Direttiva NIS 2

Scopri come la Direttiva NIS 2 può proteggere le tue infrastrutture critiche e garantire la resilienza contro le minacce cyber emergenti.

Cosa vuol dire NIS 2?

La Direttiva NIS2 (Network and Information Security) ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.

Chi ha emanato la NIS 2?

La Direttiva NIS2 pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016, nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.

Aziende

Evento sulla NIS 2

Evento con ospiti di alto livello che si è tenuto il 23 Gennaio 2024 presso il Centro Congressi Fiera di Pordenone.

Guarda gli interventi degli ospiti:

Intervento avv. Guido Scorza

Componente del Collegio del Garante per la protezione dei dati personali.

Guidi Scorza

Intervento ing. Corrado Giustozzi

Docente di cybersecurity presso LUISS, Campus Bio-Medico, Link Campus, SIOI; membro del Consiglio Direttivo di Clusit; già membro dell’Advisory Group dell’Agenzia dell’Unione Europea per la cybersecurity (ENISA).

Corrado Giustozzi

Intervento Fabrizio Cirilli

Formatore, consulente e auditor sistemi di gestione integrati.

Fabrizio Cirilli

Intervento dott. Maurizio Taglioretti (Netwrix)

Regional Manager SEUR di Netwrix.

Maurizio Taglioretti

Intervento Athos Cauchioli (NESQ)

Etical Hacker referente per la Cybersicurezza di multinazionali e a livello governativo.

Maurizio Taglioretti

Differenza tra NIS e NIS 2

La differenza principale tra la Direttiva NIS (Network and Information Security Directive) e la NIS 2 (Network and Information Security Directive 2) risiede nelle loro evoluzioni normative e nell’ambito di applicazione.

NIS

La NIS, conosciuta anche come NIS 1, è stata la prima direttiva relativa alla sicurezza delle reti e delle informazioni nell’Unione Europea.

È entrata in vigore nel 2016 e mirava a migliorare la sicurezza delle reti e dei sistemi informativi in Europa, imponendo obblighi a determinati settori e operatori considerati di importanza critica per l’infrastruttura digitale e la fornitura di servizi.

NIS 2

La NIS 2, invece, è una versione successiva e più avanzata della direttiva. Pubblicata nel dicembre 2022, amplia il suo campo di applicazione, coinvolgendo non solo gli operatori precedentemente inclusi nella NIS 1, ma anche le medie imprese che erogano servizi ritenuti “critici”.

Inoltre, la NIS 2 introduce misure più stringenti e specifiche per migliorare la prevenzione, la risposta e la resilienza agli incidenti di cybersecurity.

Cosa prevede specificamente la Direttiva NIS 2?

Ecco le principale aree di applicazione:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici; ( ISO27032 )
  • gestione degli incidenti; ( ISO 27035 )
  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; (ISO 22301)
  • sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; (ISO 27000-1 e ISO 20000-1)
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; ( ISO 20000-1)
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
  • pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
  • politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

La tua azienda è coinvolta?

La nuova direttiva è stata allineata con altre normative europee settoriali specifiche come la Direttiva sulla resilienza operativa digitale per il settore finanziario (DORA), cioè il Regolamento approvato in data 10/11/2022 avente lo scopo  di incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso  l’attuazione di una serie di misure di sicurezza obbligatorie, volte a garantire l’integrità delle informazioni e la cybersicurezza dei servizi, e la Direttiva sulla resilienza delle entità critiche CER (Critical Entity Resilience) , volta a  garantire chiarezza giuridica e coerenza tra le diverse direttive.

In particolare, oltre che agli operatori privati dei settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali (che comunque rimarranno soggetti alla Direttiva NIS fino alla sua abrogazione), la NIS 2 si applicherà anche ai fornitori di servizi digitali che operano nei seguenti settori, anch’essi ormai essenziali:

  •  

E-commerce

Motori di ricerca

Cloud Computing

Gestione dei servizi ICT

Inoltre, con la Direttiva NIS 2 il legislatore europeo ha elencato anche “altri settori critici” includendovi i seguenti:

Fabbricazione di rimorchi e semirimorchi

Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro

Fabbricazione di macchinari e apparecchiature n.c.a.

Fabbricazione, produzione e distribuzione di sostanze chimiche

Produzione, trasformazione e distribuzione di alimenti

Fabbricazione di apparecchiature elettriche

Fabbricazione prodotti di ottica

Fabbricazione di computer

Organizzazioni di ricerca

Fornitori di servizi digitali

Gestione dei rifiuti

Fabbricazione prodotti di elettronica

Servizi postali e di corriere

Per la corretta categorizzazione di tutti questi operatori, con l’intento già anticipato di superare le incertezze e disomogeneità della precedente Direttiva NIS, viene adottato il criterio della dimensione del soggetto da ritenere come essenziale o importante.

Quando entra in vigore la NIS 2?

L’entrata in vigore della NIS2 è prevista per ottobre 2024: le aziende e gli enti destinatari avranno quindi a disposizione un anno e mezzo per effettuare un assessment idoneo, individuare gli strumenti in materia di sicurezza informatica e gli adeguamenti documentali e procedurali opportuni per rispondere adeguatamente alle prescrizioni e formare il personale.

18 ottobre 2024

Giorni
Ore
Minuti
Secondi

Conosci le sanzioni previste dalla Direttiva NIS 2?

Le sanzioni previste dalla Direttiva NIS 2 includono misure pecuniarie e interdittive. Queste sanzioni possono essere applicate in modo proporzionato alla gravità delle violazioni e possono coinvolgere:

  1. Sanzioni pecuniarie: Multe o ammende pecuniarie imposte agli operatori che gestiscono servizi essenziali e importanti in caso di non conformità alle disposizioni della direttiva. La NIS 2 concede maggiori poteri delle autorità competenti, in particolare per quanto riguarda il monitoraggio delle entità essenziali che saranno soggette a vigilanza ex ante ed ex post e potranno essere sanzionate fino a 10 milioni di euro, o 2% del fatturato. Sanzioni che invece possono arrivare fino a 7 milioni di euro, o 1,4% del fatturato per i soggetti “importanti”.

  2. Sanzioni interdittive: Queste possono includere divieti temporanei a individui con ruoli dirigenziali, come amministratori delegati o rappresentanti legali, di esercitare funzioni dirigenziali. Inoltre, possono comportare la sospensione temporanea di certificati o autorizzazioni relativi ai servizi o alle attività pertinenti gestiti dal soggetto coinvolto.

Le sanzioni mirano a responsabilizzare concretamente gli operatori che gestiscono servizi essenziali e importanti, sottolineando l’importanza della sicurezza cibernetica non solo a livello individuale, ma anche sociale, culturale ed economico a livello internazionale.

Adeguarsi alla NIS 2 e Supporto Offerto

Impatti sulle aziende: cosa fare per adeguarsi alla NIS 2?

Punti comuni tra la GDPR, la NIS 2 e il Regolamento DORA

Esistono punti comuni tra la GDPR, la NIS 2 e il Regolamento DORA (qui trovi la versione PDF):

  1. Governance e organizzazione interna: È necessario definire chiaramente la struttura organizzativa, i ruoli e le responsabilità interni. Sono richieste politiche e procedure per l’applicazione corretta delle misure di sicurezza.
  2. Approccio basato sul rischio: Tutte e tre le normative adottano un approccio “risk-based”, richiedendo un’analisi del rischio specifica per pianificare le attività di protezione dei dati.
  3. Gestione degli incidenti: Indipendentemente se riguardano dati personali o meno, è necessario identificare, analizzare e valutare gli incidenti, oltre a verificare l’efficacia delle misure di sicurezza applicate.
  4. Fornitori e soggetti esterni: Le normative richiedono una valutazione delle misure di sicurezza adottate dai fornitori per garantire una catena di fornitura sicura.

L’obiettivo delle istituzioni europee è creare un insieme normativo che protegga la società dell’informazione. La sinergia tra GDPR, NIS 2 e DORA dimostra l’interconnessione tra le normative, suggerendo l’adozione di un approccio integrato alla conformità come risposta alle esigenze di protezione dei dati e della sicurezza informatica.

Scopri come adeguarti alla NIS 2

NIS 2 Pdf

Scarica la Direttiva Nis 2 in formato Pdf.

DORA Pdf

Scarica la Direttiva DORA in formato Pdf.

Evento NIS 2

Il 23 Gennaio 2024 si è tenuto un evento con ospiti di alto profilo che hanno mostrato come adeguarsi alla direttiva.

Contatti

Per qualsiasi informazione contattaci pure o compila il modulo sottostante:

©2023 TOP MANAGEMENT CONSULTING SRL | Via dei Cairoli, 71 – 36100 VICENZA (VI) | Tel. +39 3779466813 |  PARTITA IVA 03947550244 | Nr. REA: VI 367018 

segreteria@tmcnet.it | www.tmcnet.it – PRIVACY POLICY – COOKIE POLICY