Cos’è la direttiva NIS 2 e come prepararsi

Tratto da: Blog Kaspersky

Redazione: Alanna Titterington – 23/07/2024

La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) è la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l’UE.

La direttiva NIS 2 aggiornata si concentra su tre aree principali:

Ampliamento del campo di applicazione: nuovi settori vengono a integrare i sette già inseriti nella direttiva NIS originale

Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni: NIS 2 impone la segnalazione tempestiva di casi significativi

Applicazione più rigorosa della conformità: l’aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformità, comprese ammende fino al 2% del fatturato annuo globale

A quali organizzazioni si applica NIS 2? Come accennato in precedenza, la direttiva rivista amplia notevolmente l’ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:

  • Settori ad alta criticità (Allegato I):
    • Energia (elettricità, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)

    • Trasporti (aereo, ferroviario, marittimo, stradale)

    • Settore bancario

    • Infrastrutture del mercato finanziario

    • Sanità

    • Acqua potabile

    • Acque reflue

    • Infrastruttura digitale

    • Gestione dei servizi ICT (MSP, MSSP)

    • Enti di pubblica amministrazione

    • Settore spaziale

    Altri settori critici (Allegato II):
    • Servizi postali e di corriere

    • Gestione dei rifiuti

    • Fabbricazione, produzione e distribuzione di prodotti chimici

    • Produzione, lavorazione e distribuzione di cibo

    • Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)

    • Fornitori digitali

    • Ricerca

    • Oltre a classificare i settori, NIS 2 introduce un’ulteriore classificazione di specifici soggetti. Anch’essa si compone di due categorie:

  • Essenziale (Articolo 3.1):
    • Grandi realtà (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticità

    • Autorità di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell’azienda

    • Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)

    • Istituzioni di pubblica amministrazione

    • Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell’UE come essenziale


  • Importante (Articolo 3.2):
    • Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticità

    • Medi e grandi soggetti in altri settori critici

    • Qualsiasi soggetto definito come importante da uno Stato membro dell’UE.

    • La categoria a cui appartiene un soggetto ha implicazioni pratiche significative.

    Le attività dei soggetti classificati come essenziali saranno sottoposte a una supervisione molto più rigorosa e proattiva, che includerà investigazioni inattese, speciali controlli di sicurezza e richieste di prove di conformità. In caso di non conformità con NIS 2, i soggetti essenziali possono incorrere in una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo globale.

    I soggetti classificati come importanti sentiranno meno il fiato sul collo: saranno interessati da controlli meno rigorosi. Per i soggetti importanti le sanzioni sono leggermente più contenute: fino a 7 milioni di euro o fino all’1,4% del fatturato globale annuo.

    Tempistiche di NIS 2

    Si noti che, a differenza del GDPR, NIS 2 è una direttiva dell’Unione Europea, non un regolamento. Ciò significa che gli Stati membri dell’UE sono tenuti per legge a modificare la propria legislazione nazionale entro il termine stabilito. Nel caso di NIS 2, la scadenza è fissata per il 17 ottobre 2024. Inoltre, gli Stati membri dell’UE dovranno stilare gli elenchi dei soggetti essenziali e importanti interessati da NIS 2 entro il 17 aprile 2025.

    Come prepararsi all’attuazione di NIS 2?

    • Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione
    • Indagate in che modo la direttiva NIS è stata recepita nella legislazione nazionale nel vostro Stato membro dell’UE
    • Seguite le raccomandazioni delle autorità nazionali per la sicurezza informatica
    • Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza.

    23 Luglio 2024

    Direttiva NIS-2: come Endian supporta l’implementazione

    Tratto da www.endian.com – 18/07/2023
     

    La crescente digitalizzazione e i collegamenti in rete favoriscono gli attacchi informatici con conseguenze talvolta significative per l’economia e la vita pubblica. L’UE vuole contrastare questa sfida e ha quindi adottato la direttiva NIS-2. Con essa si applicano requisiti più severi per la sicurezza informatica alle aziende che operano nelle infrastrutture critiche e in alcuni settori chiave.

    Quali sono le novità di NIS2?

    • Il numero di industrie appartenenti al settore delle infrastrutture critiche è significativamente aumentato rispetto a quello previsto dal regolamento NIS originario.
    • Per i settori interessati, il NIS si applica a tutte le medie e grandi imprese con più di 50 dipendenti o più di 10 milioni di fatturato. Anche le imprese più piccole possono essere tenute a implementare il NIS2 a determinate condizioni.

    Entro ottobre 2024, gli Stati membri dell’UE devono applicare le norme NIS-2 nella legislazione nazionale.

    Per saperne di più su NIS2 e su come Endian può aiutarvi a implementarla, consultate il whitepaper

    25 Agosto 2023

    Blog & News

    Categorie