Scrivici a info@grcteam.it

Direttiva NIS 2

La Direttiva NIS2 (Network and Information Security) ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.

Chi ha emanato la NIS 2?

La Direttiva NIS2 pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016, nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.

Differenza tra NIS e NIS 2

NIS

La NIS, conosciuta anche come NIS 1, è stata la prima direttiva relativa alla sicurezza delle reti e delle informazioni nell’Unione Europea.

È entrata in vigore nel 2016 e mirava a migliorare la sicurezza delle reti e dei sistemi informativi in Europa, imponendo obblighi a determinati settori e operatori considerati di importanza critica per l’infrastruttura digitale e la fornitura di servizi.

NIS 2

La NIS 2, invece, è una versione successiva e più avanzata della direttiva. Pubblicata nel dicembre 2022, amplia il suo campo di applicazionecoinvolgendo non solo gli operatori precedentemente inclusi nella NIS 1, ma anche le medie imprese che erogano servizi ritenuti “critici”.

Inoltre, la NIS 2 introduce misure più stringenti e specifiche per migliorare la prevenzione, la risposta e la resilienza agli incidenti di cybersecurity.

Cosa prevede la Direttiva NIS 2?

Ecco le principali aree di applicazione:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici; (ISO27032)
  • gestione degli incidenti; (ISO 27035)
  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; (ISO 22301)
  • sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; (ISO 27000-1 e ISO 20000-1)
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; (ISO 20000-1)
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
  • pratiche di igiene informatica di base e formazione in materia di cyber sicurezza;
  • politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Quando entra in vigore la NIS 2?

L’entrata in vigore della NIS2 è prevista per il  18 ottobre 2024: le aziende e gli enti destinatari avranno quindi a disposizione qualche mese per effettuare un assessment idoneo, individuare gli strumenti in materia di sicurezza informatica e gli adeguamenti documentali e procedurali opportuni per rispondere adeguatamente alle prescrizioni e formare il personale.

18 ottobre 2024

Giorni
Ore
Minuti
Secondi

Le sanzioni previste dalla Direttiva NIS 2

Le sanzioni previste dalla Direttiva NIS 2 includono misure pecuniarie e interdittive. Queste sanzioni possono essere applicate in modo proporzionato alla gravità delle violazioni e possono coinvolgere:

  1. Sanzioni pecuniarie: Multe o ammende pecuniarie imposte agli operatori che gestiscono servizi essenziali e importanti in caso di non conformità alle disposizioni della direttiva. La NIS 2 concede maggiori poteri delle autorità competenti, in particolare per quanto riguarda il monitoraggio delle entità essenziali che saranno soggette a vigilanza ex ante ed ex post e potranno essere sanzionate fino a 10 milioni di euro, o 2% del fatturato. Sanzioni che invece possono arrivare fino a 7 milioni di euro, o 1,4% del fatturato per i soggetti “importanti”.

  2. Sanzioni interdittive: Queste possono includere divieti temporanei a individui con ruoli dirigenziali, come amministratori delegati o rappresentanti legali, di esercitare funzioni dirigenziali. Inoltre, possono comportare la sospensione temporanea di certificati o autorizzazioni relativi ai servizi o alle attività pertinenti gestiti dal soggetto coinvolto.

Le sanzioni mirano a responsabilizzare concretamente gli operatori che gestiscono servizi essenziali e importanti, sottolineando l’importanza della sicurezza cibernetica non solo a livello individuale, ma anche sociale, culturale ed economico a livello internazionale.

 

Punti comuni tra GDPR, NIS 2 e Regolamento DORA

Esistono punti comuni tra la GDPR, la NIS 2 e il Regolamento DORA:

  1. Governance e organizzazione interna: È necessario definire chiaramente la struttura organizzativa, i ruoli e le responsabilità interni. Sono richieste politiche e procedure per l’applicazione corretta delle misure di sicurezza.
  2. Approccio basato sul rischio: Tutte e tre le normative adottano un approccio “risk-based”, richiedendo un’analisi del rischio specifica per pianificare le attività di protezione dei dati.
  3. Gestione degli incidenti: Indipendentemente se riguardano dati personali o meno, è necessario identificare, analizzare e valutare gli incidenti, oltre a verificare l’efficacia delle misure di sicurezza applicate.
  4. Fornitori e soggetti esterni: Le normative richiedono una valutazione delle misure di sicurezza adottate dai fornitori per garantire una catena di fornitura sicura.

 

L’obiettivo delle istituzioni europee è creare un insieme normativo che protegga la società dell’informazione. La sinergia tra GDPR, NIS 2 e DORA dimostra l’interconnessione tra le normative, suggerendo l’adozione di un approccio integrato alla conformità come risposta alle esigenze di protezione dei dati e della sicurezza informatica.

Scopri come adeguarti: scrivici per saperne di più