DIRETTIVA EUROPEA
NIS 2
Nell’era digitale la sicurezza informatica è una delle principali preoccupazioni sia per i singoli sia per le organizzazioni, a causa della crescente frequenza e complessità degli attacchi informatici.
OBIETTIVI DELLA
DIRETTIVA NIS 2
Nell’era digitale la sicurezza informatica è una delle principali preoccupazioni sia per i singoli sia per le
organizzazioni, a causa della crescente frequenza e complessità degli attacchi informatici. Per questo motivo nel 2016 la Commissione Europea ha introdotto la direttiva UE sulla sicurezza delle reti e delle informazioni (Network and Information Security, NIS) per migliorare la sicurezza informatica nell’Unione Europea. Tuttavia la direttiva mancava di accountability, spingendo la Commissione a prevedere la sua sostituzione con la più robusta direttiva NIS2.
NIS2 impone alle aziende di implementare misure fondamentali di cybersecurity, tra cui la sicurezza della supply chain, la crittografia e la cifratura (articolo 18). L’articolo 89 evidenzia l’adozione di pratiche di igiene informatica di base, come i principi di zero-trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete e l’Identity and Access Management per i soggetti classificati come essenziali e importanti.
ATTACCO AL CASTELLO
E DIFESA
Immagina di essere il guardiano di un castello digitale, dove ogni giorno migliaia di hacker cercano di penetrare le mura per rubare informazioni preziose. Questo è esattamente ciò che accade nel mondo della sicurezza informatica, dove la protezione dei dati è una battaglia costante. Nel 2016, l'Unione Europea ha introdotto la direttiva NIS per affrontare questa sfida crescente. Una sfida che, alla luce delle nuove minacce, necessita di nuovi strumenti: ecco perché è nata NIS2, una versione evoluta della sua versione precedente
Confronto NIS e NIS2
cosa è cambiato?
Ci sono alcune differenze importanti tra la vecchia e la nuova Direttiva:
- La nuova proposta elimina la distinzione tra Operatori di Servizi Essenziali (Operators of Essential Services, OES) e Fornitori di Servizi Digitali (Digital Service Providers, DSP), classificando invece i soggetti come essenziali o importanti.
- Il campo di applicazione della Direttiva viene ampliato per coprire nuovi settori in base alla loro criticità per l’economia e la società, includendo tutte le aziende di medie e grandi dimensioni in tali settori. Gli Stati membri possono anche identificare entità più piccole con un profilo ad alto rischio.
- Viene proposta l’istituzione di una Rete Europea di Organizzazioni di Collegamento per le Crisi Informatiche (European Cyber Crisis Liaison Organization Network EUCyCLONe) per lavorare collettivamente nella preparazione e nell’implementazione di piani di risposta rapida alle emergenze, ad esempio in caso di incidenti o crisi informatiche su larga scala.
- Maggiore coordinamento nella divulgazio- ne di nuove vulnerabilità scoperte nell’Unione Europea. Viene stabilito un elenco di sanzioni amministrative (simili a quelle del GDPR), incluse multe per la violazione degli obblighi di reporting e gestione del rischio di cybersecurity.
- NIS2 impone obblighi diretti al management per implementare e supervisionare la conformità della propria organizzazione alla legislazione – risultanti in potenziali multe e divieto temporaneo di esercitare funzioni di gestione, anche a livello di C-suite in caso di inadempienze.
Inoltre, introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto dei report e sulla tempistica (entro 24 ore dalla scoperta dell’incidente). A livello europeo la proposta rafforza la sicurezza informatica per le tecnologie ICT chiave. Gli Stati membri, in collaborazione con la Commissione e l’Agenzia dell’Unione Europea per la Cybersecurity ENISA, dovranno effettuare risk assessment coordinati per le supply chain critiche.
A chi si applica
la NIS 2
Mentre la vecchia direttiva NIS attribuiva agli Stati membri la responsabilità di determinare quali soggetti avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola dimensionale. Ciò significa che tutte le entità di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo ambito di applicazione.
Di seguito può trovare la classificazione:
| Soggetti essenziali (EE) | Soggetti importanti (IE) |
|---|---|
| Soglia dimensionale: varia a seconda del settore, ma in genere 250 dipendenti, ricavi annui di 50 milioni di euro o bilancio di 43 milioni di euro. | Soglia dimensionale: varia a seconda del settore, ma generalmente 50 dipendenti, ricavi annui di 10 milioni di euro o bilancio di 10 milioni di euro. |
| Energia | Servizi postali |
| Trasporti | Gestione dei rifiuti |
| Finanza | Prodotti chimici |
| Pubblica Amministrazione | Ricerca |
| Salute | Alimentari |
| Spazio | Industria manifatturiera |
| Approvvigionamento idrico (acqua potabile e acque reflue) | Provider digitali (ad es. social network, motori di ricerca, marketplace online) |
| Infrastrutture digitali (ad es. fornitori di servizi di cloud computing e gestione ICT) | |
Come possiamo aiutare le aziende
ad essere conformi alla NIS2?
In Euro Informatica abbiamo creato un team dedicato di esperti certificati Lead auditor ISO 27001, altamente qualificati e specializzati, che contribuiranno a garantire che le aziende abbiano tutti i requisiti di sicurezza necessari per essere al passo con la Direttiva NIS2. Con il nostro aiuto le organizzazioni possono evitare le possibili sanzioni e ispirare ulteriore fiducia ai propri clienti.
Dall’identificazione iniziale degli operatori di servizi essenziali (Operators of Essential Services, OES) all’autovalutazione, al risk assessment e risk treatment, la nostra esperienza di collaborazione con le organizzazioni di tutti i settori può supportarle nel percorso verso la conformità alla Direttiva NIS2.
I Nostri Servizi in relazione ai requisiti NIS2
- Assessment del posizionamento/maturità della cybersecurity rispetto ai framework standard del settore
- Sviluppo di una strategia di sicurezza informatica/cyber e presentazioni al board
- Strategia/governance informatica
- Gestione del rischio e reporting
- Gap Analysis e supporto all’implementazione (ISO/IEC 27001, SOC 2, NIST CSF/800-53)
- Sensibilizzazione sulla sicurezza informatica e formazione sulla Business Continuity (ISO 22301)
Domande chiave da considerare
- La vostra azienda fornisce servizi critici o funzioni essenziali direttamente ai clienti finali, o come fornitore chiave che potrebbe influenzare la sicurezza pubblica o la stabilità economica?
- La vostra azienda opera in un settore coperto dalla Direttiva NIS2?
- La vostra azienda ha sede al di fuori dell'UE, ma offre servizi critici all'interno dell'UE?
- La vostra azienda è un FORNITORE di un soggetto obbligato?
- Si applica il principio del lex specialis?