La direttiva NIS2 è la legislazione dell'UE in materia di cyber sicurezza.
Nasce per incentivare gli Stati dell'UE a proteggersi dagli incidenti di sicurezza informatica che possono colpire i servizi essenziali.
Cosa prevede? A chi si applica? Qual è il suo principale obiettivo?
Vediamo insieme cos’è esattamente questa direttiva, quali sono i nuovi obblighi in tema di sicurezza informatica che impone, chi sono le aziende obbligate a rispettarla e come fare per adeguarsi.
Perché nasce la nuova Direttiva NIS2
Il continuo sviluppo della digitalizzazione e delle interconnessione all’interno della società ha portato ad aumentare il rischio di attacco informatico per istituzioni, imprese e cittadini.
Secondo il Rapporto Clusit 2023, questi sono cresciuti del 60% a livello globale.
Per cercare di ridurre questo fenomeno, incrementare il livello di sicurezza informatico e creare una strategia cyber univoca, l’Unione Europea ha emanato la Direttiva NIS2.
Direttiva NIS2: cos’è?
La Direttiva NIS2, entrata in vigore il 17 gennaio 2023, è l’aggiornamento delle norme in materia di cybersicurezza che l’Unione Europea ha introdotto nel 2016. Non trattandosi di un regolamento ma di una Direttiva, gli Stati Membri devono eseguirla entro la data prestabilita, il 18 ottobre 2024, creando:
- piani nazionali per la sicurezza informatica;
- team specializzati per metterla in atto.
La nuova Direttiva NIS2 va a modernizzare il quadro giuridico esistente, ampliando l’ambito di applicazione a nuovi settori migliorandone così la capacità di risposta ai possibili incidenti.
Direttiva NIS2: chi sono le aziende obbligate a rispettarla
Innanzitutto, la Direttiva NIS2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, ad esempio:
- società di produzione e distribuzione energia;
- servizi sanitari;
- trasporti;
- infrastrutture di comunicazione elettronica;
- servizi bancari e finanziari.
Inoltre, coinvolge anche i fornitori di servizi digitali che includono le piattaforme online:
- e-commerce;
- motori di ricerca;
- cloud computing;
- gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
Tra le novità, a questi elenchi si aggiungono anche:
- una nuova tipologia di settori definiti
-“altri settori critici”
- “settori ad alta criticità”
indicati rispettivamente negli Allegati 1 e 2 della Direttiva e che soddisfano specifici criteri di dimensionamento (pur prevedendo alcune, limitate, eccezioni
- due nuove categorie di attori:
- “Soggetti essenziali
- “Soggetti importanti”.
Direttiva NIS2: cosa comporta per le aziende
I soggetti che sono chiamati a rispettare la Direttiva NIS2 devono osservare e monitorare i seguenti requisiti:
- Governance - gli organi che si occupano della gestione dei soggetti essenziali dovranno creare e approvare un piano di misure per la gestione dei rischi della propria organizzazione; inoltre dovranno seguire loro - e fornire ai dipendenti - una continua formazione in tema cyber sicurezza;
- Risk management - obbligo di valutare i rischi, anche quelli legati all'eventuale supply-chain, e attuare le necessarie misure organizzative garantendo continuità operativa. Inoltre, entro 24 ore in caso di disastro, i soggetti coinvolti hanno il dovere di notificarlo ai rispettivi CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente in modo da garantire una risposta rapida e coordinata;
- Catena di fornitura - obbligo di considerare le vulnerabilità e le pratiche di sicurezza informatica per ogni proprio fornitore che, non rispettando le giuste procedure, potrebbe portare o a un incidente o a una momentanea interruzione del servizio.
Direttiva NIS2: in che sanzioni si può incorrere se non ci si adegua?
Nata con l’obiettivo di migliorare la sicurezza informatica dell’Unione Europea, le sanzioni della Direttiva NIS2 sono prettamente amministrative e penali.
Sanzioni amministrative
Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 mln di euro o il 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 mln di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
Sanzioni penali
Dal punto di vista sanzionatorio, la UE permette agli Stati Membri di legiferare in materia in base alla propria legislazione.
Sicuramente importante è la novità introdotta di obbligatorietà, da parte dell’organizzazione, di pubblicare sui propri canali la violazione subita.
Direttiva NIS2: come preparare la tua impresa
Anche se non rientri tra le imprese obbligate a rispettare la Direttiva NIS2, avviare un percorso di consapevolezza sui rischi informatici è importante per proteggere il futuro della tua attività.
Ti stai chiedendo come puoi fare? Basta rivolgerti alla Camera di commercio del tuo territorio.
Se sei alle prime armi in tema di cyber security, a disposizione della tua impresa ci sono consulenze e servizi per aiutarti ad imboccare la strada corretta attraverso i Punti Impresa Digitali che mettono a tua disposizione soluzioni che vanno dalla formazione al mentoring. E proprio in tema sicurezza, puoi chiedere aiuto al PID col servizio Cyber Check.
Vuoi saperne di più sul PID e sul servizio Cyber Check?
Scopri come digitalizzare la tua PMI e renderla sicura dal punto di vista informatico.
Cerchi un’analisi approfondita sul rischio della tua esposizione agli attacchi informatici?
Valuta quanto può essere rischiosa la tua presenza sul web e se sei vulnerabile agli attacchi informatici.