Direttiva NIS2: cos’è, a chi si applica e come adeguarsi

Data: 5 Aprile 2024

Cos’è la direttiva NIS2 e perché è importante per le aziende

La Direttiva NIS2, ufficialmente nota come Direttiva (UE) 2022/2555, rappresenta un’evoluzione fondamentale nella politica di sicurezza dell’Unione Europea. Sostituisce la precedente direttiva NIS con l’obiettivo di modernizzare il quadro giuridico e di innalzare il livello comune di protezione informatica in tutti gli stati membri, per far fronte alla crescente digitalizzazione e alla sofisticazione delle minacce. 

Al centro della nuova direttiva si trova un concetto chiave: la resilienza operativa. Questa è la capacità della tua organizzazione non solo di resistere a un incidente, ma anche di continuare a operare durante la crisi e di ripristinare le funzioni essenziali in tempi rapidi. 

Perché questo concetto è così importante per te e per il top management? Perché la NIS2 sposta il focus dalla conformità tecnica alla responsabilità. Un incidente informatico non è più un problema relegato al reparto IT, ma un evento che può bloccare la produzione, interrompere i servizi e danneggiare la reputazione in modo irreparabile. Garantendo la resilienza operativa si può proteggere il motore del business e assicurare la continuità delle attività, un elemento fondamentale di ogni strategia di cybersecurity. 

 

A chi si applica la direttiva: soggetti essenziali e importanti

Con la Direttiva NIS2, l’applicazione delle norme di cybersecurity estende la platea di destinatari per migliorare la resilienza operativa di un numero sempre maggiore di enti pubblici e privati. La normativa introduce una distinzione chiara tra settori ad alta criticità, definiti “soggetti essenziali“, e altri settori critici, definiti “soggetti importanti“. 

L’inclusione in una categoria o nell’altra determina il livello di supervisione e le sanzioni applicabili, ma gli obblighi di sicurezza rimangono sostanzialmente gli stessi per entrambi. 

 

Chi sono i soggetti essenziali?

Questa categoria include le entità che operano in settori vitali per il funzionamento della società e dell’economia, già in gran parte coperti dalla precedente direttiva: 

  • Energia 
  • Trasporti 
  • Banche e infrastrutture dei mercati finanziari 
  • Sanità 
  • Acque potabili e acque reflue 
  • Infrastrutture digitali 

 

E i soggetti importanti?

La NIS2 amplia notevolmente il perimetro di applicazione, includendo una nuova serie di settori considerati critici: 

  • Servizi postali e di corriere 
  • Gestione dei rifiuti 
  • Fabbricazione, produzione e distribuzione di sostanze chimiche 
  • Produzione, trasformazione e distribuzione di alimenti 
  • Fornitori di servizi digitali (mercati online, motori di ricerca, social network) 
  • Ricerca scientifica 

A livello dimensionale, la direttiva si applica principalmente alle medie e grandi imprese. Sono interessate le aziende che hanno almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro (medie imprese) o almeno 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro (grandi imprese). 

 

Quali sono i requisiti e le misure di sicurezza obbligatorie

Il punto centrale della Direttiva NIS2 è l’articolo 21, che impone ai soggetti un approccio alla sicurezza basato sul rischio (risk-based approach) e definisce una lista minima di misure che devono essere adottate. La responsabilità della loro approvazione e supervisione ricade direttamente sul top management, sottolineando la natura strategica, e non solo tecnica, di questi adempimenti. 

Le organizzazioni devono implementare un framework di sicurezza che copra almeno i seguenti domini: 

  1. Analisi dei rischi e politiche di sicurezza dei sistemi informatici: condurre valutazioni periodiche dei rischi e definire policy chiare per la protezione dell’infrastruttura. 
  2. Gestione degli incidenti: implementare procedure complete per la prevenzione, il rilevamento, la gestione e la risposta agli incidenti, inclusi gli obblighi di notifica tempestiva alle autorità competenti. 
  3. Continuità operativa e gestione delle crisi: sviluppare e mantenere piani per garantire la continuità del business, come la gestione dei backup, strategie di disaster recovery e piani di risposta alle emergenze. 
  4. Sicurezza della catena di approvvigionamento (supply chain): valutare e gestire i rischi legati alla sicurezza dei propri fornitori e partner diretti, assicurandosi che anche loro rispettino standard di sicurezza adeguati. 
  5. Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi: integrare la sicurezza in tutto il ciclo di vita dei sistemi informativi, inclusa la gestione delle vulnerabilità. 
  6. Igiene informatica di base e formazione continua del personale: implementare policy e procedure per la sicurezza informatica di base (cyber hygiene) e organizzare programmi di formazione per aumentare la consapevolezza dei dipendenti. 
  7. Policy e procedure sull’uso della crittografia e della cifratura: definire quando e come utilizzare la crittografia per proteggere i dati, sia a riposo (at-rest) che in transito (in-transit). 
  8. Sicurezza delle risorse umane, policy di controllo degli accessi e uso di soluzioni di autenticazione a più fattori (MFA): implementare controlli rigorosi sugli accessi ai dati e ai sistemi, basati sui principi del minimo privilegio e rafforzati dall’uso dell’autenticazione a più fattori. 

Queste misure sono i componenti di una strategia di resilienza integrata, che deve essere costantemente monitorata e migliorata nel tempo. 

 

Vuoi saperne di più? Compila il form!

