Assistenza

NIS 2 – la nuova direttiva europea sulla sicurezza informatica

NIS 2 è la seconda versione della direttiva NIS (Network and Information Security Directive) sulle reti e sui sistemi informativi e mira ad alzare il livello di resilienza informatica delle organizzazioni di tutta L’Unione Europea. Di fatto è un’estensione della precedente NIS, con un campo di applicazione più ampio che include più settori, impone sanzioni più severe e requisiti di sicurezza informatica più rigorosi. Tratta inoltre temi come la sicurezza della supply chain e introduce degli obblighi di notifica che hanno il comune obbiettivo di aumentare il livello di sicurezza informatica di infrastrutture critiche e fornitori di servizi digitali all’interno di tutta l’Unione Europea.

Quali sono i requisiti da rispettare?

La direttiva introduce obblighi in quattro ambiti principali.

Gestione del rischio

Le organizzazioni devono adottare misure tecniche, operative e organizzative per identificare e mitigare i rischi informatici. Tra queste:

  • Valutazione dei rischi: identificare vulnerabilità e minacce ai sistemi informatici.
  • Sicurezza dei sistemi e delle reti: garantire protezioni contro accessi non autorizzati, malware, attacchi DDoS, ecc.
  • Business continuity: implementare piani per garantire la continuità operativa in caso di incidenti, ad esempio meccanismi di backup e recovery.
  • Sicurezza della supply chain: verificare che i fornitori e i partner rispettino standard di sicurezza adeguati.

Obblighi di notifica

Le entità soggette alla NIS 2 devono notificare tempestivamente incidenti significativi che causano impatti rilevanti sulla disponibilità, riservatezza, integrità o autenticità dei dati e dei servizi. Nel caso di incidente, si avrebbero 24 ore per notificare le autorità competenti, 72 per fornire dettagli e 1 mese per una relazione riguardo ad eventuali danni e misure correttive adottate.

Istituisce quindi anche un obbligo di cooperazione, in quanto le entità devono collaborare con le autorità competenti, i CSIRT nazionali e altre organizzazioni per condividere informazioni sugli incidenti e sulle vulnerabilità. Questo include:

  • Partecipazione a esercitazioni di sicurezza nazionali ed europee.
  • Condivisione di informazioni sulla minaccia.

Requisiti di Governance

Le organizzazioni devono coinvolgere i vertici aziendali nella gestione della sicurezza informatica:

  • Responsabilità dei dirigenti: gli amministratori devono essere informati e responsabili delle strategie di sicurezza.
  • Formazione: obbligo di formazione continua sulla cybersecurity per il personale e la dirigenza.

Conformità e Monitoraggio

Le entità devono dimostrare la conformità attraverso:

  • Audit periodici: verifiche interne o esterne sul rispetto delle misure di sicurezza.
  • Documentazione: mantenere registri aggiornati su politiche, procedure e incidenti gestiti.

Quali sono le aziende interessate dalla NIS 2?

I soggetti che dovranno adattarsi a questa normativa sono classificate per dimensioni e tipologia. In particolare, si fa distinzione tra servizi essenziali e servizi importanti. Tra gli essenziali, risultano le imprese che operano in uno dei seguenti settori:

  • Energia: fornitori e gestori di infrastrutture per elettricità, gas, petrolio.
  • Trasporti: compagnie aeree, ferrovie, porti, trasporto stradale e marittimo.
  • Sanità: ospedali, cliniche, laboratori diagnostici e produttori di dispositivi medici.
  • Acqua: fornitori di acqua potabile e gestori di acque reflue.
  • Banche: istituzioni finanziarie e fornitori di infrastrutture di mercato finanziario.
  • Infrastrutture digitali: fornitori di servizi cloud, data center, motori di ricerca e piattaforme online.

I soggetti importanti invece, operano nei seguenti settori:

  • Fornitori di servizi postali e di spedizioni.
  • Produttori di beni essenziali come prodotti alimentari e chimici.
  • Organizzazioni della pubblica amministrazione a livello regionale e locale.
  • Fornitori di servizi digitali, ad esempio piattaforme di e-commerce e social media.

