Passa al contenuto

La direttiva NIS2 in vigore dal 16 Ottobre 2024: chi è interessato e cosa fare (superato)

La direttiva NIS2 introdurrà nuovi obblighi di cybersicurezza per un ampio bacino di imprese. Obiettivo è garantire un livello standard elevato di protezione contro gli attacchi informatici. 
La normativa impone requisiti rigidi di:

  • governance
  • gestione dei rischi
  • segnalazione degli incidenti.

Entrerà in vigore il 16 Ottobre 2024 e distingue tra Soggetti Essenziali e Soggetti importanti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici indicati rispettivamente negli Allegati 1 e 2 della Direttiva e che soddisfano specifici criteri di dimensionamento (pur prevedendo alcune, limitate, eccezioni).

In particolare:

Soggetti Essenziali

  • Energia (Fornitori Energia Elettrica, Teleriscaldamento/ Raffrascamento, Petrolio, Gas Idrogeno)
  • Trasporti (trasporti aerei, ferroviari, per vie d'acqua, su strada), banche, mercati finanziari, sistema sanitario )
  • Acqua  potabile
  • Infrastrutture digitali (accesso internet, dns, registrar, servizi cloud computing, servizi datacenter, fornitori cdn, fornitori servizi fiduciari, reti telco, servizi di comunicazione accessibili al pubblico)
  • Gestione Servizi TLC (fornitori di servizi gestiti/servizi di sicurezza gestiti)
  • Pubblica amministrazione (amm.ne centrale, amm.ne regionale)
  • Spazio


Soggetti Importanti

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanza chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e diagnostici
  • Fabbricazione comuputer ed elettronica/ottica
  • Fabbricazione apparecchiature elettriche
  • Fabbricazione macchinari e apparecchiature n.c.a
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Fornitori di servizi digitali (marketplace online, motori di ricerca, social network)
  • Organizzazioni di ricerca

In relazione ai settori individuati (cfr. sopra), sono obbligate tutte le grandi imprese (>250 dipendenti o fatturato >50M€ o totale di bilancio >40M€), le medie imprese (tra 50 e 250 dipendenti o fatturato annuo/totale di bilancio tra 10M€ e 50M€) e tutte le aziende che, a prescindere dalle dimensioni, sono fornitori delle aziende sopra riportate (certificazione della catena di fornitura)

Le entità in perimetro NIS2 saranno chiamate a rispettare requisiti che spaziano dalla governance della cybersicurezza, all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti

Governance

Dal punto di vista della governance, la NIS2 prevede che gli organi di gestione dei soggetti essenziali e importanti, ad esempio il Consiglio d’Amministrazione, debbano approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai loro dipendenti.

RIsk management

La NIS2 prevede, in ambito risk management, l’obbligo di valutare i rischi e attuare le necessarie misure tecniche e organizzative: l’art. 21 della Direttiva presenta un elenco di requisiti di alto livello, come l’autenticazione a più fattori, la crittografia e il rispetto di pratiche di igiene informatica di base e sicurezza delle risorse umane.

I rischi da valutare comprendono anche quelli legati alla supply-chain: le organizzazioni in perimetro sono tenute a garantire la sicurezza della propria catena di approvvigionamento, presidiando gli aspetti di sicurezza dei rapporti con i propri fornitori, considerandone le vulnerabilità specifiche nonché la qualità complessiva di prodotti e pratiche di cybersicurezza.

La capacità di garantire la continuità operativa è, altresì, citata tra le misure di gestione del rischio, con riferimenti ad aspetti quali il backup, il ripristino in caso di disastro e la gestione delle crisi, finalizzati a ridurre al minimo l’impatto di eventuali interruzioni dei servizi erogati.

Oltre a garantire la resilienza e il ripristino in casi di disastro, le entità essenziali e importanti hanno il dovere di notificare ai rispettivi CSIRT o all’autorità nazionale competente – senza indebito ritardo e presentando un preallarme entro 24 ore dal momento in cui ne sono venuti a conoscenza – qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

La catena di fornitura

Per quanto riguarda la catena di fornitura, ai soggetti in perimetro sarà richiesto di tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Non si tratta solo dei fornitori di servizi e prodotti ICT: si tratta di tutti i fornitori per i quali un problema legato alla cibersicurezza possa portare ad un incidente presso il soggetto, ad esempio l’interruzione del servizio per il quale è stato incluso nel perimetro NIS2.

Controlli e sanzioni

A livello di direttiva, non sono previste differenze tra soggetti essenziali e importanti dal punto di vista dei requisiti di cybersicurezza da soddisfare. Sarà però possibile che le misure di sicurezza, nel dettaglio, siano graduate in fase di recepimento in funzione delle dimensioni e della criticità del soggetto. Differenze importanti risiedono, invece, nella severità delle misure di vigilanza e delle sanzioni, con le entità essenziali soggette a controlli e multe più severe rispetto a quelle importanti. La logica per l’applicazione delle sanzioni è simile a quella di altre normative, come ad esempio il GDPR: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore. In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.” Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.”

Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto.

A prescindere dall'obbligatorietà o meno, la NIS2 fornisce spunti utili anche alle aziende non obbligate in quanto aiuta a darsi un metodo nella gestione del rischio Cyber.

Diventa un'azienda sicura, è il tuo miglior investimento