NEWS TLC/ICT
Imprese e Cybersecurity, tempo di prepararsi alla Direttiva NIS 2
24 maggio 2024
9 minuti di lettura
Entrata in vigore nel 2023, dal prossimo ottobre 2024 sarà operativa la nuova normativa comunitaria che alza gli standard UE di sicurezza digitale. Ecco chi dovrà adeguarsi.
La direttiva NIS 2 è il primo strumento concreto definito a livello comunitario dall’Europa per rafforzare la sicurezza informatica nell’area UE e soprattutto definire uno standard comune di approccio alla materia.
La crescente interconnessione digitale della società, infatti, ha innalzato il livello di esposizione alle minacce informatiche per istituzioni, imprese e cittadini. Tutto questo con il rischio di un rapido contagio in caso di attacchi informatici di massa o capaci di bucare i punti più fragili della rete.
Di fronte a questa sfida, l’Unione Europea ha pensato a una legislazione volta a elevare il livello di protezione, uniformando allo stesso tempo il grado di resistenza e resilienza in tutti i Paesi membri.
Come si può intuire dal nome, la direttiva NIS 2 rappresenta un aggiornamento della precedente NIS, introdotta già a partire dal 2016 e recepita due anni dopo dall’ordinamento italiano. La nuova versione è entrata in vigore nel 2023 e dovrà essere applicata da ogni Paese UE entro il 17 ottobre 2024.
Vediamo nel dettaglio gli aspetti di maggiore interesse per le imprese.
Perché una nuova direttiva NIS?
Come abbiamo detto, lo scenario geopolitico odierno presenta rischi senza precedenti, compresi quelli nel campo della cybersecurity. In questo contesto, l’UE ha riconosciuto l’importanza di potenziare la resilienza e la risposta alle minacce informatiche, sia a livello di Unione che di singoli Stati membri.
La direttiva NIS 2 raccoglie gli ottimi risultati della precedente NIS “base” – il cui merito sta soprattutto nell’aver aperto la strada a una nuova sensibilità rispetto al tema – ampliandone significativamente il campo di applicazione.
L’obiettivo del nuovo impianto è migliorare l’uniformità e l’efficacia delle norme di sicurezza informatica nell’UE, soprattutto alla luce dei limiti messi in evidenza dalla pandemia. E naturalmente renderle più aderenti al nostro tempo, tra sfide legate alla data economy e intelligenza artificiale.
Chi è soggetto alla nuova direttiva NIS 2?
Per stabilire quali aziende dovranni rispettare gli obblighi previsti, la direttiva NIS 2 indica tre criteri: settore di appartenenza, dimensione dell’azienda nel proprio settore e ruolo dell’azienda hanno nel loro settore
I settori a cui si applica la NIS 2 si dividono in Settori ad alta criticità e Settori critici:
- Settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
- Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sottosettori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitali e ricerca.
All’interno di questi settori, la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni. Indipendentemente dalla loro grandezza, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.
La direttiva NIS 2 si applica anche alle Piccole e Medie Imprese (PMI)?
La domanda che si fanno in molti: la Direttiva NIS 2 vale anche per le Piccole e Medie Imprese? In questa fase sembrerebbero in realtà escluse, a meno che non si occupino esclusivamente di uno degli ambiti inseriti nel perimetro.
Ma attenzione: sono esplicitamente citate le PMI coinvolte nelle supply chain delle attività in perimetro, nel contesto degli interventi di controllo dell’intera filiera di sicurezza che verrà introdotta proprio nella NIS 2.
Resta poi un ampio margine di manovra in capo ai singoli Paesi, ed è molto probabile che a tendere i nuovi obblighi di sicurezza arriveranno presto o tardi a interessare tutte le attività economiche. Quindi meglio non farsi cogliere impreparati.
Gli obblighi per i soggetti all’interno del perimetro
Entriamo nel vivo della questione. Cosa deve fare un’impresa per adeguarsi alla Direttiva NIS 2? Le entità coinvolte sono tenute a rispettare rigidi requisiti che spaziano dalla governance della cybersecurity alla gestione dei rischi, passando per la sicurezza della catena di fornitura e la segnalazione degli incidenti.
Tra i requisiti minimi è richiesto di:
- analizzare e valutare i rischi di sicurezza dei propri sistemi informativi;
- adottare soluzioni che assicurano la continuità di business e la gestione delle crisi;
- garantire la sicurezza nell’acquisizione, sviluppo e manutenzione di reti e sistemi informativi;
- gestire in modo consapevole gli incidenti informatici, attraverso prevenzione, rilevamento, identificazione, contenimento, mitigazione e risposta agli incidenti (attività di incident response);
- garantire la sicurezza della supply chain attraverso il controllo dei requisiti di sicurezza di tutti i fornitori della filiera;
- garantire la sicurezza delle reti e sistemi informativi, attraverso attività di vulnerability assessement, penetration testing e misure di valutazione della vulnerabilità e gestione del rischio.
Quali sono gli obblighi di segnalazione?
Gli obblighi di segnalazione giocano un ruolo chiave nella gestione degli incidenti cyber e prevedono parametri diversi a seconda che il soggetto sia considerato “essenziale e importante” oppure “interessati”.
I soggetti essenziali e importanti saranno tenuti a notificare il fatto senza indebito ritardo ed entro 24 ore dalla conoscenza dell’incidente che ha avuto un impatto significativo sulla fornitura dei loro servizi.
I soggetti interessati, invece, dovranno presentare notifica dell’incidente alle autorità competenti o al Cyber Security Incident Response Team (CSIRT) entro 72 ore dall’avvenuta conoscenza. Le notifiche devono includere tutte le informazioni necessarie per valutare l’impatto potenziale del fatto, compreso l’impatto transfrontaliero.
I soggetti interessati dovranno inoltre trasmettere al CSIRT o all’autorità competente, su richiesta di questi, una relazione intermedia sugli aggiornamenti della situazione ed, entro un mese dalla notifica dell’incidente, produrre una relazione finale contenente una descrizione dettagliata dell’incidente, della sua gravità e impatto, del tipo di minaccia o della causa che ha innescato l’incidente, e le misure di attenuazione adottate e/o in corso di adozione.
Sanzioni per la non conformità
Un altro elemento chiave della NIS 2 sono le sanzioni per la non conformità. Gli operatori di servizi essenziali e i fornitori di servizi digitali che non rispettano i requisiti della direttiva sono soggetti a multe significative. Questa dimensione punitiva mira a garantire che le organizzazioni adottino misure adeguate per proteggere la sicurezza delle reti e dei sistemi informativi.
Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 milioni di euro o al 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 milioni di euro o fino a un massimo del 1,4 % del totale del fatturato mondiale globale.
Come prepararsi al NIS 2?
Il nostro consiglio per arrivare preparati è di muoversi tempestivamente. È importante verificare fin da subito se si rientra nel perimetro di applicabilità della direttiva e valutare il proprio attuale livello di conformità.
Questo, come detto, può includere azioni quali la valutazione della catena di fornitura e la pianificazione delle necessarie azioni di risk management. Vale la pena ricordare che la Direttiva NIS 2 è già entrata in vigore e gli obblighi saranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento da parte degli Stati Membri, fissata per il 17 ottobre 2024.
Chiedi aiuto ad AXERA!
Ma come si fa a misurare il proprio grado di vulnerabilità e avvicinarsi in modo mirato ai nuovi obblighi in materia di cybersecurity? Semplice: con il nostro aiuto.
I consulenti AXERA sono in grado di verificare se rientri tra i soggetti coinvolti e di eseguire un check up delle tue procedure e infrastrutture digitali, progettando insieme a te l’architettura più adatta alle tue esigenze al fine di rispettare le indicazioni della direttiva.
Tutto questo aiutandoti ad accelerare in efficienza e risparmio, e con un’assistenza sempre vicina a te.