La Direttiva NIS2 (Network and Information Security 2) è una recente normativa europea che entrerà in vigore il prossimo 16 ottobre. Questa direttiva aggiorna e sostituisce la precedente Direttiva NIS del 2016, con l’obiettivo di rafforzare la resilienza e migliorare le capacità di risposta dell’UE contro le minacce informatiche verso le reti ed i sistemi informatici per settori considerati essenziali o importanti, che includono le aziende di media e grande dimensione, che porterebbero impatti significativi sulla società e sull’economia.
Principali novità introdotte dalla NIS2:
- Ampliamento del campo di applicazione:
- La NIS2 estende la lista dei settori considerati essenziali, includendo nuovi settori come le telecomunicazioni, i servizi digitali, i fornitori di servizi cloud, i data center, i servizi di ricerca online e le piattaforme di social media.
- Requisiti di sicurezza più stringenti:
- Le organizzazioni dovranno implementare misure di sicurezza adeguate e proporzionate ai rischi che affrontano. Questo include la gestione dei rischi, la sicurezza della supply chain, la crittografia e la divulgazione delle vulnerabilità.
- Miglioramento della cooperazione tra Stati Membri:
- Viene promossa una maggiore collaborazione e condivisione di informazioni tra le autorità nazionali competenti e le istituzioni europee per affrontare efficacemente gli incidenti informatici transfrontalieri.
- Obblighi di segnalazione degli incidenti:
- Le entità coperte dalla direttiva dovranno segnalare alle autorità competenti gli incidenti significativi entro termini specifici, permettendo una risposta tempestiva e coordinata.
- Sanzioni più severe:
- In caso di non conformità, le organizzazioni possono essere soggette a sanzioni amministrative significative, che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda.
QUALI ORGANIZZAZIONI O SETTORI CRITICI SONO SOGGETTI A NIS2?
Settori ad Alta Criticità – Entità Essenziali (Allegato I NIS2)
- Energia: Fornitura, distribuzione e stoccaggio di elettricità, gas e petrolio.
- Trasporti: Aviazione, ferroviario, marittimo e stradale.
- Banche e mercati finanziari.
- Sanità: Ospedali e salute digitale.
- Acqua potabile e reflue: Fornitori di servizi idrici e di gestione delle acque reflue.
- Infrastrutture digitali:
- Punti di interscambio Internet (IXP)
- Fornitori di servizi DNS e registrar TLD
- Servizi CDN
- Fornitori di reti pubbliche di comunicazione e servizi di comunicazione elettronica accessibili al pubblico
- Pubblica Amministrazione: Autorità centrali dello Stato.
- Spazio: Sistemi di navigazione satellitare e reti spaziali.
- Servizi TIC Business-to-Business:
- Fornitori di servizi gestiti (MSP)
- Fornitori di servizi di sicurezza gestiti (MSSP)
Limiti dimensionali per le Entità Essenziali:
- Oltre 250 dipendenti.
- Fatturato superiore a 50 milioni di euro o bilancio totale superiore a 43 milioni di euro.
Altri settori critici – Entità Importanti (allegato II NIS2)
- Servizi postali e di consegna pacchi.
- Gestione dei rifiuti (raccolta, trattamento e smaltimento).
- Fabbricazione di prodotti chimici.
- Produzione, lavorazione e distribuzione di alimenti.
- Fabbricazione di dispositivi medici e farmaceutici.
- Fornitori di servizi digitali (motori di ricerca, e-commerce).
- Ricerca scientifica e sviluppo: Istituti di ricerca e servizi tecnologici.
Limiti dimensionali per le Entità Importanti:
- Oltre 50 dipendenti.
- Fatturato superiore a 10 milioni di euro o bilancio totale superiore a 10 milioni di euro.
QUALI SONO LE IMPLICAZIONI SULLE ORGANIZZAZIONI IMPATTATE?
Le organizzazioni impattate dalla Direttiva NIS2 devono implementare una serie di misure di cyber-security e gestire i rischi per proteggere i loro sistemi IT. Le principali implicazioni sono:
- Valutazione e gestione dei rischi:
- Le aziende devono effettuare una valutazione approfondita dei rischi per identificare le vulnerabilità nei loro sistemi e processi.
- Adeguamento delle misure di sicurezza:
- È necessario implementare misure tecniche e organizzative appropriate per mitigare i rischi identificati.
- Formazione e consapevolezza:
- Il personale deve essere adeguatamente formato sulle pratiche di sicurezza informatica e sulle procedure da seguire in caso di incidente.
- Governance e responsabilità:
- La direzione aziendale deve essere coinvolta attivamente nella gestione della sicurezza informatica, assicurando che ci siano risorse adeguate e che le responsabilità siano chiaramente definite.
Sanzioni previste dalla NIS2
Le sanzioni per la non conformità alla Direttiva NIS2 possono essere molto severe. Le organizzazioni che non rispettano gli obblighi di sicurezza o che non segnalano gli incidenti significativi possono affrontare:
- Sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo globale dell’organizzazione, a seconda di quale importo sia più elevato.
- Possibili azioni correttive forzate da parte delle autorità competenti, come audit e ispezioni straordinarie.
Queste misure mirano a garantire l’aderenza alla direttiva e a prevenire gravi disservizi o vulnerabilità.
IL DECRETO LEGISLATIVO 4 SET 2024, 138
il 1° ottobre è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 138/2024, con entrata in vigore del provvedimento: 16 ottobre 2024. Le aziende che ritengono di essere interessate dalla normativa dovranno segnalarsi alla autorità di controllo – dal 1° gennaio al 28 febbraio 2025 – tramite un apposito portale che sarà a breve implementato; in seguito verrà confermato o meno lo status di soggetto critico.
LE ORGANIZZAZIONI CHE NON RIENTRANO NEI LIMITI DIMENSIONALI
Le aziende che non superano i limiti dimensionali (meno di 50 dipendenti e/o fatturato sotto i 10 milioni di euro) possono comunque essere soggette alla NIS2 in scenari specifici, quando:
- Operano in settori critici: anche se piccole, forniscono servizi essenziali per l’economia o la sicurezza, come fornitori di infrastrutture digitali, sanità o trasporti.
- Partecipano a catene di approvvigionamento critiche: se sono coinvolte nella supply chain di un’entità essenziale o importante.
- Sono considerate di importanza strategica a livello nazionale, come per esempio nel settore pubblico o spaziale.
Le autorità competenti potranno decidere di includere queste aziende nei requisiti di NIS2 anche se non soddisfano i criteri dimensionali.
Nel sito di ACN – che per lo stato italiano è designata Autorità Nazionale Competente (NCA) – è stata predisposta una apposita pagina FAQ NIS2 ed una tabella indicante le organizzazioni interessate da NIS2.
SIamo come sempre a disposizione per attività di supporto e consulenza su NIS2.