Nel gennaio 2023 gli Stati Membri dell’UE hanno formalmente emanato una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems – NIS) del 2016.

Concepita in risposta a diversi attacchi cyber ampiamente pubblicizzati e dannosi, la Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.

Per imprenditori, CEO e tecnici informatici, comprendere la NIS2 è fondamentale per proteggere la propria azienda dai rischi informatici e dalle sanzioni imposte in caso di mancato adempimento.

Cos’è la Direttiva NIS2?  

La Direttiva NIS2, o Direttiva sulla sicurezza delle reti e delle informazioni, è un aggiornamento legislativo dell’Unione Europea che amplia e rafforza la Direttiva NIS del 2016.

Include nuovi settori vitali, stabilisce requisiti più rigorosi, e promuove una cooperazione più stretta tra gli Stati Membri.

Si tratta di un aggiornamento legislativo sviluppato e adottato dalle istituzioni dell’UE, in particolare la Commissione Europea, il Parlamento Europeo e il Consiglio dell’Unione Europea.

L’obiettivo della Direttiva è rafforzare la cybersecurity all’interno dell’UE, soprattutto nei settori critici, rispondendo alle nuove sfide poste dall’evoluzione del panorama digitale e delle minacce.

Trattandosi di una direttiva e non di un regolamento (com’è, ad esempio, il GDPR) necessita di essere recepita da tutti gli Stati Membri entro un certo periodo prestabilito, in questo caso entro il 18 ottobre 2024, sviluppando piani nazionali per la sicurezza e team specializzati per mettere in atto la direttiva.

La Direttiva NIS2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

La NIS2 prevede inoltre l’introduzione di nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP).

L’oggetto della Direttiva 

L’oggetto della Direttiva sulla sicurezza delle reti e delle informazioni (NIS2) è di stabilire un quadro legale comune all’interno dell’Unione Europea per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi.

Di seguito, sono riassunti gli aspetti chiave dell’oggetto della Direttiva NIS2:

Ampliamento dell’ambito di applicazione  

Estende l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori vitali e ad entità pubbliche e private, inclusi i fornitori di servizi digitali come motori di ricerca e servizi di cloud computing.

Requisiti di sicurezza  

Impone agli Stati Membri di garantire che le organizzazioni all’interno dei settori specificati adottino misure di sicurezza adeguate e notifichino agli enti competenti gli incidenti gravi.

Cooperazione tra gli Stati Membri  

Promuove una cooperazione più stretta tra gli Stati Membri attraverso il Gruppo di Cooperazione NIS e la rete di risposta agli incidenti, facilitando la condivisione delle informazioni e una risposta coordinata agli incidenti su larga scala.

Sanzioni e penali  

Stabilisce che gli Stati Membri devono avere regimi di sanzioni efficaci, proporzionati e dissuasivi per la non conformità.

Piani di risposta  

Richiede la creazione di piani di risposta agli incidenti e l’analisi regolare delle vulnerabilità e delle minacce.

Impatto sulle aziende  

La Direttiva NIS2 ha un impatto diretto sulle aziende, richiedendo la conformità e fornendo potenziali opportunità in termini di reputazione e competitività.

Rafforzamento della resilienza complessiva  

La Direttiva ha come obiettivo generale il rafforzamento della resilienza e delle capacità di risposta agli incidenti di sicurezza informatica all’interno dell’UE, migliorando la preparazione, la cultura della sicurezza, e la cooperazione tra gli Stati Membri.

A chi si rivolge la NIS2 

La Direttiva NIS2 si applica a:

• Operatori di servizi essenziali (OSE)
• Fornitori di servizi digitali importanti
• Fornitori di servizi governativi

Vediamoli nel dettaglio.

La categoria dei fornitori di servizi digitali importanti nella Direttiva NIS2 include un insieme di entità che offrono servizi digitali essenziali all’interno del mercato unico.

Questi possono variare in base alle specifiche implementazioni nazionali, ma generalmente includono:

• Motori di ricerca;
• Servizi di cloud computing;
• Mercati online;
• Social network;
• Altri servizi digitali strategici che potrebbero essere considerati vitali per l’economia e la società, a seconda delle decisioni nazionali e dell’evoluzione del panorama digitale.

