Cos’è la Direttiva NIS2?

di Donato Paolino

La direttiva (UE) n. 2022/2555, meglio conosciuto come Direttiva NIS2, approvata lo scorso giugno dal Consiglio dei Ministri, è un quadro normativo europeo che punta a migliorare la resilienza informatica delle aziende in tutta l’Unione Europea. Questa nuova normativa sostituisce la precedente NIS e mira a rispondere alle crescenti minacce digitali, introducendo standard di sicurezza più elevati per le entità classificate come “essenziali” o “importanti”.

Quando entra in vigore?La direttiva NIS2  dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024. A livello nazionale la legge di delegazione europea 2023, pubblicata nella Gazzetta Ufficiale n. 46  contiene all’articolo 3, i principi e i criteri direttivi per l’implementazione della nuova disciplina.

In particolare, a seguito dell’approvazione della citata legge, il Governo dovrà esercitare la delega al recepimento della NIS2, mediante l’adozione di un apposito atto normativo, che andrà a sostituire il d.lgs. n. 65/2018, recante l’implementazione della prima direttiva NIS.

Le principali novità introdotte

Tra le novità principali della Direttiva NIS2 troviamo l’ampliamento del campo di applicazione a nuovi settori, l’adozione di un approccio multirischio e una maggiore collaborazione tra le autorità nazionali per la gestione delle crisi. Inoltre, i requisiti di sicurezza sono stati resi più stringenti, includendo misure di gestione del rischio, protezione delle catene di fornitura e una segnalazione più tempestiva degli incidenti.

Aziende interessate alla direttiva NIS2

La Direttiva NIS 2 si applica a una vasta gamma di aziende che operano in settori considerati essenziali per il funzionamento della società e dell’economia. Rispetto alla precedente Direttiva NIS, il campo di applicazione della NIS 2 è stato ampliato per includere nuovi settori e più entità. Le aziende interessate possono essere suddivise in due categorie principali:

1. Soggetti essenziali

Queste aziende operano in settori che sono cruciali per il funzionamento della società. Tra i settori coinvolti ci sono:

• Energia (fornitori di energia elettrica, gas e petrolio)
• Trasporti (compagnie aeree, ferroviarie, porti e aeroporti)
• Sanità (ospedali, centri medici e fornitori di tecnologie sanitarie)
• Acqua potabile (fornitori di acqua e gestione delle risorse idriche)
• Banche (istituti finanziari e servizi bancari)
• Infrastrutture digitali (servizi cloud, data center, reti di telecomunicazione)
• Amministrazione pubblica (servizi essenziali erogati dal settore pubblico)

2. Soggetti importanti

Questi sono soggetti che, sebbene non siano considerati “essenziali”, svolgono un ruolo rilevante in settori critici per l’economia e la sicurezza, tra cui:

• Servizi digitali (fornitori di piattaforme online, motori di ricerca, servizi di e-commerce)
• Settore alimentare (grandi aziende della produzione e distribuzione alimentare)
• Servizi postali e corrieri (aziende di logistica e distribuzione pacchi)
• Produzione di prodotti chimici (aziende chimiche che forniscono materiali critici per altri settori)
• Infrastrutture dei rifiuti (aziende coinvolte nella gestione dei rifiuti)

I requisiti minimi di sicurezza

I requisiti minimi di sicurezza previsti dalla Direttiva NIS 2 mirano a rafforzare la resilienza informatica delle organizzazioni che operano in settori critici o rilevanti per l’economia e la società. Questi requisiti sono più rigorosi rispetto alla precedente direttiva e coprono vari aspetti della gestione del rischio, delle misure di sicurezza, della segnalazione e della prevenzione degli incidenti. Vediamo in dettaglio quali sono:

1. Gestione del rischio

Le organizzazioni devono implementare processi completi di gestione del rischio che includano:

• Valutazione regolare dei rischi informatici: le aziende devono analizzare continuamente le proprie vulnerabilità e i rischi legati alla sicurezza delle reti e dei sistemi IT.
• Piani di risposta agli incidenti: devono predisporre piani per reagire rapidamente ed efficacemente in caso di attacco o violazione.
• Gestione delle vulnerabilità: devono adottare misure proattive per identificare e correggere le vulnerabilità dei sistemi IT.

2. Misure di sicurezza tecnica e organizzativa

Le entità soggette alla direttiva devono adottare una serie di misure di sicurezza tecniche e organizzative per proteggere i dati e le infrastrutture critiche. Queste misure includono:

• Autenticazione a più fattori (MFA): per garantire che l’accesso ai sistemi sia riservato solo a personale autorizzato.
• Crittografia: per proteggere i dati sensibili e renderli illeggibili in caso di accessi non autorizzati.
• Monitoraggio continuo: i sistemi IT devono essere costantemente monitorati per individuare comportamenti anomali o tentativi di intrusione.
• Backup regolari: per garantire il recupero dei dati in caso di perdita o attacco ransomware.

3. Segnalazione e gestione degli incidenti

Le organizzazioni sono tenute a seguire regole precise in merito alla segnalazione degli incidenti informatici:

• Segnalazione tempestiva: gli incidenti di sicurezza devono essere comunicati alle autorità competenti entro un tempo definito (solitamente entro 24 o 72 ore dall’evento).
• Documentazione degli incidenti: le aziende devono mantenere una documentazione dettagliata degli incidenti di sicurezza e delle misure adottate per rispondere, al fine di migliorare la capacità di difesa.

