NIS 2: cosa prevede la nuova normativa europea
Anche l’Italia nei giorni scorsi si è allineata alla direttiva europea NIS2, approvando lo schema di decreto legislativo che include le misure della Strategia Nazionale di Cybersicurezza, la definizione di soggetti critici e gli obblighi specifici per soggetti essenziali e importanti. Il decreto, in sostanza allinea gli standard italiani a quelli europei. Ricordiamo che la normativa NIS2 è la seconda versione della Direttiva sulla Sicurezza delle Reti e dell’Informazione (NIS), introdotta dall’Unione Europea per rafforzare la resilienza e la sicurezza informatica delle infrastrutture critiche. La NIS2, emanata il 27 dicembre 2022, mira a colmare le lacune della precedente normativa NIS1 per rispondere alle crescenti minacce informatiche in un panorama digitale sempre più complesso e interconnesso.
Obiettivi della Normativa NIS2
Lo schema del decreto legislativo introduce diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. L’obiettivo principale della NIS2 è garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Questo obiettivo viene perseguito attraverso:
- Ampliamento del campo di applicazione: La NIS2 estende il campo di applicazione rispetto alla direttiva precedente, includendo più settori e servizi essenziali per l’economia e la società.
- Rafforzamento dei requisiti di sicurezza: Le aziende devono adottare misure tecniche e organizzative adeguate a gestire i rischi informatici, inclusi l’implementazione di sistemi di gestione della sicurezza delle informazioni (ISMS), la protezione delle reti, il controllo degli accessi e la gestione delle vulnerabilità.
- Miglioramento della resilienza e della risposta agli incidenti: Le organizzazioni devono avere piani di continuità operativa e di ripristino di emergenza, nonché procedure per la gestione degli incidenti di sicurezza informatica.
- Collaborazione e condivisione delle informazioni: La normativa promuove una maggiore cooperazione tra gli Stati membri dell’UE e incoraggia la condivisione delle informazioni sui rischi e sugli incidenti di sicurezza informatica.
Chi deve Adottare la Normativa NIS2 in Italia?
Lo schema di decreto italiano prevede obblighi principali per diverse categorie di soggetti, tra cui in particolare i soggetti “essenziali” e “importanti”, gli “organi di amministrazione e direttivi”, e i soggetti che forniscono servizi di infrastrutture digitali. In generale, rientrano in queste categorie le medie e grandi imprese appartenenti (ma non esclusivamente) ai seguenti settori merceologici:
- Energia: Compagnie energetiche, operatori di rete e fornitori di servizi.
- Trasporti e Automotive: Aeroporti, porti, ferrovie e operatori di trasporto pubblico.
- Sanità: Ospedali, cliniche e fornitori di servizi sanitari digitali.
- Bancario e Finanziario: Istituti bancari, servizi di pagamento e borse valori.
- Acqua Potabile: Fornitori di acqua e servizi di gestione delle risorse idriche.
- Infrastrutture Digitali: Provider di servizi cloud, data center e reti di comunicazione elettronica.
- Gestione dei rifiuti: servizi di raccolta e smaltimento rifiuti urbani e industriali.
- Prodotti alimentari:
Quali sono le implicazioni per le Aziende coinvolte dalla NIS2?
Le aziende che rientrano nel campo di applicazione della NIS2 devono:
- Condurre Valutazioni dei Rischi: ossia identificare e valutare i rischi associati ai loro sistemi informativi e implementare misure adeguate a mitigare tali rischi.
- Implementare Misure di Sicurezza: adottare misure tecniche e organizzative per garantire la sicurezza delle loro reti e sistemi informativi, in linea con le migliori pratiche del settore.
- Monitorare e Segnalare gli Incidenti: stabilire processi per la rilevazione, la gestione e la segnalazione degli incidenti di sicurezza informatica alle autorità competenti.
- Formazione e Sensibilizzazione: Formare il personale sulle pratiche di sicurezza informatica e sensibilizzare sull’importanza della protezione dei dati e delle infrastrutture critiche.
