La direttiva NIS-2: un nuovo ostacolo alla compliance aziendale

/in /da

⚖👨🏻‍💻 Il panorama legislativo nel settore della Cyber Security è in costante evoluzione, con normative sempre più stringenti a protezione delle infrastrutture digitali e dei dati sensibili. L’adattamento a queste nuove normative è una delle sfide che le aziende dovranno imparare a gestire sempre più spesso.

🔐🤝🏻 Essere Compliant è di vitale importanza per le aziende. Garantire la sicurezza delle informazioni e delle infrastrutture tecnologiche non solo rafforza la reputazione dell’azienda stessa, ma promuove anche la fiducia tra i clienti e gli stakeholder.

💸📉 Chi si rifiuta di adeguarsi alle nuove normative rischia di incorrere in sanzioni significative, ma la non conformità può comportare anche conseguenze non finanziarie, capaci di mettere a repentaglio la sostenibilità e la competitività delle aziende sul mercato.

👨🏻‍⚖️🔨 La Normativa NIS-2 rappresenta il nuovo ostacolo normativo che le aziende devono affrontare. Un adeguamento tempestivo non solo evita sanzioni, ma contribuisce a creare un ambiente digitale più sicuro, promuovendo la resilienza e la sostenibilità nel contesto aziendale.

La NIS-2 è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. Entrata in vigore il 17 gennaio 2023, la direttiva dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.

Cosa significa NIS-2

NIS-2 è l’abbreviazione con cui viene chiamata la nuova direttiva europea sulla cybersecurity, la cui denominazione ufficiale è “Direttiva sulle misure per un livello comune elevato di cybersicurezza in tutta l’Unione”.

NIS è l’acronimo di “Network and Information Systems”, in quanto il provvedimento contiene misure pensate per aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea.

La direttiva NIS-2 ha aggiornato la precedente NIS-1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia.

Perché l’UE ha approvato una nuova direttiva NIS?

La nuova direttiva europea sulla cybersecurity NIS-2 si è resa necessaria per porre rimedio ai limiti della NIS-1. Limiti apparsi praticamente sin dalla sua introduzione, a causa di un generalizzato aumento del tasso di digitalizzazione in tutti i Paesi membri, che ha ampliato la cosiddetta superficie di attacco informatico.

Si tratta di un indicatore che esprime delle relazioni dirette molto semplici, ma importanti: più ampia è la superficie di attacco, più elevato è il rischio che eventuali attacchi vadano a buon fine, quindi maggiori sono i danni che si possono subire, ma allora deve essere innalzato il livello di protezione dei sistemi.

Il processo di obsolescenza della direttiva NIS-1 era stato poi accentuato dal Covid-19, che ha dato una spinta inattesa alla diffusione dei sistemi e delle tecnologie digitali, senza che tuttavia ci fosse una crescita altrettanto spinta nelle misure e nei sistemi di sicurezza adottati.

Direttiva NIS 2, chi deve rispettarla

Per stabilire quali aziende devono rispettare gli obblighi previsti, la direttiva NIS-2 indica tre criteri:

  1. Settore di appartenenza;
  2. Dimensione dell’azienda;
  3. Ruolo che le aziende hanno nel loro settore.

I settori a cui si applica la NIS 2 si dividono in settori ad alta criticità e settori critici:

  • Settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
  • Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sotto settori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitale; ricerca.

All’interno di questi settori la direttiva NIS-2 si applica a soggetti pubblici o privati di medie o grandi dimensioni.

Indipendentemente dalla loro dimensione, la NIS-2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.

NIS 2, quando non si applica e quando decidono gli Stati

Per alcune categorie di soggetti la NIS-2 non si applica oppure la decisione se sottoporle o meno alla direttiva è lasciata alla libertà del singolo Stato. La normativa NIS-2 non si applica a: 

  • Pubbliche Amministrazioni che si occupano di sicurezza nazionale, pubblica sicurezza, difesa e contrasto dei reati; 
  • Soggetti del settore giudiziario; 
  • Parlamenti; 
  • Banche centrali.

La direttiva NIS-2 si applica a discrezione del singolo Stato membro nel caso di Pubbliche Amministrazioni locali e istituti d’istruzione con funzioni di ricerca. Oltre a questi casi, i singoli Stati possono escludere dalla direttiva anche altri soggetti.

Cosa prevede la direttiva NIS-2

La direttiva NIS-2 stabilisce delle norme minime che tutti gli Stati membri devono rispettare per avere una maggiore armonizzazione a livello UE di legislazioni e procedure di cybersicurezza. Tuttavia, i singoli Stati sono liberi di approvare norme nazionali ancora più severe, decidendo di innalzare ulteriormente il loro livello di cybersicurezza nazionale.

Con la direttiva NIS-2 vengono inoltre previsti dei meccanismi di cooperazione tra le autorità nazionali di cybersecurity e viene introdotta una rete europea per le crisi informatiche (EU-CyCLONe) che prevede la gestione coordinata degli incidenti e delle crisi di cybersicurezza. Tutti gli Stati e le imprese interessate hanno l’obbligo di condividere le informazioni importanti per la cybersecurity.

La direttiva prevede poi una serie di azioni per innalzare il livello di cybersicurezza nel mercato europeo, divise tra azioni che devono essere compiute dai singoli Stati e azioni rivolte alle imprese. Gli Stati membri devono adottare strategie di cybersecurity nazionali, creare autorità nazionali di cybersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (i cosiddetti CSIRT); rispettare obblighi di vigilanza ed esecuzione. Le imprese devono rispettare gli obblighi di gestione dei rischi di cybersicurezza e di segnalazione.

Tra gli obblighi che le aziende devono rispettare in base alla direttiva NIS-2 c’è anche l’uso di soluzioni di Autenticazione a più fattori o di autenticazione continua e noi di Eprom Solutions possiamo supportarvi nell’implementazione di sistemi di 2FA (2 Factor Authentication) o MFA (Multi-Factor Authentication) e altre misure per aumentare il livello di sicurezza minimo della vostra infrastruttura tecnologica, proteggere i vostri preziosi dati aziendali da pericolosi data breach ed evitare sanzioni salate.

Le sanzioni

Le entità essenziali che non rispettano gli obblighi di sicurezza cibernetica possono essere sanzionate fino a un massimo di 10 milioni di euro o il 2% del fatturato, a seconda di quale importo risulti più elevato. I soggetti considerati “importanti” possono essere soggetti a sanzioni fino a un massimo di 7 milioni di euro o l’1,4% del loro fatturato, a seconda di quale importo risulti più elevato. L’importo massimo delle sanzioni è proporzionato al fatturato dell’entità e serve come deterrente per garantire che le organizzazioni adottino misure adeguate a proteggere la sicurezza delle reti e delle informazioni. La NIS-2, in questo contesto, punta a rafforzare la responsabilità delle entità essenziali e importanti nel garantire una cybersicurezza adeguata.

↓ Contattaci per saperne di più ↓

Contattaci

#EpromSolutions #News #CyberSecurity #Compliance #NormativaNIS-2