Tratto da: Blog Kaspersky
Redazione: Alanna Titterington – 23/07/2024
La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) è la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l’UE.
La direttiva NIS 2 aggiornata si concentra su tre aree principali:
Ampliamento del campo di applicazione: nuovi settori vengono a integrare i sette già inseriti nella direttiva NIS originale
Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni: NIS 2 impone la segnalazione tempestiva di casi significativi
Applicazione più rigorosa della conformità: l’aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformità, comprese ammende fino al 2% del fatturato annuo globale
A quali organizzazioni si applica NIS 2? Come accennato in precedenza, la direttiva rivista amplia notevolmente l’ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:- Energia (elettricità, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Settore bancario
- Infrastrutture del mercato finanziario
- Sanità
- Acqua potabile
- Acque reflue
- Infrastruttura digitale
- Gestione dei servizi ICT (MSP, MSSP)
- Enti di pubblica amministrazione
- Settore spaziale
Altri settori critici (Allegato II):
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di prodotti chimici
- Produzione, lavorazione e distribuzione di cibo
- Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)
- Fornitori digitali
- Ricerca
- Grandi realtà (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticità
- Autorità di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell’azienda
- Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)
- Istituzioni di pubblica amministrazione
- Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell’UE come essenziale
- Soggetti definiti critici ai sensi della Direttiva (UE) 2022/2557
Importante (Articolo 3.2):
- Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticità
- Medi e grandi soggetti in altri settori critici
- Qualsiasi soggetto definito come importante da uno Stato membro dell’UE.
- Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione
- Indagate in che modo la direttiva NIS è stata recepita nella legislazione nazionale nel vostro Stato membro dell’UE
- Seguite le raccomandazioni delle autorità nazionali per la sicurezza informatica
- Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza.