aiuterà a mitigare i rischi associati all’intera catena di fornitura.
Prepararsi alla segnalazione degli incidenti e gli audit
Stabilire procedure solide per la rilevazione, l’analisi e la segnalazione degli incidenti è fondamentale per soddisfare i requisiti di NIS2. È altrettanto importante prepararsi per eventuali audit e ispezioni da parte delle autorità competenti.
Seguendo questi passaggi, le aziende possono assicurare la conformità alla direttiva NIS2 e migliorare la loro postura di sicurezza complessiva. Adeguarsi alla NIS 2 non è solo una questione di conformità normativa, ma può diventare un’opportunità per migliorare la sicurezza informatica complessiva dell’azienda.
Vuoi fa diventare la tua azienda conforme alla normativa NIS2?