Facebook Linkedin

Scrivici a info@grcteam.it

IMteam
Linkedin GRCteam

Direttiva NIS 2

Direttiva NIS 2

La Direttiva NIS2 (Network and Information Security) ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.

Chi ha emanato la NIS 2?

La Direttiva NIS2 pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016, nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.

Differenza tra NIS e NIS 2

NIS

La NIS, conosciuta anche come NIS 1, è stata la prima direttiva relativa alla sicurezza delle reti e delle informazioni nell’Unione Europea.

È entrata in vigore nel 2016 e mirava a migliorare la sicurezza delle reti e dei sistemi informativi in Europa, imponendo obblighi a determinati settori e operatori considerati di importanza critica per l’infrastruttura digitale e la fornitura di servizi.

NIS 2

La NIS 2, invece, è una versione successiva e più avanzata della direttiva. Pubblicata nel dicembre 2022, amplia il suo campo di applicazionecoinvolgendo non solo gli operatori precedentemente inclusi nella NIS 1, ma anche le medie imprese che erogano servizi ritenuti “critici”.

Inoltre, la NIS 2 introduce misure più stringenti e specifiche per migliorare la prevenzione, la risposta e la resilienza agli incidenti di cybersecurity.

Direttiva NIS 2: ufficiale il recepimento in Italia

Il nuovo D.Lgs. 138/2024 pone l’obbiettivo di rafforzare il livello globale di cyber sicurezza per i soggetti essenziali e importanti, in particolare:

  • mitigare le minacce ai sistemi informatici e di rete utilizzati per fornire servizi essenziali in settori chiave; 
  • garantire la continuità di tali servizi in caso di incidenti, contribuendo in tal modo alla sicurezza dell’Unione e al funzionamento efficace della sua economia e della sua società.
Ciò significa che per noi è fondamentale affiancare aziende ed enti pubblici coinvolti per: 
  • Supportare l’organizzazione nel comprendere il contesto di riferimento e implementare le attività necessarie attraverso metodologie framework adeguatamente profilati;
  • Identificare l’infrastruttura tecnologica, individuare gli adeguamenti, i presidi di controllo, le modalità e frequenze monitoraggio necessari al fine proteggere il patrimonio informativo dalle minacce che possano compromettere la sicurezza delle informazioni;
  • Verificare le implicazioni in materia di sicurezza delle informazioni nella documentazione contrattuale; garantire che il modello costruito sia effettivamente idoneo in relazione ai requisiti della norma ISO (tenendo conto delle implicazioni e degli impatti con gli altri temi di compliance).

 

Le principali aree di applicazione:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici; (ISO27032)

  • gestione degli incidenti; (ISO 27035)

  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; (ISO 22301)

  • sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; (ISO 27000-1 e ISO 20000-1)

  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; (ISO 20000-1)

  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;

  • pratiche di igiene informatica di base e formazione in materia di cyber sicurezza;

  • politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;

  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;

  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Le sanzioni previste dalla Direttiva NIS 2

Le sanzioni previste dalla Direttiva NIS 2 includono misure pecuniarie e interdittive. Queste sanzioni possono essere applicate in modo proporzionato alla gravità delle violazioni e possono coinvolgere:

  1. Sanzioni pecuniarie: Multe o ammende pecuniarie imposte agli operatori che gestiscono servizi essenziali e importanti in caso di non conformità alle disposizioni della direttiva. La NIS 2 concede maggiori poteri delle autorità competenti, in particolare per quanto riguarda il monitoraggio delle entità essenziali che saranno soggette a vigilanza ex ante ed ex post e potranno essere sanzionate fino a 10 milioni di euro, o 2% del fatturato. Sanzioni che invece possono arrivare fino a 7 milioni di euro, o 1,4% del fatturato per i soggetti “importanti”.

  2. Sanzioni interdittive: Queste possono includere divieti temporanei a individui con ruoli dirigenziali, come amministratori delegati o rappresentanti legali, di esercitare funzioni dirigenziali. Inoltre, possono comportare la sospensione temporanea di certificati o autorizzazioni relativi ai servizi o alle attività pertinenti gestiti dal soggetto coinvolto.

Le sanzioni mirano a responsabilizzare concretamente gli operatori che gestiscono servizi essenziali e importanti, sottolineando l’importanza della sicurezza cibernetica non solo a livello individuale, ma anche sociale, culturale ed economico a livello internazionale.

 

Punti comuni tra GDPR, NIS 2 e Regolamento DORA

Esistono punti comuni tra la GDPR, la NIS 2 e il Regolamento DORA:

  1. Governance e organizzazione interna: È necessario definire chiaramente la struttura organizzativa, i ruoli e le responsabilità interni. Sono richieste politiche e procedure per l’applicazione corretta delle misure di sicurezza.
  2. Approccio basato sul rischio: Tutte e tre le normative adottano un approccio “risk-based”, richiedendo un’analisi del rischio specifica per pianificare le attività di protezione dei dati.
  3. Gestione degli incidenti: Indipendentemente se riguardano dati personali o meno, è necessario identificare, analizzare e valutare gli incidenti, oltre a verificare l’efficacia delle misure di sicurezza applicate.
  4. Fornitori e soggetti esterni: Le normative richiedono una valutazione delle misure di sicurezza adottate dai fornitori per garantire una catena di fornitura sicura.

 

L’obiettivo delle istituzioni europee è creare un insieme normativo che protegga la società dell’informazione. La sinergia tra GDPR, NIS 2 e DORA dimostra l’interconnessione tra le normative, suggerendo l’adozione di un approccio integrato alla conformità come risposta alle esigenze di protezione dei dati e della sicurezza informatica.

NIS 2: i documenti ufficiali

Scarica la Direttiva NIS 2 in PDF
Scarica la Direttiva DORA in PDF
Certificazione di Sistema Qualità - ISO9001
ISO 27001 con l'estensione ISO-IEC 27017 - ISO-IEC 27018
KEYMAP - Logo
Linkedin GRCteam