La NIS 2
A partire dal 18 ottobre 2024, la nuova direttiva dell'UE sulla sicurezza informatica - la NIS 2 - diventerà obbligatoria. Questo regolamento vincolante stabilisce gli standard per la Cyber Security in tutta l'Unione europea e obbliga le aziende di vari settori a documentare la propria strategia di sicurezza.
Il conto alla rovescia è iniziato e le aziende sono chiamate ad agire.
Prepariamoci insieme!
Che cos'è la NIS 2?
Con la NIS 2 (Network and Information Security, sicurezza informatica e di rete), l'UE ha introdotto severe disposizioni in materia di Cyber Security per i suoi Stati membri. La NIS 2 è il successore della direttiva NIS, entrata in vigore nel 2016. L'implementazione di una strategia di sicurezza olistica non è quindi più necessaria solo per la protezione contro gli attacchi informatici, ma è anche richiesta dalla legge.
Gli Stati membri devono adottare le misure necessarie per conformarsi alla direttiva NIS 2 entro il 17 ottobre 2024 e applicarle a partire dal 18 ottobre 2024.
In cosa si differenzia la NIS 1 dalla NIS 2?
La NIS 2 è una versione migliorata della direttiva NIS del 2016, che aveva già lo scopo di garantire un elevato livello di sicurezza dei sistemi di rete e di informazione nell'Unione, ma presentava alcuni punti deboli.
Le differenze più importanti tra NIS 1 e NIS 2 sono:
-
La nuova versione include un maggior numero di settori e aziende essenziali per la società e l'economia, come l'energia, la sanità, i trasporti e le infrastrutture digitali.
-
La NIS 2 prevede che le aziende e le organizzazioni interessate attuino un'efficace gestione del rischio e segnalino gli incidenti informatici gravi o significativi alle autorità nazionali competenti, che possono così adottare le misure necessarie. La NIS 1 forniva solo disposizioni generali per le misure di sicurezza e la segnalazione degli incidenti.
-
La nuova direttiva sulla sicurezza prevede sanzioni più severe per gli Stati membri, che possono arrivare fino a 20 milioni di euro o al quattro per cento del fatturato globale se le aziende e le organizzazioni interessate non implementano le necessarie misure di sicurezza o non segnalano alle autorità nazionali competenti incidenti informatici gravi o significativi. La NIS 1 lasciava la determinazione delle sanzioni agli Stati membri, il che portava a un'applicazione incoerente.
-
La NIS 2 sottolinea la responsabilità personale dei dirigenti in materia di Cyber Security e stabilisce che, per la prima volta, i direttori sono responsabili con il loro patrimonio personale se non rispettano i requisiti di legge.
A chi si rivolge?
17 ottobre 2024: data entro la quale tutti i 27 Stati membri dell'UE dovranno aver adottato senza soluzione di continuità i regolamenti sulla sicurezza informatica NIS 2 nelle loro leggi nazionali. Rimane una domanda pressante: quali aziende sono obbligate ad attuare la direttiva NIS 2?
Organizzazioni essenziali: sono le organizzazioni che operano nel settore delle infrastrutture critiche. Queste includono, ad esempio, l'energia, i trasporti, la gestione delle risorse idriche, la sanità e le banche.
Strutture importanti: questa categoria comprende le aziende leader dell'industria alimentare e chimica, nonché quelle responsabili della produzione di elettrodomestici, macchine e veicoli.
Inoltre, gli stessi Stati membri hanno la possibilità di estendere i gruppi target interessati dal NIS 2. Possono aggiungere altre organizzazioni alle loro liste nazionali, obbligando le autorità locali, gli istituti scolastici e altre istituzioni ad attuare la direttiva.
Quali sono le sanzioni?
La direttiva NIS 2 viene applicata in modo rigoroso, prevedendo pesanti sanzioni in caso di non conformità o di mancato adempimento degli obblighi di segnalazione. L'importo delle sanzioni dipende dalla classificazione delle singole aziende.
Le aziende classificate come "importanti" devono pagare sanzioni tra i 7 milioni di euro o un massimo dell'1,4% del loro fatturato globale annuo nell'esercizio precedente. Le "aziende essenziali" rischiano sanzioni fino a 10 milioni di euro o un massimo del 2% del loro fatturato globale annuo.
L'obbligo di cura nel settore della Cyber Security non è negoziabile e la direzione ha il dovere di condurre l'implementazione e il monitoraggio di queste misure di Cyber Security.
Cosa significa concretamente questo per te?
La direttiva NIS 2 è una direttiva dell'UE entrata in vigore il 16 gennaio 2023 che mira a migliorare la Cyber Security e la resilienza delle infrastrutture critiche e dei fornitori di servizi digitali. La direttiva prevede che le aziende e le organizzazioni interessate aderiscano a un'efficace gestione del rischio e segnalino gli incidenti informatici gravi o significativi alle autorità nazionali competenti, che possono quindi adottare le misure necessarie. Per ridurre al minimo i potenziali danni agli utenti, all'ambiente e all'ordine pubblico, l'obiettivo è quello di individuare tempestivamente le lacune nella sicurezza e di adottare misure preventive contro di esse. Per garantire che tutte le parti coinvolte si attengano agli stessi standard elevati, le aziende sono anche responsabili di garantire la sicurezza dell'intera catena di fornitura e di comunicare tali requisiti ai loro partner commerciali e fornitori. Altre misure includono, tra l'altro:
-
L'implementazione di misure di sicurezza appropriate e proporzionate, conformi agli standard e alle best practice attuali, per garantire la riservatezza, l'integrità, la disponibilità e l'autenticità dei propri dati e servizi.
-
La creazione e l'aggiornamento di un piano di continuità operativa che consenta il ripristino delle normali condizioni operative dopo un incidente informatico.
-
Per prevenire accessi non autorizzati, l'introduzione dell'autenticazione a più fattori per l'accesso alle reti e ai sistemi informativi.
L'Agenzia dell'UE per la Cyber Security (ENISA) svolgerà un ruolo chiave nel monitorare e sostenere l'applicazione di questi atti giuridici.
Programma NIS 2
La direttiva NIS 2 è entrata in vigore il 16 gennaio 2023 e deve essere recepita nel diritto nazionale entro il 17 ottobre 2024. L'attuazione della direttiva sarà riesaminata dalla Commissione per la prima volta entro il 17 ottobre 2027 e in futuro ogni 36 mesi.
È tempo di attivarsi e prepararsi.
Sicurezza a 360°: la nostra offerta completa senza compromessi
Nel mondo dinamico della Cyber Security, il cambiamento è una costante e l'introduzione della direttiva NIS 2 ne è la conferma. In attesa che la direttiva venga recepita nella legislazione nazionale per avere pieno effetto, l'urgenza di agire è innegabile.
Per soddisfare i severi requisiti della NIS 2, dobbiamo affidarci agli standard europei e internazionali, che costituiscono la nostra base. Questi standard non solo definiscono prodotti sicuri, ma stabiliscono anche i principi per l'implementazione di solidi sistemi di sicurezza. Un esempio significativo è la norma IEC 62443, una serie di standard riconosciuti a livello mondiale per la sicurezza nell'automazione. Il nostro piano di sicurezza olistica a 360° comprende misure tecniche e organizzative supportate da certificazioni IEC 62443.