Skip to main content
Novità introdotte dalla direttiva NIS2 e soggetti interessati
DATA
28 Aprile 2024
#SOLUZIONI
Infrastruttura IT

NIS2: cos’è la direttiva UE sulla cyber security

NIS2 è la nuova direttiva UE in materia di cyber sicurezza approvata dagli organi europei ed entrata in vigore a inizio 2023. La NIS2 intende rafforzare il livello di sicurezza dei dati nell’unione, con particolare attenzione alle aziende che operano nei servizi fondamentali e nelle infrastrutture critiche. Si tratta di una norma comune di difesa che gli stati membri sono tenuti a recepire entro il 17 ottobre 2024.

Direttiva NIS e NIS2: un po’ di storia

NIS2 costituisce la revisione e l’aggiornamento della precedente NIS, la prima direttiva comune sul tema della cybersicurezza approvata in Europa nel 2016 e recepita in Italia nel 2018. 

La direttiva NIS ha imposto agli Stati di adottare strategie nazionali in materia di cyber sicurezza, che hanno previsto:

  • la designazione di autorità competenti nazionali;  
  • la creazione di gruppi di lavoro, i CSIRT, in grado di intervenire al verificarsi di incidenti informatici, nonché di agire in ottica preventiva tramite la raccolta e l’analisi dei dati;
  • la designazione di un punto di contatto unico (SPOC) per cooperare con gli altri Stati membri e l’Agenzia UE per la cyber sicurezza (ENISA).

Per quanto sia stata rivoluzionaria, la direttiva NIS ha mostrato dei limiti di fronte ai processi di digitalizzazione della società, acuiti soprattutto dalla crisi del Covid-19, che ha accentuato la dipendenza dai sistemi digitali. In una società sempre più interdipendente e interconnessa, gli attacchi informatici possono diffondersi a cascata coinvolgendo più servizi. La necessità di ridurre le vulnerabilità e imprimere una risposta comune alle crisi ha portato a una revisione della direttiva NIS. 

NIS2: le novità

L’obiettivo della nuova direttiva NIS2 è quello di migliorare la resilienza delle reti e dei sistemi informativi all’interno dell’Unione di fronte al crescere della frequenza e della complessità degli attacchi informatici.

Le novità introdotte a tal fine dalla nuova direttiva riguardano:

  • l’estensione del campo di applicazione a un bacino di settori e imprese più ampio;
  • l’introduzione di obblighi più prescrittivi in tema di gestione del rischio e di segnalazione degli incidenti;
  • nuovi obblighi di valutazione della sicurezza delle catene di approvvigionamento e delle relazioni con i fornitori;
  • il rafforzamento della cooperazione tra gli Stati membri, la rete dei CSIRT e l’ENISA anche tramite l’istituzione di una nuova rete di collegamento per gestire le crisi informatiche, la EU-CyCLONe;
  • misure di vigilanza più rigorose e sanzioni uniformi in tutta l’UE.

I settori soggetti alla direttiva NIS2

NIS2 elimina la distinzione tra “operatori di servizi essenziali” (OES) e “fornitori di servizi digitali” (DSP) della precedente NIS e definisce nuovi settori di applicazione in base a:

  • il grado di interconnessione e digitalizzazione;
  • il loro impatto sulla sicurezza, la salute e l’incolumità pubblica;
  • la loro importanza per l’economia e la società;

Le medie e grandi imprese dei settori individuati sono incluse nel perimetro di applicazione, mentre è discrezione degli Stati membri individuare piccole imprese ritenute critiche per la sicurezza nazionale e che pertanto devono essere soggette alla direttiva. In base a queste regole, sono individuati soggetti essenziali e importanti suddivisi in:

  • settori di elevata criticità: energia; trasporti; banche; infrastrutture dei mercati finanziari; salute; acqua potabile; acque reflue; infrastruttura digitale; gestione dei servizi TIC; pubblica amministrazione; spazio.
  • altri settori critici: servizi postali e di corriere; gestione dei rifiuti; prodotti chimici; alimenti; fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto; fornitori digitali; organizzazioni di ricerca.

