NIS2: cos’è la direttiva UE sulla cyber security
NIS2 è la nuova direttiva UE in materia di cyber sicurezza approvata dagli organi europei ed entrata in vigore a inizio 2023. La NIS2 intende rafforzare il livello di sicurezza dei dati nell’unione, con particolare attenzione alle aziende che operano nei servizi fondamentali e nelle infrastrutture critiche. Si tratta di una norma comune di difesa il cui termine di recepimento da parte degli Stati membri decorre a breve, entro il prossimo 17 ottobre 2024.
NIS2 cos’è: un po’ di storia
NIS2 costituisce la revisione e l’aggiornamento della precedente NIS, la prima direttiva comune sul tema della cybersicurezza approvata in Europa nel 2016 e recepita in Italia nel 2018.
La direttiva NIS ha imposto agli Stati di adottare strategie nazionali in materia di cybersicurezza, che hanno previsto:
- la designazione di autorità competenti nazionali;
- la creazione di gruppi di lavoro, i CSIRT, in grado di intervenire al verificarsi di incidenti informatici, nonché di agire in ottica preventiva tramite la raccolta e l’analisi dei dati;
- la designazione di un punto di contatto unico (SPOC) per cooperare con gli altri Stati membri e l’Agenzia UE per la cyber sicurezza (ENISA).
Per quanto sia stata rivoluzionaria, la direttiva NIS ha mostrato dei limiti di fronte ai processi di digitalizzazione della società, acuiti soprattutto dalla crisi del Covid-19, che ha accentuato la dipendenza dai sistemi digitali. In una società sempre più interdipendente e interconnessa, gli attacchi informatici possono diffondersi a cascata coinvolgendo più servizi. La necessità di ridurre le vulnerabilità e imprimere una risposta comune alle crisi ha portato a una revisione della direttiva NIS.
NIS2: le novità
L’obiettivo della nuova direttiva NIS2 è quello di migliorare la resilienza delle reti e dei sistemi informativi all’interno dell’Unione di fronte al crescere della frequenza e della complessità degli attacchi informatici.
Le novità introdotte a tal fine dalla nuova direttiva riguardano:
- l’estensione del campo di applicazione a un bacino di settori e imprese più ampio;
- l’introduzione di obblighi più prescrittivi in tema di gestione del rischio e di segnalazione degli incidenti;
- nuovi obblighi di valutazione della sicurezza delle catene di approvvigionamento e delle relazioni con i fornitori;
- il rafforzamento della cooperazione tra gli Stati membri, la rete dei CSIRT e l’ENISA anche tramite l’istituzione di una nuova rete di collegamento per gestire le crisi informatiche, la EU-CyCLONe;
- misure di vigilanza più rigorose e sanzioni uniformi in tutta l’UE.
Chi è soggetto a NIS2?
Viene superata la distinzione tra “operatori di servizi essenziali” (OES) e “fornitori di servizi digitali” (DSP) della precedente NIS. Rientrano nell’ambito di applicazione della nuova direttiva NIS2 i “soggetti essenziali” e “soggetti importanti“, sia pubblici che privati, operanti in settori “critici” o “ad alta criticità“.
- Settori ad elevata criticità: energia; trasporti; banche; infrastrutture dei mercati finanziari; salute; acqua potabile; acque reflue; infrastruttura digitale; gestione dei servizi TIC; pubblica amministrazione; spazio.
- Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; prodotti chimici; alimenti; fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto; fornitori digitali; organizzazioni di ricerca.
Le medie e grandi imprese dei settori individuati sono incluse nel perimetro di applicazione, mentre è discrezione degli Stati membri individuare piccole imprese ritenute critiche per la sicurezza nazionale e che pertanto devono essere soggette alla direttiva.
Misure e obblighi di segnalazione
La direttiva NIS2 impone agli enti classificati come “essenziali” e “importanti” di adottare misure rigorose per gestire e mitigare i rischi legati alla sicurezza informatica. I soggetti coinvolti devono implementare misure e tecnologie in grado di assicurare un livello di sicurezza dei sistemi informatici e di rete, nonché del loro ambiente fisico, adeguato ai rischi esistenti.
Qualora dovesse verificarsi una violazione significativa dei sistemi, i soggetti sono tenuti a segnalarlo al CSIRT e, se opportuno, all’autorità competente, “senza indebito ritardo”. Un incidente è ritenuto significativo se è in grado di causare una perturbazione sull’erogazione dei servizi, di causare danno finanziario e di ripercuotersi su altre persone fisiche o giuridiche causando perdite. La nuova direttiva NIS2 prevede una segnalazione multifase degli incidenti:
- allarme rapido al CSIRT o all’autorità nazionale competente entro 24h ore dal momento in il soggetto è venuto a conoscenza dell’incidente significativo;
- successiva notifica dell’incidente entro 72h con una valutazione iniziale della gravità e dell’impatto;
- relazione finale entro un mese con descrizione dettagliata dell’incidente, della causa che probabilmente lo ha innescato e delle misure di attuazione adottate.
Vigilanza e sanzioni
La vigilanza dell’applicazione della direttiva NIS2 spetta alle autorità competenti dei singoli Stati tramite audit periodici, controlli in loco, richiesta di informazioni e accesso a documenti o prove. NIS2 stabilisce un elenco di sanzioni amministrative qualora un soggetto non rispetti gli obblighi di gestione del rischio e di segnalazione tempestiva. L’entità delle sanzioni è differente a seconda che si tratti di attività essenziali o di attività importanti. Per i soggetti essenziali, è prevista una sanzione amministrativa pecuniaria di importo massimo pari a 10.000.000 EUR o al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per quanto riguarda i soggetti importanti, invece, la sanzione ammonta a un massimo di 7.000.000 EUR o corrispondente al 1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Adeguamento NIS2
La direttiva NIS2 è chiara e prescrive la necessità di implementare un sistema di valutazione del rischio, gestione degli incidenti e comunicazione tempestiva delle violazioni. Le imprese devono avere politiche di cyber sicurezza aggiornate e tecnologie capaci di rilevare e affrontare le criticità. Se gli apparati interni non sono sufficientemente competenti in materia, è consigliabile coinvolgere consulenti specializzati in materia di cyber sicurezza per garantire una conformità completa.
Con un team di esperti in soluzioni informatiche e digitali, Noratech può guidarti nella costruzione di un’infrastruttura IT resiliente e sicura, nell’ottica di prevenire e gestire i rischi legati alla cyber sicurezza. Entra in contatto con noi.