La direttiva NIS2 (Network and Information Security Directive 2) è un regolamento dell’Unione Europea che aggiorna e amplia la direttiva NIS originale del 2016. Il suo obiettivo è migliorare il livello di sicurezza cibernetica e di resilienza delle infrastrutture critiche all’interno degli Stati Membri dell’UE. NIS2 è stata formalmente adottata il 27 dicembre 2022, con la finalità di affrontare le sfide poste dalle crescenti minacce cibernetiche e garantire un alto livello di sicurezza informatica per le infrastrutture e i servizi essenziali.
Aspetti principali della Direttiva NIS2
NIS2 introduce una serie di cambiamenti e nuovi requisiti per le organizzazioni, espandendo il campo di applicazione e rafforzando gli obblighi per migliorare la resilienza informatica. Di seguito, i punti principali della direttiva:
- Estensione del Campo di Applicazione:
- A differenza della direttiva NIS originale, che copriva principalmente i settori delle telecomunicazioni, dell’energia e dei trasporti, NIS2 amplia notevolmente l’ambito d’applicazione. Ora include un maggior numero di settori critici come:
- Fornitura di acqua e gestione dei rifiuti.
- Sanità (compresi ospedali e produzione farmaceutica).
- Infrastrutture digitali (es. data center, servizi cloud e DNS).
- Servizi alimentari e della grande distribuzione.
- Questo ampliamento è pensato per riflettere l’importanza crescente della sicurezza informatica in un numero sempre maggiore di settori che, se attaccati, potrebbero avere un impatto significativo sulla società e sull’economia.
- A differenza della direttiva NIS originale, che copriva principalmente i settori delle telecomunicazioni, dell’energia e dei trasporti, NIS2 amplia notevolmente l’ambito d’applicazione. Ora include un maggior numero di settori critici come:
- Requisiti di Sicurezza Rinforzati:
- Le organizzazioni coperte dalla NIS2 devono adottare misure tecniche e organizzative avanzate per prevenire e mitigare gli incidenti informatici. Ciò include la gestione del rischio, la prevenzione degli incidenti, la protezione della supply chain, e l’implementazione di piani di continuità operativa.
- È inoltre previsto un maggiore focus sulla protezione della supply chain e dei fornitori esterni, in modo da garantire che la sicurezza informatica sia presa in considerazione lungo tutta la catena di approvvigionamento.
- Segnalazione degli Incidenti:
- Un cambiamento significativo introdotto dalla NIS2 è l’obbligo di segnalare gli incidenti significativi alle autorità competenti entro un breve lasso di tempo (solitamente entro 24 ore per una notifica iniziale) e di fornire rapporti dettagliati con aggiornamenti sulle misure correttive intraprese.
- Questa misura mira a garantire una maggiore trasparenza e un rapido intervento in caso di minacce, migliorando la risposta collettiva agli incidenti informatici.
- Supervisione e Sanzioni:
- La NIS2 introduce un quadro di supervisione più stringente, con le autorità competenti di ogni Stato Membro responsabili del monitoraggio della conformità delle organizzazioni ai requisiti. In caso di mancata conformità, le sanzioni previste sono molto più severe rispetto alla versione precedente della direttiva, per incentivare l’adozione proattiva delle misure di sicurezza.
- Le autorità nazionali avranno anche il potere di effettuare controlli periodici, richiedere documentazione aggiuntiva e imporre sanzioni amministrative o finanziarie in caso di violazioni.
- Miglioramento del Coordinamento tra Stati Membri:
- La direttiva pone un forte accento sul miglioramento del coordinamento e della condivisione delle informazioni tra gli Stati Membri. Sono stati istituiti gruppi di lavoro e meccanismi per facilitare la cooperazione e la risposta congiunta in caso di attacchi informatici su larga scala.
- Un ruolo chiave è affidato all’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza), che supporta il coordinamento delle risposte e promuove la condivisione delle informazioni su minacce e vulnerabilità emergenti.
Se la tua organizzazione appartiene ad una delle categorie seguenti rientra nel campo di applicazione della NIS2.
Soggetti essenziali (EE)
Soglia dimensionale: varia a seconda del settore, ma in genere 250 dipendenti, ricavi annui di 50 milioni di euro o bilancio di 43 milioni di euro.
- Energia
- Trasporti
- Finanza
- Pubblica Amministrazione
- Salute
- Spazio
- Approvvigionamento idrico (acqua potabile e acque reflue)
- Infrastrutture digitali (ad es. fornitori di servizi di cloud computing e gestione ICT).
Soggetti importanti (IE)
Soglia dimensionale: varia a seconda del settore, ma generalmente 50 dipendenti, ricavi annui di 10 milioni di euro o bilancio di 10 milioni di euro.
- Servizi postali
- Gestione dei rifiuti
- Prodotti chimici
- Ricerca
- Alimentari
- Industria manifatturiera
- Provider digitali (ad es. social network, motori di ricerca, marketplace online).
Collegamenti tra NIS2 e Certificazioni ISO
Per aiutare le organizzazioni a conformarsi ai requisiti della NIS2, le certificazioni ISO come la ISO 27001 (per la sicurezza delle informazioni) e la ISO 22301 (per la continuità operativa) risultano strumenti fondamentali:
- ISO 27001 fornisce un quadro di riferimento per stabilire, implementare e mantenere un sistema di gestione della sicurezza delle informazioni, coprendo tutti gli aspetti necessari per la protezione dei dati e la gestione dei rischi informatici. Implementare questa certificazione permette alle organizzazioni di adottare un approccio sistematico alla sicurezza e di dimostrare la conformità alle autorità di supervisione.
- ISO 22301, invece, aiuta le organizzazioni a sviluppare piani di continuità operativa robusti e testati, garantendo la resilienza in caso di incidenti e assicurando la continuità dei servizi essenziali, come richiesto dalla NIS2.
Conclusioni
La direttiva NIS2 rappresenta un importante passo avanti nella protezione delle infrastrutture critiche e delle reti informatiche in Europa. Con l’espansione del suo campo di applicazione e l’introduzione di requisiti più stringenti, diventa cruciale per le organizzazioni adottare misure di sicurezza e di gestione della continuità operativa adeguate. Le certificazioni ISO 27001 e ISO 22301 offrono un supporto essenziale per raggiungere questi obiettivi, garantendo che le aziende non solo soddisfino i requisiti normativi, ma migliorino anche la loro resilienza complessiva contro le minacce informatiche.
Per le organizzazioni che desiderano prepararsi alla conformità con la NIS2, l’adozione e la certificazione dei sistemi di gestione ISO rappresentano una strategia efficace e riconosciuta a livello internazionale.