- Continuità operativa e gestione backup e ripristino: stabilire procedure per il ripristino in tempi rapidi dell’operatività aziendale a seguito di eventi disastrosi.
Le misure della direttiva NIS2 sono obbligatorie?
Il decreto legislativo di attuazione della NIS2 prevede elementi di attenzione ben precisi per il comparto manageriale:
- Gli organi direttivi delle entità essenziali e importanti devono mettere in campo azioni concrete di gestione del rischio cyber per conformarsi alle misure minime di sicurezza cibernetica previste della Direttiva NIS2 (Articolo 21).
- Questi ne supervisionano l’attuazione e possono essere ritenuti responsabili per le violazioni di tale articolo da parte del soggetto di controllo, che nel caso dell’Italia è l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha costituito al suo interno un’apposita divisione dedicata ad effettuare i controlli e a comminare le sanzioni.
- I manager, pubblici o privati, dei soggetti interessati dalla NIS2 sono tenuti a formarsi, anche attraverso corsi e dovrebbero incoraggiare le proprie organizzazioni di appartenenza a fornire regolarmente una formazione analoga verso i propri dipendenti.
Applicazione e sanzioni della NIS2
La NIS2 prevede l’imposizione di sanzioni amministrative che possono essere molto importanti per le violazioni da parte dei soggetti obbligati:
- Un importo massimo di 10.000.000 di euro o fino al 2% del fatturato totale annuo dell’impresa a cui appartiene l’entità essenziale nell’esercizio precedente, a seconda di quale sia il valore più alto e salvo diverse disposizioni del legislatore.
- Un importo massimo di 7.000.000 di euro o dell’1,4% del fatturato mondiale totale annuo dell’impresa a cui appartiene l’entità importante nell’esercizio precedente, a seconda di quale sia il valore più alto e salvo diverse disposizioni del legislatore.
Quali sono i punti di intervento sulla sicurezza informatica richiesti dalla Direttiva NIS2
La normativa NIS2 rappresenta un passo significativo verso il miglioramento della sicurezza informatica in Europa. Le aziende devono prepararsi per essere in grado di adottare le nuove disposizioni e proteggere il loro sistema IT, contribuendo così alla resilienza delle infrastrutture critiche europee. In particolare, viene richiesto l’intervento in attività specifiche quali:
- Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- Creare piani di gestione degli incidenti informatici;
- Assicurare la continuità operativa tramite azioni quali la gestione dei backup e il ripristino in caso di disastro, unitamente alla crisis response;
- Garantire la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori;
- Mettere in sicurezza gli asset informatici e di rete in ogni fase, dallo sviluppo alla manutenzione;
- Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cyber sicurezza;
- Creare e rispettare pratiche di igiene informatica di base e garantire formazione in materia di cybersecurity;
- Stabilire politiche e procedure relative all’uso della crittografia e della cifratura;
- Garantire la sicurezza informatica per il personale, impostando strategie di controllo dell’accesso e gestione degli operatori;
- Usare soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
- Segnalare tempestivamente gli incidenti informatici e le criticità annesse sul portale del CSIRT (Computer Security Incident Response Team).
Conclusioni
In un mondo sempre più digitale e connesso, la sicurezza informatica non è solo una necessità tecnica, ma un imperativo strategico per la sicurezza, la continuità e il successo a lungo termine dell’Unione Europea. Attraverso l’adozione delle misure previste dalla NIS2, le organizzazioni saranno in grado di migliorare la loro capacità di prevenire, rilevare e rispondere alle minacce informatiche, proteggendo così i loro asset e la fiducia dei loro clienti.
Con soluzioni e tecnologie all’avanguardia, che rispondono ai più stringenti requisiti di sicurezza imposti dalla normativa NIS2 siamo in grado di accompagnare le imprese coinvolte nell’adozione di tutti i requisiti previsti, garantendo protezione e compliance in tutta la catena del valore.