I fornitori di servizi governativi menzionati nella Direttiva NIS2 si riferiscono alle entità governative e alle organizzazioni pubbliche che forniscono servizi essenziali all’interno degli Stati Membri dell’Unione Europea.

Questi servizi possono coprire una vasta gamma di settori, e i soggetti possono includere:

• Ministeri e dipartimenti governativi;
• Agenzie governative;
• Enti locali;
• Servizi di emergenza;
• Istituzioni di istruzione pubblica;
• Ospedali e servizi sanitari pubblici;
• Fornitori di infrastrutture critiche, come energia, acqua e trasporti, se sono di proprietà o gestite dal Governo.

La Direttiva NIS2 richiede che questi fornitori di servizi governativi adottino misure adeguate per garantire la sicurezza delle reti e delle informazioni, data la loro importanza critica per la funzione pubblica e la sicurezza della società.

L’obiettivo è migliorare la resilienza complessiva dell’UE contro gli incidenti e le minacce alla cybersecurity, riconoscendo che le entità governative svolgono un ruolo chiave nel mantenimento della stabilità e del benessere della società.

Gli obblighi imposti dalla Direttiva 

La Direttiva NIS2 impone ai soggetti ai quali si rivolge specifiche azioni da attuare per elevare il proprio livello di resilienza cyber.

Di seguito un elenco sintetico:

• Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• Creare piani di gestione degli incidenti informatici;
• Assicurare la continuità operativa tramite azioni quali la gestione dei backup e il ripristino in caso di disastro, unitamente alla crisis response;
• Garantire la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti i fornitori;
• Mettere in sicurezza l’acquisizione dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione della vulnerabilità;
• Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cyber sicurezza;
• Creare e rispettare pratiche di igiene informatica di base e garantire formazione in materia di cybersecurity;
• Stabilire politiche e procedure relative all’uso della crittografia e della cifratura;
• Garantire la sicurezza informatica per il personale, impostando strategie di controllo dell’accesso e gestione degli attivi;
• Usare soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
• Come passo ulteriore, è fatto obbligo per i soggetti coinvolti dalla Direttiva NIS2 di segnalare tempestivamente gli incidenti informatici e le criticità annesse sul portale del CSIRT (Computer Security Incident Response Team).

Sanzioni e penali 

Con l’entrata in vigore della Direttiva NIS2 sono previste diverse sanzioni, in funzione del fatto che un operatore sia qualificato come essenziale o come importante.

Nel merito, le tipologie di sanzione sono così suddivise:

Soggetti essenziali  

Saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di almeno 10.000.000 di euro o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore, quindi a seconda di quale sia il valore più alto e salvo diverse disposizioni del legislatore.

Soggetti importanti 

Saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di almeno 7.000.000 di euro o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore, quindi a seconda di quale sia il valore più alto e salvo diverse disposizioni del legislatore.

Come prepararsi alla NIS2

Per non incorrere in incidenti informatici, problemi normativi o sanzioni salate è quindi indispensabile affidarsi ad esperti e tecnologie certificate e sicure.

Da oltre cinquant’anni le soluzioni di Telsy sono impiegate da aziende e Istituzioni per la prevenzione, la protezione, la risposta e il monitoraggio, anche dal punto di vista legale e procedurale, dei propri sistemi e delle proprie infrastrutture informatiche.

Telsy offre ai propri Clienti tecnologie proprietarie, sviluppate in-house, ed esperti certificati e altamente specializzati per garantire la massima qualità nella fornitura di soluzioni per la sicurezza di dati e comunicazioni.

Assieme ai nostri esperti legali e professionisti della cybersecurity troverai tutto il necessario per rispondere efficacemente agli adeguamenti normativi imposti dalla Direttiva NIS2, scansando il rischio di sanzioni e incidenti informatici.

Scopri di più sulle nostre soluzioni dedicate alla NIS2 e contattaci per avere maggiori informazioni.