 

Scadenze e sanzioni: cosa prevede la normativa NIS2 

Il 17 ottobre 2024 ha segnato una scadenza cruciale per la cybersecurity in Europa. Entro quella data, tutti gli Stati membri hanno recepito la Direttiva NIS2 nella propria legislazione nazionale. Di conseguenza, gli obblighi previsti sono ad oggi operativi e vincolanti per tutte le organizzazioni designate. 

La fase di preparazione è terminata e la conformità è ormai un obiettivo del presente. Per rafforzare l’importanza di questi adempimenti, la NIS2 ha introdotto un apparato sanzionatorio severo per le entità che non rispettano le misure di sicurezza e gli obblighi di notifica. Le multe, modellate sull’approccio del GDPR, sono differenziate in base alla tipologia di soggetto: 

  • Per i soggetti essenziali, le sanzioni amministrative possono arrivare fino a un massimo di 10 milioni di euro o, se superiore, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente. 
  • Per i soggetti importanti, le sanzioni possono arrivare fino a un massimo di 7 milioni di euro o, se superiore, fino all’1,4% del fatturato totale annuo mondiale dell’esercizio precedente. 

Queste cifre dimostrano un chiaro messaggio da parte del legislatore europeo: la cybersecurity è un investimento strategico con precise responsabilità legali e finanziarie che ricadono direttamente sull’alta direzione.

  

Come adeguarsi alla NIS2: una checklist operativa

Adeguarsi alla Direttiva NIS2 richiede un approccio strutturato e multidisciplinare. Si tratta, infatti, di integrare la sicurezza in ogni aspetto dell’organizzazione. Per aiutarti a comprendere a pieno questo processo, abbiamo creato una checklist con i passaggi fondamentali da intraprendere.

  1. Analisi e comprensione della normativa: il primo passo è comprendere a fondo i requisiti della direttiva e valutare l’impatto specifico che avranno sulla tua azienda, determinando se rientri tra i soggetti essenziali o importanti.
  2. Valutazione del rischio (Risk Assessment): conduci un’analisi completa dei rischi per identificare le vulnerabilità attuali della tua infrastruttura IT e OT. Questo processo ti permetterà di mappare le aree di debolezza e di prioritizzare gli interventi, tenendo conto dei più recenti rischi dei cyber attacchi.
  3. Implementazione di misure tecniche e organizzative: sulla base del risk assessment, adegua le tue difese. Questo include l’aggiornamento delle policy di sicurezza, l’implementazione di controlli sugli accessi (come l’MFA), l’adozione di crittografia e l’aggiornamento delle tecnologie di protezione.
  4. Definizione di un piano di risposta agli incidenti: stabilisci procedure chiare e testate per il rilevamento, la gestione e la notifica degli incidenti di sicurezza, assicurandoti di rispettare le tempistiche imposte dalla normativa.
  5. Formazione continua del personale: crea un programma di security awareness per aumentare la consapevolezza dei dipendenti sui rischi informatici. Il fattore umano è un elemento centrale della strategia di difesa richiesta dalla NIS2.
  6. Verifica della supply chain: valuta la postura di sicurezza dei tuoi fornitori e partner critici. La direttiva ti rende responsabile anche dei rischi provenienti dalla tua catena di approvvigionamento.
  7. Revisione e aggiornamento continuo: la conformità non è un progetto una tantum. Pianifica audit e revisioni periodiche per garantire che le misure di sicurezza rimangano efficaci nel tempo e si adattino all’evoluzione delle minacce.

 

Domande frequenti (FAQ) sulla direttiva NIS2 

Per concludere, abbiamo raccolto le risposte alle domande più comuni sulla direttiva. 

 

Qual è la scadenza per adeguarsi alla NIS2? 

La scadenza per il recepimento della direttiva NIS2 da parte degli Stati membri era il 17 ottobre 2024. Di conseguenza, la normativa è già pienamente in vigore e i suoi obblighi sono vincolanti per tutte le organizzazioni designate. La conformità non è più un obiettivo futuro, ma un requisito attuale e immediato. 

 

Quali sono le sanzioni per chi non si adegua alla direttiva NIS2? 

Le sanzioni previste sono severe e differenziate in base alla classificazione dell’entità. Per i soggetti essenziali, le multe arrivano fino a 10 milioni di euro o il 2% del fatturato annuo mondiale. Per i soggetti importanti, le multe arrivano fino a 7 milioni di euro o l’1,4% del fatturato annuo mondiale. 

 

Che differenza c’è tra la direttiva NIS e la NIS2? 

La NIS2 è un’evoluzione significativa della prima direttiva NIS. Le differenze principali sono quattro: un ambito di applicazione molto più vasto (più settori inclusi), requisiti di sicurezza più stringenti e specifici, sanzioni notevolmente più elevate e una responsabilità diretta attribuita al top management delle organizzazioni. 

 

Anche la Pubblica Amministrazione è soggetta alla NIS2? 

Sì, la direttiva si applica a numerose entità della Pubblica Amministrazione, in particolare a livello di governo centrale e regionale. Tuttavia, sono previste esclusioni specifiche per gli enti le cui attività rientrano nell’ambito della sicurezza nazionale, dell’ordine pubblico, della difesa, nonché per la magistratura, i parlamenti e le banche centrali. Le amministrazioni locali sono generalmente escluse, a meno che non forniscano servizi che rientrano in uno dei settori designati.