In quest’ultima categoria, rientrano le medie e grandi imprese. Le piccole imprese invece, sono obbligate ad adeguarsi solo se rientrano nei soggetti essenziali, o se fornitori diretti di entità essenziali la cui sicurezza è cruciale per la resilienza del sistema. Questo implica che pur non avendo l’obbligo di registrarsi, anche molte piccole aziende che hanno un legame diretto con entità essenziali o importanti dovranno adeguare il loro livello di sicurezza informatica per mantenere questi legami commerciali. Gli stati membri UE stanno al momento recependo la direttiva e potrebbero specificare ulteriori requisiti che chiariscano quali aziende rientrano nelle specifiche della NIS 2.

Perché è importante?

L’aumento esponenziale dei crimini informatici degli ultimi anni, l’uso dell’intelligenza artificiale per attacchi sempre più mirati e sofisticati rende necessario un provvedimento, soprattutto per quanto riguarda i settori più colpiti ovvero Pubblica amministrazione, governi, fornitori di servizi digitali e infrastrutture critiche.

nis-2-ict

E’ sempre più evidente come grandi aziende e la loro direzione si trovino spesso impreparate ad affrontare problematiche riguardo l’infrastruttura informatica e comunicativa, poiché non informata o perché sottovaluta il rischio che queste rappresentano. In Italia, mediamente solo il 9% del budget ICT è dedicato alla sicurezza informatica. Seppur in aumento rispetto agli scorsi anni, risulta ancora inferiore alla media Europea (15%) e non copre ancora il potenziale danno che un attacco può causare (danno medio stimato sui 4 milioni di euro).

Come agisce la NIS 2?

La NIS 2 mira a contenere le minacce sulla sicurezza informatica, concentrandosi principalmente sulla gestione del rischio e sulla continuità aziendale in caso di attacco. In particolare:

  • Ad ogni stato membro dell’UE si richiede preparazione contro eventuali minacce con un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi.
  • Si richiede collaborazione tra gli stati membri riguardo lo scambio di informazioni
  • Si deve promuovere una cultura della cybersicurezza nei settori delle infrastrutture critiche che si affidano pesantemente alle tecnologie dell’informazione e della comunicazione (TIC)

Chi si occupa della NIS 2 in Italia?

nis-2-acn

Nel caso dell’Italia, l’ente designato è l’Agenzia per la Cybersicurezza Nazionale (ACN). Nel sito si trova anche una timeline con le varie scadenze del piano di adeguamento alla normativa.

Al momento, vige l’obbligo di iscrizione spontanea per tutti i soggetti che rientrano nella normativa, entro il 28 Febbraio 2025. Una volta raccolta la lista delle entità, l’ACN provvederà a rilasciare delle linee guida di base da adottare entro il primo quadrimestre del 2025.

Quali sono i rischi in caso di non conformità?

La NIS 2 concede alle autorità nazionali di vigilanza il potere di imporre ordinanze di conformità, istruzioni vincolanti, controlli di sicurezza e ordini di notifica di minacce. Le sanzioni esatte possono variare a seconda dello stato membro, ma la direttiva stabilisce un elenco di sanzioni minime:

  • Per le entità essenziali, si prevede una sanzione massima di almeno 10 milioni di euro o il 2% del fatturato annuo globale, a seconda del valore più elevato
  • Per le entità importanti, la sanzione massima è di almeno 7 milioni di euro o l’1,4% del fatturato annuo globale, a seconda del valore più elevato

Si prevedono inoltre nuove sanzioni per ritenere gli organi di alta dirigenza personalmente responsabili per negligenze gravi nel caso di incidenti informatici, ad esempio vietando temporaneamente ai dirigenti di ricoprire posizioni dirigenziali, o obbligandoli a dichiarare pubblicamente i dati sulla violazione e i diretti responsabili.

Se hai difficoltà a capire se rientri tra le entità descritte scopra o hai bisogno di una mano ad alzare il livello di sicurezza della tua azienda, non esitare a contattarci, creeremo una soluzione su misura per te!

CES 2025

CES 2025 – Le migliori innovazioni di quest’anno

chat control

Chat Control 2.0: la nostra privacy è in pericolo?

vpn

VPN: mi serve veramente ?

Quishing

Quishing: un nuovo pericolo tra le tue email

iscriviti alla nostra newsletter

Neide di Biasi Fabio
Di cosa ci occupiamo
  • Assistenza tecnica
  • Siti internet
  • Social media
  • Corsi di formazione
Assistenza
Neide di Biasi Fabio
Privacy Policy Cookie Policy