La nuova direttiva NIS2, erede di quella già elaborata nel 2016, approvata dal Parlamento Europeo, introduce nuovi obblighi di sicurezza informatica per le aziende riguardanti la gestione dei dati, delle reti e dei sistemi. Vediamo in dettaglio date, aziende soggette alla NIS2, adempimenti e potenziali sanzioni per mancato adeguamento.
NIS2: data di approvazione ed entrata in vigore
La Direttiva NIS2 è stata approvata dal Parlamento Europeo il 10 novembre 2022, è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita da ciascuno Stato membro entro il 17 ottobre 2024.
Aziende soggette alla NIS2
La NIS2 si applica principalmente agli Operatori dei Servizi Essenziali (OSE). Queste aziende forniscono servizi essenziali, e la loro interruzione avrebbe un impatto significativo sull’economia o sulla società:
- sanità,
- infrastruttura digitale,
- trasporti,
- approvvigionamento idrico,
- provider di servizi digitali,
- settore bancario,
- infrastrutture del mercato finanziario,
- energia,
- acque reflue,
- salute (farmaci, R&S, dispositivi medici critici),
- industria spaziale,
- amministrazione pubblica.
Ad esse si aggiungono anche le entità importanti, quali:
- provider di reti o servizi di comunicazione elettronica pubblica,
- prodotti chimici,
- produttori, aziende di trattamento e distributori di prodotti alimentari,
- fabbricazione di prodotti critici (dispositivi medici, computer, elettronica, veicoli a motore),
- provider digitali (piattaforme di social networking, motori di ricerca, marketplace online),
- servizi postali e corrieri espresso.
Implicazioni per le aziende non direttamente soggette alla NIS2
Anche le aziende inserite nella supply chain delle entità giudicate essenziali devono adeguarsi. Ad esempio, se una società fornisce servizi critici a un Operatore dei Servizi Essenziali, deve garantire la sicurezza dei propri sistemi.
La NIS2 promuove la collaborazione tra le aziende per prevenire e gestire gli incidenti informatici.
Come adeguarsi alla NIS2 entro il 17/10/2024
Le aziende soggette alla NIS2 devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione.
L’articolo 21.2 della NIS2 stabilisce che le organizzazioni interessate devono gestire il rischio attraverso strategie di cyber security quali ad esempio:
- analisi di rischi e vulnerabilità nella rete informatica aziendale;
- gestione degli incidenti informatici;
- misure per assicurare una continuità operativa;
- sicurezza della supply chain;
- pratiche di cyber-igiene;
- programmi di cyber security awareness per i dipendenti;
- crittografia, cifratura e protezione della riservatezza dei dati;
- policy di identity access management;
- accesso Zero Trust (autenticazione multifattoriale, autenticazione continua).
Potenziali Sanzioni
Gli Stati membri UE devono stabilire sanzioni adeguate per le violazioni della NIS2. Per le cosiddette entità essenziali si potranno applicare ammende fino a 10 milioni di euro o corrispondenti al 2% del fatturato annuo.
Sanzioni minori ma non molto diverse anche per le entità importanti.
Il ruolo delle società di Sicurezza Informatica Gestita
Le società di sicurezza informatica gestita, più di chiunque altro, possono aiutare le aziende a conformarsi alla NIS2, offrendo:
- servizi di prevenzione,
- servizi di monitoraggio continuo (H24, 7 giorni su 7, 365 giorni l’anno)
- servizi di risposta agli incidenti
- servizi di consulenza sulla sicurezza informatica e per arrivare alla compliance.
Conclusioni
In sintesi, la Direttiva NIS2 mira a rafforzare la sicurezza informatica nell’UE, coinvolgendo sia le organizzazioni essenziali e importanti che le aziende collegate. L’obiettivo è creare un ecosistema di fiducia e proteggere le infrastrutture critiche da minacce informatiche sempre più sofisticate.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza in materia di NIS2: