NIS2 (o “Network and Information Security Directive 2”) è l’evoluzione della NIS1, istituita nel 2016, ed è progettata per affrontare meglio le crescenti sfide della cybersecurity che emergono in un mondo sempre più interconnesso.
È entrata in vigore a gennaio 2023 e sarà completamente adottata dagli Stati membri nella legislazione entro ottobre 2024. Entro aprile 2025, gli Stati membri pubblicheranno le liste finali delle Entità Essenziali e Importanti.
L’obiettivo è quello di migliorare ulteriormente la resilienza della cybersecurity nell’UE, migliorare la sicurezza delle reti e dei sistemi informativi, rafforzare la postura complessiva di cybersecurity dei settori critici e facilitare una risposta agli incidenti più coordinata.
Chi coinvolgerà la direttiva NIS2?
Le aziende che erano già soggette alla NIS1 saranno incluse nell’ambito della regolamentazione rivista.
Mentre i settori dell’energia, della salute, dei trasporti, della banca e della finanza, dell’acqua potabile, delle infrastrutture digitali e dei fornitori erano già inclusi, l’ambito rivisto aggiungerà:
- Fornitori di gestione dei servizi ICT;
- Pubblica Amministrazione;
- Acque reflue;
- Spazio;
- Servizi postali;
- Produzione e distribuzione alimentare;
- Manifatturiero;
- Produzione e distribuzione chimica;
- Gestione dei rifiuti;
- Ricerca.
Viene inoltre introdotto il concetto di entità importanti ed essenziali, con queste ultime soggette a obblighi normativi proattivi più rigorosi.
L’immagine sottostante delinea l’elenco dei settori inclusi e la loro classificazione.
Figura 1 – Settori Inclusi in NIS2 e la Loro Classificazione
Vale inoltre la pena ricordare che NIS2 estenderà l’ambito di applicazione delle categorie di business interessate, includendo ora le organizzazioni che:
- Hanno più di 50 dipendenti
- Hanno un fatturato superiore a 10 milioni di euro
Interesserà inoltre le entità (come i fornitori di servizi ICT) che forniscono servizi nell’UE, anche se non hanno sede nell’UE.
Quali sono i principali cambiamenti rispetto a NIS1?
I principali cambiamenti tra NIS1 e NIS2, oltre all’ambito di applicazione rivisto delle entità interessate, includono:
- Requisiti più rigorosi per la risposta agli incidenti e la segnalazione: Segnalazione obbligatoria degli incidenti ai regolatori, con un focus sull’analisi delle cause principali e sul contenimento degli incidenti, con requisiti di segnalazione entro 24 e 72 ore, e relazione finale entro 30 giorni.
- Aumento dei requisiti di supervisione, in particolare per le entità essenziali.
- L’approccio alla gestione del rischio è fondamentale per identificare, valutare, prevenire e mitigare i rischi. Inoltre, amplia questo ambito, oltre a settori come la protezione dei dati, la gestione degli incidenti, il monitoraggio e il testing dei rischi e la continuità operativa, includendo il nuovo ambito della sicurezza della catena di approvvigionamento, che sarà nuovo per molte organizzazioni.
- Responsabilità organizzativa e della direzione: NIS2 impone la responsabilità (inclusa la responsabilità personale) per i principali stakeholder. Inoltre, applica sanzioni più severe che possono arrivare a:
- €10.000.000 o il 2% del fatturato annuale globale per le entità essenziali
- €7.000.000 o l’1,4% del fatturato globale per le entità importanti
- Cooperazione rafforzata: La direttiva promuove un miglioramento della cooperazione e della condivisione delle informazioni tra gli Stati membri dell’UE, facilitando una difesa più unificata contro le minacce informatiche.
Su cosa dovranno focalizzarsi le organizzazioni?
Le organizzazioni interessate dalla NIS2 dovranno probabilmente rivedere i processi legati alle aree sottostanti (se già incluse nell’ambito della NIS1) o creare nuovi processi su:
- IT Risk Management – Le entità devono valutare i rischi, costruire e implementare misure di gestione del rischio, in un approccio proattivo, inclusi politiche e formazione.
- Prevenzione, Rilevamento, Risposta e Segnalazione degli Incidenti – Le entità devono avere in atto quadri di gestione degli incidenti, inclusi i requisiti di segnalazione.
- Business Continuity – Le entità devono garantire di poter recuperare le proprie operazioni durante e dopo un incidente informatico.
- Supply Chain Security – La sicurezza della catena di approvvigionamento viene aggiunta come ulteriore ambito rispetto alla NIS1.
- Conformità, Responsabilità e Formazione – Le entità dovranno essere in grado di dimostrare la conformità su richiesta di supervisione e la direzione sarà anche tenuta a seguire regolari corsi di formazione sulla cybersecurity.
Come può aiutare Stefanini?
Stefanini può aiutare le organizzazioni ad affrontare le loro sfide in materia di conformità e cybersecurity in diversi modi.
Abbiamo dettagliato qui alcune delle principali modalità e siamo lieti di discutere le vostre sfide specifiche in tutti gli ambiti della NIS2, comprese le sfide relative a Persone, Processi e Tecnologia, tra cui:
- Creazione di una Cybersecurity Baseline;
- Identificazione delle lacune;
- Platform Management
- Incident Response and Business Continuity Services
- Supply Chain Risk
Conclusione:
La NIS2 segna un passo significativo avanti nel migliorare la resilienza della cybersecurity in tutta l’UE. Sebbene la direttiva presenti sfide per le organizzazioni in termini di conformità dovrebbe anche essere vista come un’opportunità per rafforzare le misure di sicurezza all’interno delle organizzazioni.
Le entità interessate sono incoraggiate a impegnarsi proattivamente con i requisiti della NIS2, assicurandosi di essere ben preparate a proteggere le proprie operazioni e a contribuire a un ambiente digitale più sicuro. Inoltre, la regolamentazione offre un nuovo percorso per i team di cybersecurity per interagire con i principali stakeholder.
Le organizzazioni dovrebbero iniziare a prepararsi per la conformità ora e cercare supporto se necessario, poiché la NIS2 fornisce una solida base per proteggere contro le minacce informatiche in corso e i rischi ad esse associati.
