La direttiva NIS2, acronimo di Network and Information Systems Directive 2, rappresenta una delle più recenti iniziative legislative europee in materia di sicurezza cibernetica. L’obiettivo della NIS2 è quello di garantire la sicurezza delle reti e dei sistemi informativi, prevenendo gli attacchi e proteggendo i cittadini europei da eventuali conseguenze negative.
Il GDPR ha avuto un impatto significativo come standard normativo, e ha modificato il modo in cui le aziende operano. Sebbene si tratti di un regolamento emanato dall’UE, le aziende in tutto il mondo hanno riconosciuto l’ampia portata dello standard e hanno scelto di conformarsi alle norme del GDPR, anche se la loro presenza nell’UE era minima.
Il GDPR ha introdotto una maggiore attenzione alla privacy, alla sicurezza, alla protezione e ai diritti relativi ai dati, per garantire la tutela degli utenti e dei clienti. Lo scopo del regolamento è quello di concedere agli utenti maggiore controllo e trasparenza sui dati raccolti dalle aziende. Anche se in vigore solo da pochi anni, ha rivoluzionato il modo in cui le aziende gestiscono i dati degli utenti.
Esiste un nuovo standard di conformità che potrebbe avere un impatto altrettanto significativo, ma se ne discute ancora poco. Si tratta della direttiva NIS2, un regolamento di conformità dell’UE che impatta un ambito di aziende molto più ampio rispetto alla direttiva NIS originale.
La direttiva NIS2 è una nuova normativa sulla sicurezza informatica che si propone di stabilire le basi per la segnalazione degli incidenti, la gestione dei rischi relativi alla sicurezza informatica, la gestione del rischio nella catena di approvvigionamento e di imporre sanzioni severe per la non conformità. Mentre il GDPR ha mirato a migliorare gli standard di privacy e sicurezza a livello dei dati degli utenti, la direttiva NIS2 cerca di elevare gli standard di privacy e sicurezza delle aziende e delle organizzazioni nel loro complesso.
Sebbene le aziende non debbano conformarsi a questa nuova normativa fino all’autunno del 2024, è importante che si preparino con anticipo poiché la conformità potrebbe richiedere un impegno significativo a seconda dei controlli e delle strategie di sicurezza informatica attualmente in atto. Attraverso un piano di conformità prioritario, le aziende possono garantire il rispetto tempestivo della scadenza ed evitare di affrettarsi all’ultimo momento.ù
La direttiva NIS, o Direttiva sulla sicurezza delle reti e dell’informazione, rappresenta una normativa legislativa dell’UE volta alla tutela della cybersicurezza. La direttiva NIS2 costituisce una versione ampliata della NIS originale e amplia il campo di applicazione ad aziende di diversi settori. Inoltre, essa impone requisiti di sicurezza informatica e gestione del rischio più specifici e rigorosi e aumenta le sanzioni per le aziende che non si conformano.
La direttiva NIS2 richiede alle aziende di gestire i rischi all’interno della propria rete e dei propri sistemi informativi e di implementare uno standard minimo di misure di sicurezza che affrontino la sicurezza della supply chain, la gestione delle vulnerabilità, la valutazione del rischio informatico. Inoltre, le aziende devono concentrarsi maggiormente sulla gestione dei rischi critici della supply chain. È anche richiesto di stabilire un organo di gestione che supervisioni, approvi e sia formato sulle misure di sicurezza informatica. La direttiva NIS2 prevede anche una finestra di risposta specifica all’incidente, che può variare da 24 a 72 ore dopo la conoscenza dell’incidente, e richiede la presentazione di un rapporto finale entro un mese dall’invio della notifica dell’incidente stesso.
La prima versione della NIS è stata adottata originariamente nel 2016, ma le aziende interessate erano limitate rispetto a quelle coinvolte da NIS2. Inoltre, NIS aveva una portata limitata e sanzioni meno severe per la non conformità.
NIS2 è una direttiva UE che si applica a tutte le aziende con sede in uno stato membro dell’UE. La direttiva si rivolge alle società classificate come “soggetti essenziali” e “soggetti importanti”. Tuttavia, le soglie dimensionali variano da settore a settore. I “soggetti essenziali” includono le società con 250 o più dipendenti e un fatturato di almeno 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro.
I settori interessati dai soggetti essenziali includono energia, trasporti, mercati bancari e finanziari, bevande e rifiuti, gestione delle infrastrutture digitali e dei servizi ICT, compresi i fornitori di servizi di cloud computing, pubblica amministrazione e spazio.
La direttiva NIS2 si applica ai “soggetti importanti”, i quali includono i settori specificati di seguito:
Laddove un soggetto non soddisfi i requisiti menzionati, ma costituisce un “fornitore unico” sociale o economico critico all’interno di uno Stato membro, può essere designato come soggetto essenziale o importante. Tuttavia, è bene notare che gli Stati membri hanno tempo fino ad aprile 2025 per finalizzare i propri elenchi di entità essenziali e importanti.
La nuova direttiva NIS2 non solo estende notevolmente la portata delle organizzazioni che devono rispettarla, ma introduce anche sanzioni molto più severe e norme dettagliate per garantire che le aziende rispettino le sue disposizioni. A tale scopo, le autorità di regolamentazione hanno a disposizione poteri investigativi e di vigilanza, tra cui:
I soggetti essenziali possono essere soggetti a verifiche e ispezioni in qualsiasi momento, mentre i soggetti importanti possono essere indagati solo a seguito di eventuali incidenti.
Anche se sono previste ulteriori modifiche, attualmente NIS2 è applicabile a qualsiasi azienda che operi all’interno dell’UE.
Le organizzazioni che non rispettano la direttiva NIS2 possono essere soggette a sanzioni finanziarie significative.
Il 27 dicembre 2022 è stata pubblicata ufficialmente la direttiva NIS2, la quale è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell’UE hanno l’obbligo di integrare la direttiva NIS2 nella loro legislazione nazionale entro il 18 ottobre 2024, e le organizzazioni interessate sono tenute a conformarsi a tale direttiva entro la stessa data.
Anche se NIS2 è ancora in fase di modifica, non sono attesi molti cambiamenti, di conseguenza le aziende dovrebbero iniziare a prepararsi per conformarsi alla nuova direttiva. Di seguito sono riportati alcuni passaggi consigliati per farlo:
La conformità a NIS2 può essere raggiunta in diversi modi, a seconda dell’ambiente, dei controlli e delle politiche di sicurezza esistenti e della strategia di gestione del rischio attuale. Qualora un’organizzazione avesse già una solida strategia di sicurezza e resilienza informatica, potrebbe essere necessario apportare solo pochi cambiamenti. Per le organizzazioni o i reparti più piccoli, con risorse limitate, il conseguimento della conformità potrebbe rappresentare un processo più articolato e complesso.
Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…
Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…
Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…
L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…
La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…
L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…