La+direttiva+NIS2+e+le+relative+peculiarit%C3%A0
cryptohackit
/la-direttiva-nis2-e-le-relative-peculiarita/amp/
Cyber Security

La direttiva NIS2 e le relative peculiarità

La direttiva NIS2, acronimo di Network and Information Systems Directive 2, rappresenta una delle più recenti iniziative legislative europee in materia di sicurezza cibernetica. L’obiettivo della NIS2 è quello di garantire la sicurezza delle reti e dei sistemi informativi, prevenendo gli attacchi e proteggendo i cittadini europei da eventuali conseguenze negative.

GDPR e NIS2

Il GDPR ha avuto un impatto significativo come standard normativo, e ha modificato il modo in cui le aziende operano. Sebbene si tratti di un regolamento emanato dall’UE, le aziende in tutto il mondo hanno riconosciuto l’ampia portata dello standard e hanno scelto di conformarsi alle norme del GDPR, anche se la loro presenza nell’UE era minima.

Il GDPR ha introdotto una maggiore attenzione alla privacy, alla sicurezza, alla protezione e ai diritti relativi ai dati, per garantire la tutela degli utenti e dei clienti. Lo scopo del regolamento è quello di concedere agli utenti maggiore controllo e trasparenza sui dati raccolti dalle aziende. Anche se in vigore solo da pochi anni, ha rivoluzionato il modo in cui le aziende gestiscono i dati degli utenti.

Esiste un nuovo standard di conformità che potrebbe avere un impatto altrettanto significativo, ma se ne discute ancora poco. Si tratta della direttiva NIS2, un regolamento di conformità dell’UE che impatta un ambito di aziende molto più ampio rispetto alla direttiva NIS originale.

La direttiva NIS2 è una nuova normativa sulla sicurezza informatica che si propone di stabilire le basi per la segnalazione degli incidenti, la gestione dei rischi relativi alla sicurezza informatica, la gestione del rischio nella catena di approvvigionamento e di imporre sanzioni severe per la non conformità. Mentre il GDPR ha mirato a migliorare gli standard di privacy e sicurezza a livello dei dati degli utenti, la direttiva NIS2 cerca di elevare gli standard di privacy e sicurezza delle aziende e delle organizzazioni nel loro complesso.

Sebbene le aziende non debbano conformarsi a questa nuova normativa fino all’autunno del 2024, è importante che si preparino con anticipo poiché la conformità potrebbe richiedere un impegno significativo a seconda dei controlli e delle strategie di sicurezza informatica attualmente in atto. Attraverso un piano di conformità prioritario, le aziende possono garantire il rispetto tempestivo della scadenza ed evitare di affrettarsi all’ultimo momento.ù

Immagine | Envato Elements

Cos’è la direttiva NIS2?

La direttiva NIS, o Direttiva sulla sicurezza delle reti e dell’informazione, rappresenta una normativa legislativa dell’UE volta alla tutela della cybersicurezza. La direttiva NIS2 costituisce una versione ampliata della NIS originale e amplia il campo di applicazione ad aziende di diversi settori. Inoltre, essa impone requisiti di sicurezza informatica e gestione del rischio più specifici e rigorosi e aumenta le sanzioni per le aziende che non si conformano.

La direttiva NIS2 richiede alle aziende di gestire i rischi all’interno della propria rete e dei propri sistemi informativi e di implementare uno standard minimo di misure di sicurezza che affrontino la sicurezza della supply chain, la gestione delle vulnerabilità, la valutazione del rischio informatico. Inoltre, le aziende devono concentrarsi maggiormente sulla gestione dei rischi critici della supply chain. È anche richiesto di stabilire un organo di gestione che supervisioni, approvi e sia formato sulle misure di sicurezza informatica. La direttiva NIS2 prevede anche una finestra di risposta specifica all’incidente, che può variare da 24 a 72 ore dopo la conoscenza dell’incidente, e richiede la presentazione di un rapporto finale entro un mese dall’invio della notifica dell’incidente stesso.

La versione precedente

La prima versione della NIS è stata adottata originariamente nel 2016, ma le aziende interessate erano limitate rispetto a quelle coinvolte da NIS2. Inoltre, NIS aveva una portata limitata e sanzioni meno severe per la non conformità.

Su chi impatta NIS2?

NIS2 è una direttiva UE che si applica a tutte le aziende con sede in uno stato membro dell’UE. La direttiva si rivolge alle società classificate come “soggetti essenziali” e “soggetti importanti”. Tuttavia, le soglie dimensionali variano da settore a settore. I “soggetti essenziali” includono le società con 250 o più dipendenti e un fatturato di almeno 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro.

I settori interessati dai soggetti essenziali includono energia, trasporti, mercati bancari e finanziari, bevande e rifiuti, gestione delle infrastrutture digitali e dei servizi ICT, compresi i fornitori di servizi di cloud computing, pubblica amministrazione e spazio.

La direttiva NIS2 si applica ai “soggetti importanti”, i quali includono i settori specificati di seguito: 

  • Servizi postali e corrieri
  • Gestione dei rifiuti
  • Produzione e distribuzione di prodotti chimici
  • Settore manifatturiero
  • Fornitori di servizi digitali
  • Organizzazioni di ricerca

Laddove un soggetto non soddisfi i requisiti menzionati, ma costituisce un “fornitore unico” sociale o economico critico all’interno di uno Stato membro, può essere designato come soggetto essenziale o importante. Tuttavia, è bene notare che gli Stati membri hanno tempo fino ad aprile 2025 per finalizzare i propri elenchi di entità essenziali e importanti.

Differenze tra NIS e NIS2

La nuova direttiva NIS2 non solo estende notevolmente la portata delle organizzazioni che devono rispettarla, ma introduce anche sanzioni molto più severe e norme dettagliate per garantire che le aziende rispettino le sue disposizioni. A tale scopo, le autorità di regolamentazione hanno a disposizione poteri investigativi e di vigilanza, tra cui:

  • Ispezioni sul posto
  • Controlli di sicurezza
  • Richiesta di ulteriori informazioni per valutare le misure di sicurezza informatica adottate da un’organizzazione
  • Scansioni di sicurezza
  • Richiesta di prove e informazioni per misurare le politiche di gestione del rischio e di sicurezza informatica, nonché per ottenere dati, documentazione e altre informazioni necessarie.

I soggetti essenziali possono essere soggetti a verifiche e ispezioni in qualsiasi momento, mentre i soggetti importanti possono essere indagati solo a seguito di eventuali incidenti.

Anche se sono previste ulteriori modifiche, attualmente NIS2 è applicabile a qualsiasi azienda che operi all’interno dell’UE.

Quali sanzioni per le aziende che non rispettano la direttiva

Le organizzazioni che non rispettano la direttiva NIS2 possono essere soggette a sanzioni finanziarie significative.

  • I soggetti essenziali potrebbero affrontare multe fino a 10 milioni di euro o il 2% del fatturato globale, a seconda di quale delle due cifre è più alta.
  • I soggetti importanti, d’altra parte, potrebbero affrontare multe fino a 7 milioni di euro o l’1,4% del fatturato globale, a seconda di quale delle due cifre è più alta. Inoltre, le organizzazioni non conformi potrebbero essere soggette ad ulteriori imposizioni non monetarie, come ordini di conformità, istruzioni vincolanti, obblighi di notifica e segnalazione alle parti interessate e richieste di implementare misure di sicurezza aggiuntive in seguito ai risultati dei controlli di sicurezza.

Quando sarà attuata la NIS2?

Il 27 dicembre 2022 è stata pubblicata ufficialmente la direttiva NIS2, la quale è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell’UE hanno l’obbligo di integrare la direttiva NIS2 nella loro legislazione nazionale entro il 18 ottobre 2024, e le organizzazioni interessate sono tenute a conformarsi a tale direttiva entro la stessa data.

Immagine | Envato Elements

Come aderire alla direttiva

Anche se NIS2 è ancora in fase di modifica, non sono attesi molti cambiamenti, di conseguenza le aziende dovrebbero iniziare a prepararsi per conformarsi alla nuova direttiva. Di seguito sono riportati alcuni passaggi consigliati per farlo:

  1. Identificare le business unit, i reparti e le filiali che rientrano nell’ambito di NIS2.
  2. Valutare la posizione attuale dell’organizzazione in materia di gestione dei rischi e di sicurezza informatica, per individuare eventuali lacune che devono essere affrontate per ottenere la conformità.
  3. Parlare con l’ufficio legale per definire tempistiche e strategie per conseguire la conformità.
  4. Confrontarsi con la catena di approvvigionamento e i fornitori strategici per assicurarsi che anche loro siano a conoscenza dei necessari adempimenti e chiarire che sarà necessario lavorare di concerto per affrontare gli elementi di gestione del rischio previsti da NIS2.
  5. Collaborare con i responsabili dei dipartimenti e tutte le parti interessate per assicurarsi che siano allineati sulla strategia e possano mobilitare, per tempo, sistemi e risorse.

Conformità alla NIS2

La conformità a NIS2 può essere raggiunta in diversi modi, a seconda dell’ambiente, dei controlli e delle politiche di sicurezza esistenti e della strategia di gestione del rischio attuale. Qualora un’organizzazione avesse già una solida strategia di sicurezza e resilienza informatica, potrebbe essere necessario apportare solo pochi cambiamenti. Per le organizzazioni o i reparti più piccoli, con risorse limitate, il conseguimento della conformità potrebbe rappresentare un processo più articolato e complesso.

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

La classifica dei lavori che più sentiranno l’impatto dell’intelligenza artificiale

Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…

17 ore ago

Coca Cola, i nuovi spot di Natale creati con l’IA non sono piaciuti a tutti

Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…

2 giorni ago

ChatGPT, Copilot o Gemini, le differenze e quale scegliere

Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…

2 giorni ago

La frase choc di Gemini, l’intelligenza artificiale a un utente: “Sei un peso, muori”

L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…

3 giorni ago

DeFi, cosa si intende per finanza decentralizzata e come funziona

La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…

4 giorni ago

Mike Tyson torna sul ring per sfidare lo youtuber Jake Paul e ChatGPT ha previsto chi vincerà

L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…

7 giorni ago