Misure di gestione del rischio e di sicurezza

La direttiva NIS2 prescrive che i soggetti essenziali e importanti adottino delle misure di gestione dei rischi di cyber sicurezza. Gli organi di gestione di questi soggetti devono sovrintendere all’applicazione delle misure e sono tenuti a seguire una formazione in materia. 

La necessità di assicurare un livello di sicurezza dei sistemi informatici e di rete, e del loro ambiente fisico, adeguato ai rischi esistenti, comprende le seguenti misure di base:

  • politiche di analisi dei rischi e della sicurezza;
  • politiche per la gestione degli incidenti;
  • sistemi che assicurano la continuità operativa come backup e piani di disaster recovery;
  • sicurezza della catena di approvvigionamento e sicurezza dei rapporti tra ciascun soggetto e i suoi fornitori;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete;
  • procedure per divulgazione delle vulnerabilità;
  • pratiche di igiene informatica di base e formazione in materia di cybersicurezza:
  • politiche e procedure relative all’uso della crittografia e, se necessario, della cifratura;
  • strategie di controllo degli accessi e soluzioni di autenticazione a più fattori.

Obblighi di segnalazione

I soggetti identificati oggetto della direttiva NIS2 sono tenuti a segnalare al CSIRT e, se opportuno, all’autorità competente, gli incidenti significativi che si possono ripercuotere sulla fornitura dei servizi senza indebito ritardo. 

Un incidente è ritenuto significativo se è in grado di causare una perturbazione sull’erogazione dei servizi, di causare danno finanziario e di ripercuotersi su altre persone fisiche o giuridiche causando perdite. La nuova direttiva NIS2 prevede una segnalazione multifase degli incidenti:

  • allarme rapido al CSIRT o all’autorità nazionale competente entro 24h ore dal momento in il soggetto è venuto a conoscenza dell’incidente significativo;
  • successiva notifica dell’incidente entro 72h con una valutazione iniziale della gravità e dell’impatto;
  • relazione finale entro un mese con descrizione dettagliata dell’incidente, della causa che probabilmente lo ha innescato e delle misure di attuazione adottate.

Vigilanza e sanzioni

La vigilanza dell’applicazione della direttiva NIS2 spetta alle autorità competenti secondo un quadro coerente a tutti gli Stati membri. Le autorità possono esercitare la funzione di vigilanza e controllo tramite audit periodici e mirati, controlli in loco e fuori sede, richiesta di informazioni e accesso a documenti o prove.

NIS2 stabilisce anche un elenco di sanzioni amministrative qualora un soggetto non rispetti gli obblighi di gestione del rischio e di segnalazione tempestiva. L’entità delle sanzioni è differente a seconda che si tratti di attività essenziali o di attività importanti. Per i soggetti essenziali, è prevista una sanzione amministrativa pecuniaria di importo massimo pari a 10.000.000 EUR o al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per quanto riguarda i soggetti importanti, invece, la sanzione ammonta a un massimo di 7.000.000 EUR o corrispondente al 1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Le sanzioni dovranno tenere conto della natura e della gravità dell’infrazione, nonché dei danni e delle perdite subite e arrecate.

Cosa devono fare le imprese per adeguarsi alla direttiva NIS2

Il termine ultimo per approvare la norma di recepimento della NIS2, fissato per il 17 ottobre 2024, non è lontano. Per quanto sia ragionevole supporre che la norma stabilirà anche i termini di adeguamento per i soggetti coinvolti, è bene che le imprese soggette alla NIS2 inizino subito a muoversi verso la conformità.

La direttiva NIS2 è chiara e prescrive la necessità di implementare un sistema di valutazione del rischio, gestione degli incidenti e comunicazione tempestiva delle violazioni. Le imprese devono avere politiche di cyber sicurezza aggiornate e tecnologie capaci di rilevare e affrontare le criticità. Se gli apparati interni non sono sufficientemente competenti in materia, è consigliabile coinvolgere consulenti specializzati in materia di cyber sicurezza per garantire una conformità completa e accurata.

Con un team di consulenti esperti in soluzioni informatiche e digitali, Noratech può guidarti nella costruzione di un’infrastruttura IT resiliente e sicura, nell’ottica di prevenire e gestire i rischi legati alla cyber sicurezza. Entra in contatto con noi.