4. Protezione della catena di fornitura

Un aspetto cruciale della Direttiva NIS 2 è l’attenzione alla catena di approvvigionamento:

• Le aziende devono assicurarsi che i fornitori di servizi e le terze parti coinvolte rispettino standard di sicurezza informatica equivalenti.
• È necessario effettuare valutazioni dei fornitori per verificare la loro capacità di gestione del rischio e garantire che le loro misure di sicurezza siano in linea con i requisiti della direttiva.

5. Sensibilizzazione e formazione

Un elemento chiave per garantire la sicurezza informatica è la formazione continua del personale:

• Le organizzazioni devono implementare programmi di formazione periodica per tutto il personale, dal top management ai dipendenti operativi.
• Il personale deve essere istruito su come riconoscere minacce informatiche, come email di phishing, e come rispondere a potenziali attacchi.

6. Governance della sicurezza

Le aziende devono stabilire una governance chiara e solida in materia di cybersecurity, che comprenda:

• Responsabilità definite: devono essere nominati responsabili per la gestione della sicurezza informatica, con ruoli chiari e assegnazione di compiti specifici.
• Integrazione con la direzione aziendale: la sicurezza informatica non può essere trattata solo come una questione tecnica, ma deve essere parte integrante della strategia aziendale complessiva.

7. Collaborazione con le autorità

La NIS 2 sottolinea l’importanza della collaborazione tra le organizzazioni e le autorità competenti:

• Le aziende devono cooperare con le autorità nazionali per segnalare incidenti e adottare misure coordinate per affrontare le crisi informatiche.
• Devono inoltre partecipare agli sforzi di condivisione delle informazioni tra i diversi Stati membri dell’UE per migliorare la sicurezza complessiva.

8. Procedure di notifica delle vulnerabilità

Le organizzazioni sono anche obbligate a implementare meccanismi di divulgazione coordinata delle vulnerabilità, cioè devono segnalare eventuali vulnerabilità dei loro sistemi o prodotti, sia interni che esterni, per prevenire attacchi futuri.

9. Audit e verifiche periodiche

Le entità interessate dalla NIS 2 devono prepararsi per eventuali audit e verifiche da parte delle autorità competenti:

• Devono essere in grado di dimostrare la conformità ai requisiti di sicurezza con registri e documentazione aggiornata.
• Gli audit possono essere effettuati periodicamente per assicurare che le misure di sicurezza siano efficaci e adeguate.

Come prepararsi alla conformità

Entro il 17 ottobre 2024, le organizzazioni devono effettuare un’analisi dei rischi dei propri sistemi IT, sviluppare un piano per implementare le misure richieste e assicurarsi di essere pronte per eventuali audit e ispezioni da parte delle autorità competenti. Questo include l’aggiornamento delle procedure di sicurezza e l’integrazione di nuove tecnologie.

Le sanzioni per la non conformità

Le sanzioni per la mancata conformità alla Direttiva NIS2 sono pesanti: le aziende possono essere multate fino a 10 milioni di euro o al 2% del loro fatturato annuo globale. Le organizzazioni “importanti” rischiano multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo. Oltre a sanzioni pecuniarie, i dirigenti potrebbero essere ritenuti personalmente responsabili in caso di violazioni gravi.

Domande e risposte

1. Cos’è la Direttiva NIS 2?

La Direttiva NIS 2 è un regolamento dell’Unione Europea che impone nuovi standard di cybersecurity per le aziende nei settori essenziali e importanti, rafforzando la loro capacità di difesa contro le minacce digitali.

2. A chi si applica la Direttiva NIS 2?

La NIS 2 si applica a un ampio spettro di aziende, inclusi i settori dell’energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e fornitori di servizi digitali.

3. Quali sono i requisiti principali imposti dalla NIS 2?

Le aziende devono implementare misure di gestione del rischio, adottare protocolli di sicurezza come la crittografia e l’autenticazione a più fattori, e segnalare tempestivamente gli incidenti di sicurezza alle autorità competenti.

4. Quali sono le sanzioni per la non conformità alla NIS 2?

Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale per le aziende essenziali e fino a 7 milioni o l’1,4% del fatturato per le aziende importanti.

5. Quando entra in vigore la Direttiva NIS 2?

La NIS 2 entrerà in vigore il 17 ottobre 2024. Le aziende devono conformarsi entro questa data.

6. Quali settori sono considerati essenziali e importanti?

I settori essenziali includono energia, banche, sanità, trasporti, mentre quelli importanti comprendono servizi digitali, produzione alimentare, infrastrutture chimiche e logistica.

7. Come devono prepararsi le aziende per la conformità?

Le aziende devono effettuare un’analisi del rischio, aggiornare le misure di sicurezza, formare il personale e prepararsi per eventuali audit e ispezioni.

8. La Direttiva NIS 2 richiede la protezione della catena di fornitura?

Sì, le aziende devono garantire che anche i loro fornitori rispettino adeguati standard di sicurezza informatica, per prevenire vulnerabilità lungo la catena di approvvigionamento.

9. Quali sono gli obblighi di segnalazione degli incidenti?

Le organizzazioni devono segnalare qualsiasi incidente informatico significativo alle autorità competenti entro un tempo definito, solitamente entro 24-72 ore.

10. Le piccole imprese sono soggette alla NIS 2?

In generale, le piccole e microimprese sono esentate, ma possono essere incluse se operano in settori essenziali o importanti, come definiti dalla direttiva.

Esprimi la tua opinione su come stai preparando la tua azienda per adeguarsi alla Direttiva NIS2, lasciando un commento nel form qui sotto!