Nuovi obblighi per le aziende e le infrastrutture critiche
La NIS2, acronimo di Network and Information Security Directive, è la nuova normativa europea entrata in vigore nel gennaio 2023 con l’obiettivo di potenziare la sicurezza informatica in tutti gli Stati membri dell’Unione Europea. Questa direttiva sostituisce la precedente Direttiva sulla Sicurezza delle Reti e dei Sistemi Informatici (Network and Information Systems NIS) del 2016, e verrà ratificata in Italia entro l’ottobre del 2024.
La NIS2, concepita in risposta ai numerosi cyber attacchi di notevole risonanza e impatto negativo, rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e e requisiti di applicazione più rigorosi.
A differenza della sua predecessora, la NIS2 si applica a un numero più ampio di organizzazioni, tra cui gli Operatori di Servizi Essenziali (OSE), che forniscono servizi vitali per la società, come l’energia, l’acqua, il gas, le comunicazioni e i trasporti. Inoltre, la direttiva si estende anche ai Fornitori di Servizi Digitali (FDS), che offrono servizi digitali a un gran numero di utenti nell’Unione Europea, come i social network, i marketplace e i servizi di e-commerce.
La NIS2 fa una distinzione tra operatori di “servizi essenziali” e “servizi importanti”. Nella prima categoria rientrano anche le Pubbliche Amministrazioni, accanto ad operatori nei settori energetico, sanitario, spaziale, bancario, dei trasporti, delle infrastrutture digitali e delle acque.
La seconda categoria include operatori di servizi postali e di corriere, gestori di rifiuti, aziende del settore chimico, agroalimentare e altri settori assimilabili.
La direttiva si applica in generale ai soggetti pubblici o privati operanti in uno dei settori sopra menzionati che soddisfano i requisiti delle medie imprese secondo i parametri stabiliti dalla Raccomandazione 2003/361/CE (meno di 250 persone, fatturato annuo inferiore a 50 milioni di euro e bilancio annuo inferiore a 43 milioni di euro) o superano tali limiti. Sono escluse dall’ambito di applicazione della direttiva solamente le piccole imprese e le microimprese, con alcune eccezioni specifiche.
La NIS2 impone obblighi di sicurezza più rigorosi alle organizzazioni interessate, tra cui la valutazione dei rischi, l’implementazione di misure di sicurezza tecniche e organizzative, la formazione del personale e la segnalazione degli incidenti di sicurezza.
Secondo la nuova direttiva, gli organi di gestione delle entità critiche (ad es. i team esecutivi) possono essere ritenuti personalmente responsabili delle infrazioni.
Inoltre, prevede la creazione di un Network and Information Security Agency (ENISA), un’agenzia dell’Unione Europea incaricata di assistere gli Stati membri nell’applicazione della direttiva.
La Direttiva NIS2 è stata introdotta con l’obiettivo di rafforzare la sicurezza informatica nell’Unione Europea, aumentare la consapevolezza dei rischi informatici e migliorare la capacità di risposta agli incidenti di sicurezza. Il suo scopo principale è creare un ambiente più sicuro per le organizzazioni e i cittadini europei, riducendo il rischio di attacchi informatici.
Da notare, infine, che la Direttiva NIS2 si integra con altre normative e linee guida europee in materia di protezione dei dati e della privacy, come il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Se hai bisogno di assistenza nell’adeguamento alla NIS2, SoftJam è un system integrator che offre servizi di consulenza e implementazione per la sicurezza informatica, e può essere un valido partner per le organizzazioni che necessitano di conformarsi a questa nuova direttiva.
Fonti
https://digital-strategy.ec.europa.eu/it/policies/nis2-directive
https://www.altalex.com/documents/news/2023/01/24/cibersicurezza-direttiva-nis-2
https://www.cybersecurity360.it/legal/direttiva-nis2-approvata-ecco-cosa-cambia-in-materia-di-sicurezza-di-dati-reti-e-sistemi/
https://www.cybersecurity360.it/cybersecurity-nazionale/direttiva-nis-2-gli-impatti-sulle-aziende-cosa-fare-per-adeguarsi/
https://www.dnv.it/news/la-direttiva-nis2-e-gli-obblighi-di-cybersicurezza-per-le-aziende-240275
https://www.industriaitaliana.it/tieghi-nis-2-cybersecurity-ot-ics/
Contattaci per iniziare il percorso di adeguamento alla nuova normativa