La Direttiva NIS2

Alcune delle principali differenze tra la vecchia e la nuova direttiva riguardano disposizioni più precise sul processo di reporting degli incidenti, sul contenuto dei report e sulla tempistica. A livello europeo, NIS2 rafforza la sicurezza informatica delle principali tecnologie ICT. Gli Stati membri dovranno effettuare valutazioni coordinate dei rischi delle supply chain critiche in collaborazione con la Commissione ed ENISA, l’Agenzia dell'Unione europea per la cybersicurezza.

Leggi la nostra brochure per saperne di più sulle differenze tra la vecchia e la nuova direttiva.

NIS2 riguarda tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l'economia e la società europee.  

Se la tua organizzazione appartiene ad una delle categorie seguenti rientra nel campo di applicazione della NIS2.

Soggetti essenziali (EE)
Soglia dimensionale: varia a seconda del settore, ma in genere 250 dipendenti, ricavi annui di 50 milioni di euro o bilancio di 43 milioni di euro.  

• Energia  
• Trasporti  
• Finanza  
• Pubblica Amministrazione  
• Salute  
• Spazio  
• Approvvigionamento idrico (acqua potabile e acque reflue)  
• Infrastrutture digitali (ad es. fornitori di servizi di cloud computing e gestione ICT).

Soggetti importanti (IE)  

Soglia dimensionale: varia a seconda del settore, ma generalmente 50 dipendenti, ricavi annui di 10 milioni di euro o bilancio di 10 milioni di euro.

• Servizi postali  
• Gestione dei rifiuti  
• Prodotti chimici  
• Ricerca  
• Alimentari  
• Industria manifatturiera  
• Provider digitali (ad es. social network, motori di ricerca, marketplace online).

I settori inizialmente coperti dalla direttiva originale rimarranno nell'ambito di applicazione della direttiva NIS2. Inoltre alcune organizzazioni più piccole, considerate critiche per il funzionamento di uno Stato membro, saranno incorporate nel quadro NIS2 per affrontare i potenziali problemi che potrebbero sorgere nel caso di un attacco informatico ai loro danni.  

La Direttiva NIS2 riconosce inoltre che alcuni settori potrebbero già disporre di una legislazione in materia di sicurezza informatica. Laddove tali specifiche leggi di settore offrissero misure di cybersicurezza comparabili o migliori di quelle indicate nella Direttiva NIS2, i soggetti coinvolti non saranno coperti dalle applicabili sezioni della direttiva. Tuttavia, le disposizioni della Direttiva NIS2 continueranno ad applicarsi alle organizzazioni non coperte da questa legislazione settoriale.

La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.

• Gestione del rischio

Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.

• Responsabilità aziendale

NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali.

• Obblighi di comunicazione

I soggetti essenziali e cruciali devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un "early warning" entro 24 ore.

• Continuità del business

Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.  

Un buon modo per garantire che la tua azienda soddisfi i requisiti NIS2 è quello di ottenere la certificazione ISO/IEC 27001 (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.

Il nostro documento di confronto offre una pratica sintesi della relazione tra NIS2 e lo standard ISO/IEC 27001.

Oltre alla certificazione della ISO/IEC 27001 e dell’ISO 22301, possiamo eseguire una Gap Analysis per la tua azienda. I nostri esperti identificheranno i requisiti già soddisfatti e i passi ancora da compiere per raggiungere la conformità NIS2.  

Poiché uno degli elementi chiave della Direttiva NIS2 è rappresentato dall’assessment della sicurezza della supply chain, la tua organizzazione potrebbe aver bisogno di un Audit della supply chain. Anche in questo caso puoi contare sul nostro supporto per raggiungere la conformità rispetto a NIS2.

Per approfondire il tema della conformità rispetto a NIS2 puoi consultare:

• la nostra brochure, per saperne di più su come ISO/IEC 27001 e ISO 22301 aiutino a garantire tale conformità.
• il nostro documento di confronto tra i requisiti NIS2 e lo standard ISO/IEC 27001. 

Il termine ultimo per l’adozione della Direttiva NIS2 da parte degli Stati membri è il 17 ottobre 2024.

Le organizzazioni che rientrano nel campo di applicazione della Direttiva NIS2 in caso di mancato rispetto possono incorrere in multe di importo fino a 10 milioni di euro o al 2% del fatturato annuo totale a livello mondiale (viene considerato il valore più elevato tra i due). Oltre alla multa, possono essere comminate anche sanzioni non pecuniarie e sanzioni penali a carico del management.

Per quanto riguarda le sanzioni amministrative, la Direttiva NIS2 distingue accuratamente tra soggetti essenziali e importanti.

Per conoscere maggiori dettagli sulle sanzioni per la mancata conformità, scarica la nostra brochure.