Ambito
È stato pubblicato ufficialmente sulla Gazzetta Ufficiale del 1/10/2024 il DL n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 (Network and Information Security Directive 2) e che entrerà in vigore il prossimo 16 ottobre 2024.
Scopo principale della Norma è quello di rafforzare la resilienza informatica e la sicurezza delle reti e dei sistemi informativi nell’Unione Europea. La direttiva si pone l’obiettivo di creare un livello di cybersicurezza elevato e uniforme in tutti gli Stati membri.
Ci sono diverse novità rispetto alla precedente Direttiva (NIS del 2016), in quanto la NIS2 introduce requisiti più rigorosi, amplia il campo di applicazione a un maggior numero di settori e organizzazioni (incluse le PMI) e prevede sanzioni più severe per la mancata conformità rispetto alla precedente Direttiva.
Il white paper, realizzato congiuntamente dal Centro di Competenza Cyber 4.0 e TIM Enterprise, fornisce una panoramica della Direttiva, evidenziando le implicazioni pratiche per le aziende italiane, con particolare attenzione alle PMI.
A chi sarà applicato
La NIS2 si applica a due categorie principali di organizzazioni: “Essenziali” e “Importanti”: Le organizzazioni essenziali sono quelle che operano in settori considerati critici come ad esempio l’energia, i trasporti, la sanità e le infrastrutture digitali. Le organizzazioni importanti operano in settori considerati critici ma non essenziali, come ad esempio la produzione, la gestione dei rifiuti e i servizi postali. Le organizzazioni che devono conformarsi sono state identificate con delle soglie relative al numero di dipendenti e al fatturato annuo, indipendentemente dal fatto che siano pubbliche o private. Gli Stati membri possono includere imprese più piccole se svolgono un ruolo chiave nell’economia locale.
Ambiti di applicazione
La Direttiva richiede alle organizzazioni di adottare un approccio basato sulla gestione del rischio per la cybersicurezza, implementando misure organizzative, tecniche e operative specifiche, tra queste figurano:
- la valutazione e la gestione del rischio;
- la gestione degli incidenti;
- la sicurezza della catena di approvvigionamento;
- la formazione sulla sicurezza informatica;
- l’uso di controlli di accesso;
- la protezione dei dati;
- la pianificazione della continuità operativa.
La normativa regolamenta, inoltre, come le organizzazioni sono tenute a segnalare gli incidenti di sicurezza significativi alle autorità competenti, definendo un processo di segnalazione dettagliato e con tempistiche specifiche.
Sanzioni
È stato introdotto poi, un regime sanzionatorio più severo, con sanzioni amministrative pecuniarie rilevanti per le organizzazioni importanti. Inoltre, i dirigenti possono essere ritenuti personalmente responsabili in caso di violazioni.
Le PMI, spesso considerate il punto debole della catena di sicurezza informatica, devono affrontare sfide significative per conformarsi alla Direttiva ed il documento sottolinea l’importanza di una valutazione accurata delle competenze interne, di programmi di formazione e di un coinvolgimento attivo dei dipendenti per migliorare la propria postura di cybersicurezza.