Direttiva NIS 2, chi è interessato e come adeguarsi

La Direttiva NIS 2 va ad integrarsi con le varie normative e linee guida europee in tema di protezione dati e privacy, l’obiettivo è rafforzare le misure di cyber security soprattutto nei settori critici.
La disciplina, entrata in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.

Ecco cosa cambia rispetto alla precedente Direttiva NIS e gli adempimenti necessari per adeguarsi.

Cos’è la Direttiva NIS 2

La Direttiva NIS 2 è una normativa dell’Unione Europea che interviene e cambia profondamente la precedente Direttiva NIS.
Questo quadro normativo si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area UE.

La Direttiva NIS 2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Il suo obiettivo principale è quello di rafforzare le misure cyber security soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari.

La Direttiva NIS 2 prevede l’introduzione di nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP).

Quale sarà l’impatto della Direttiva NIS 2 sulle aziende

L’impatto della Direttiva NIS 2 sulle aziende sarà significativo, poiché saranno obbligate ad adottare misure di sicurezza cibernetica più rigorose rispetto a prima. Saranno particolarmente coinvolti i fornitori di servizi digitali che dovranno notificare alle autorità competenti eventuali incidenti di sicurezza entro 24 ore (anziché 72 come imposto dal GDPR), al fine di garantire una risposta rapida e coordinata.

Le aziende obbligate a rispettare la nuova normativa

Innanzitutto, la Direttiva NIS 2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio:

  • fornitori di servizi essenziali
    1. società di produzione e distribuzione energia;
    2. servizi sanitari;
    3. trasporti;
    4. infrastrutture di comunicazione elettronica;
    5. servizi bancari e finanziari.

Inoltre, la Direttiva NIS 2, si applica anche ai fornitori di servizi digitali. Questi ultimi includono le piattaforme online.

  • fornitori di servizi digitali
    1. e-commerce;
    2. motori di ricerca;
    3. cloud computing;
    4. gestione dei servizi ICT, della pubblica amministrazione e dello spazio

Le novità normative della Direttiva NIS2

A questi elenchi si aggiunge una nuova tipologia di settori che vengono definiti “altri settori critici” qui elencati:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • fabbricazione, produzione e distribuzione di sostanze chimiche;
  • produzione, trasformazione e distribuzione di alimenti;
  • fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
  • fabbricazione di computer e prodotti di elettronica e ottica;
  • fabbricazione di apparecchiature elettriche;
  • fabbricazione di macchinari e apparecchiature n.c.a.;
  • fabbricazione di autoveicoli, rimorchi e semirimorchi;
  • fabbricazione di altri specifici mezzi di trasporto;
  • fornitori di servizi digitali;
  • organizzazioni di ricerca.

Un’altra importante novità che introduce la NIS 2 sono due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.

Definisce anche meglio i criteri per individuare i soggetti obbligati, in particolare in base al criterio di dimensione che descriveremo di seguito.

Criteri per stabilire i soggetti obbligati: la dimensione

In particolare, la Direttiva NIS 2 definisce il criterio della “dimensione del soggetto” affermando che, l’applicazione della normativa interesserà tutti quei soggetti, pubblici o privati, compresi nelle tipologie denominate ad “alta criticità” o “altri settori critici” che:

  1. prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
  2. siano considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese.

Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS 2 anche ulteriori particolari tipologie di soggetti quali, ad esempio: fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti cosiddetti “critici” dalla Direttiva (UE) 2022/2557.

Cosa fare per adeguarsi alla Direttiva NIS 2

I soggetti interessati all’adeguamento della normativa, dovranno adottare misure tecnicheoperative organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi.

Vediamo quindi di entrare un po’ più nel pratico indicando quali potrebbero essere gli step fondamentali da seguire.

1. Adottare una strategia risk-based

Una volta stabilito se si rientra fra i soggetti obbligati ad adeguarsi alla direttiva, occorre definire quali saranno le misure per proteggere i sistemi informatici e le reti adottando un tipo di approccio multirischio.

Rispetto al GDPR dove si indica solo cosa si deve fare ma non come, nella Direttiva NIS 2 vengono indicate un po’ più chiaramente quali possono essere queste misure:

  1. politiche di analisi dei rischi;
  2. gestione degli incidenti;
  3. continuità operativa, backup e ripristino in caso di evento disastroso;
  4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
  7. best practices e formazione in materia di sicurezza informatica;
  8. policy e procedure relative all’uso della crittografia;
  9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
  10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette.

2. Creare un piano di gestione degli incidenti

Molto importante è anche definire un Data Breach Recovery Plan.

La normativa prevede che, in caso di incidente significativo, si debba rispettare un iter di notifica alle autorità competenti organizzato in più fasi, il quale iter prevede la trasmissione di:

  1. un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
  2. una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
  3. una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.

Affinché un data breach possa essere considerato significativo si deve tener conto se l’incidente stesso:

  1. ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. e/o se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

3. Monitorare e tenere aggiornato: approccio continuo

Infine, sarà fondamentale essere in grado di monitorare costantemente i propri livelli di sicurezza informatica e aggiornare di conseguenza le misure adottate in funzione delle vulnerabilità e delle effettive minacce, sia interne che esterne, che possono compromettere la sicurezza.

La Direttiva NIS 2 richiede un approccio continuo alla gestione della cyber security, mediante la definizione di obiettivi chiari e il monitoraggio costante dei risultati ottenuti.

In quali sanzioni s’incorre se non ci si adegua

Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 milioni di euro o il 2% del totale del fatturato mondiale globale.

Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 milioni di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.

Per quanto riguarda le sanzioni penali si rimanda tutto alla specifica legislazione che ogni Stato Membro produrrà in materia, tenendo presente che, in Italia, è prevista la reclusione fino a 7 anni per violazioni gravi della privacy.

Una importante novità della NIS 2 è sicuramente l’obbligatorietà, da parte dell’organizzazione colpita, di pubblicare sui propri canali la violazione subita.

È importante essere consapevoli che, il danno globale che può subire un’azienda in caso di incidente grave, non è solo dovuto alle sanzioni. Il più delle volte, un evento disastroso, comporta anche danni reputazionali e perdite finanziarie, oltre a dover affrontare costi per risarcire i danni causati agli eventuali interessati che hanno subito danni.

Conclusioni

Adeguarsi quindi alla NIS 2 non serve solo a mettersi a norma, bensì può essere l’occasione buona per introdurre in azienda una cultura della sicurezza nonché best-practices tecniche ed organizzative che possono alzare di molto il livello della sicurezza informatica.

È importante comunque cominciare a predisporre fin da subito un piano di adeguamento al fine di uniformare per gradi i vari asset aziendali e il personale con opportuni cicli formativi periodici.

Leggi altre News

Torna su