Toward greater cybersecurity: the impact of the NIS2 Directive

Con l’aumento delle minacce informatiche e la crescente digitalizzazione della nostra società, l’Unione Europea ha adottato misure importanti per rafforzare la protezione delle infrastrutture critiche e dei servizi essenziali. In questo contesto, la direttiva NIS2 rappresenta un significativo passo avanti per garantire la cybersicurezza.

Cos’è la direttiva NIS2?

La direttiva NIS2, approvata dal Parlamento Europeo, è un aggiornamento della precedente Direttiva NIS (Network and Information Security). L’obiettivo principale di NIS2 è quello di rafforzare la resilienza e la capacità di risposta agli attacchi informatici da parte degli Stati membri e delle imprese, concentrandosi soprattutto sui settori critici come energia, trasporti, sanità, finanza, infrastrutture digitali e pubblica amministrazione. La direttiva NIS2 è entrata ufficialmente in vigore nel 2023, ma gli Stati membri avranno tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale.

Situazione italiana

Benché la direttiva sia stata approvata a livello europeo, mancava un passaggio importante, arrivato nel mese di agosto, quando il Governo italiano ha ufficialmente recepito la direttiva NIS2. Questo passaggio segna l’inizio di un processo di adeguamento per circa 50.000 nuovi soggetti, stimati dall’Agenzia per la Cybersicurezza Nazionale (ACN), che si aggiungono a quelli già regolamentati dalla precedente direttiva NIS. I nuovi soggetti coinvolti dalla NIS2 sono considerati essenziali o importanti per il Paese, poiché forniscono servizi critici. Tra questi troviamo i servizi postali e di corriere, la gestione dei rifiuti, la fabbricazione di prodotti elettronici, oltre alla grande distribuzione alimentare e la pubblica amministrazione. Il decreto legislativo definisce criteri, basati sulle dimensioni e sul fatturato delle organizzazioni, per stabilire chi dovrà adeguarsi alla normativa.

Appuntamento importante

Dal 18 ottobre 2024 sarà operativa una piattaforma gestita dall’ACN, attraverso la quale i soggetti che ritengono di essere coinvolti dovranno auto-registrarsi, indicando le attività svolte e i servizi offerti. Tra il 1° gennaio e il 28 febbraio 2025, i soggetti essenziali e importanti dovranno registrarsi o aggiornare la propria registrazione sulla piattaforma. Entro il 31 marzo 2025, l’ACN risponderà ai soggetti confermando la loro conformità e completando l’elenco ufficiale delle organizzazioni che dovranno rispettare gli obblighi della direttiva. Dal 31 marzo 2025, partiranno quindi gli obblighi di adeguamento. Ne scrive in dettaglio la testata Cybersecurity Italia in questo articolo.

Formazione e notifiche

Oltre a un miglioramento delle soluzioni di cybersicurezza per le aziende interessate, NIS2 introduce anche l’obbligo di formazione per i dirigenti e il personale delle organizzazioni coinvolte. In particolare, i responsabili aziendali dovranno seguire corsi di formazione sulla sicurezza informatica e promuovere quella per i dipendenti.

Oltre alla formazione, le imprese saranno obbligate a notificare eventuali incidenti significativi al CSIRT Italia, l’organo dell’ACN responsabile per la risposta agli incidenti informatici. Le notifiche dovranno essere trasmesse tempestivamente: entro 24 ore dall’incidente dovrà essere inviata una pre-notifica. Entro 72 ore dovrà essere trasmessa una notifica più dettagliata che comprenda una valutazione iniziale dell’incidente, la sua gravità e il suo impatto. Entro un mese dalla notifica, sarà inviata una relazione finale che descriva in dettaglio l’incidente, le sue cause e le misure di mitigazione adottate.

Sanzioni salate

Il mancato rispetto delle disposizioni della direttiva comporterà sanzioni significative, che varieranno in base alla tipologia del soggetto coinvolto. Per i soggetti essenziali, le multe potranno arrivare fino a 10 milioni di euro o al 2% del fatturato annuo su scala mondiale, mentre per i soggetti importanti le sanzioni potranno raggiungere i 7 milioni di euro o l’1,4% del fatturato. Per le pubbliche amministrazioni, le sanzioni varieranno da 25.000 a 125.000 euro.

Pubbliche amministrazioni

La NIS2 estende in modo significativo le responsabilità delle amministrazioni pubbliche in termini di cybersicurezza, coinvolgendo non solo le amministrazioni centrali e regionali, ma anche, a discrezione degli Stati membri, le amministrazioni locali e gli istituti di istruzione impegnati in ricerche critiche.

Le amministrazioni pubbliche dovranno adottare misure di sicurezza robuste, conducendo regolari valutazioni del rischio per mitigare vulnerabilità e rispondere alle minacce in evoluzione. La formazione del personale sarà cruciale per mantenere alti livelli di consapevolezza e preparazione in materia di sicurezza informatica. In sintesi, la NIS2 impone un impegno considerevole per le pubbliche amministrazioni affinché elevino i propri standard di cybersicurezza, garantendo la protezione delle infrastrutture critiche e la sicurezza dei dati sensibili in un contesto di minacce digitali in costante crescita.

Supply Chain

La NIS2 introduce anche normative specifiche per rafforzare la sicurezza delle supply chain, specialmente per le infrastrutture critiche e importanti. Le organizzazioni devono estendere queste misure anche ai loro fornitori e subappaltatori per mantenere la resilienza operativa. Le aziende che non rispettano questi standard potrebbero dover interrompere le relazioni con fornitori non conformi. La NIS2 estende l’applicabilità a un maggior numero di aziende, incluse quelle di medie e grandi dimensioni. L’obiettivo finale è garantire che gli attacchi informatici, anche se penetrano le difese, non compromettano significativamente le operazioni aziendali o governative a lungo termine.

Hypergrid offre consulenze su misura per assicurare che la tua azienda rispetti i requisiti della NIS2, guidando le organizzazioni dall’analisi iniziale all’implementazione delle misure di sicurezza, personalizzando ogni soluzione per proteggere efficacemente la tua infrastruttura. Proponiamo anche corsi di formazione avanzati per dirigenti e dipendenti, volti a rafforzare la consapevolezza e le competenze sulle strategie di sicurezza.

Per maggiori informazioni: https://hypergrid.it/contatti/
📞 Telefono: 0382 528875
📧 Email: info@hypergrid.it

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica