La crescente digitalizzazione delle imprese e delle infrastrutture critiche ha portato l’Unione Europea a rafforzare le misure di sicurezza informatica con l’introduzione della Direttiva NIS 2 (Network and Information Security). Entrata in vigore nel gennaio 2023, questa direttiva sostituisce la precedente NIS 1 del 2016, con l’obiettivo di modernizzare il quadro normativo europeo in materia di cybersecurity, adattandolo alle sfide della trasformazione digitale e alle minacce informatiche sempre più sofisticate. La direttiva sarà pienamente operativa a ottobre 2024, imponendo ai destinatari un totale adeguamento; ma quali sono le novità che questo documento introduce e a chi si rivolge nel dettaglio? Vediamolo insieme.
Obiettivi e Finalità della NIS 2
La NIS 2 mira a potenziare la resilienza delle imprese e delle istituzioni pubbliche contro i rischi legati alla sicurezza delle reti e delle informazioni. L’obiettivo principale è garantire che le aziende adottino misure tecniche e organizzative in grado di prevenire, gestire e minimizzare l’impatto degli incidenti di sicurezza. Il quadro normativo introduce nuove regole per la gestione dei rischi cyber, il che si traduce in una serie di obblighi per una gamma più ampia di organizzazioni, con l’intento di uniformare le pratiche di sicurezza a livello europeo.
Principali Novità della Direttiva NIS 2
Rispetto alla NIS 1, la NIS 2 amplia notevolmente il proprio campo d’applicazione, coinvolgendo non solo gli Operatori di Servizi Essenziali (OSE) definiti dalla prima direttiva, ma anche una serie di medie imprese private e soggetti pubblici che gestiscono servizi critici. Ciò significa che, oltre alle grandi imprese, anche molte piccole e medie imprese e enti della Pubblica Amministrazione dovranno adeguarsi alle nuove normative in materia di sicurezza informatica.
Le aree di intervento della NIS 2 includono:
- Analisi dei rischi e sicurezza dei sistemi IT: le aziende devono implementare politiche chiare per la gestione dei rischi cyber.
- Gestione degli incidenti e continuità operativa: viene richiesto alle organizzazioni di dotarsi di soluzioni per il backup e il ripristino dei dati in caso di incidenti.
- Sicurezza della supply chain: una novità rilevante è l’attenzione sulla sicurezza lungo la catena di fornitura, che coinvolge sia l’impresa che i suoi partner e fornitori.
- Manutenzione e sviluppo dei sistemi IT: le aziende sono obbligate a garantire la sicurezza durante l’intero ciclo di vita dei sistemi IT.
- Crittografia e autenticazione multifattoriale: è previsto l’uso di soluzioni di crittografia e autenticazione sicura per proteggere le comunicazioni e l’accesso ai dati sensibili.
- Sicurezza delle risorse umane: l’addestramento del personale è cruciale per ridurre il rischio di errori o negligenze che potrebbero compromettere la sicurezza aziendale.
L’Apparato Sanzionatorio
La NIS 2 introduce un regime sanzionatorio più severo rispetto alla NIS 1. Le sanzioni possono raggiungere importi fino a 10 milioni di euro o il 2% del fatturato annuo delle imprese. Le violazioni particolarmente gravi possono comportare anche sanzioni a livello individuale, come l’interdizione temporanea dalle funzioni dirigenziali per gli amministratori responsabili.
Settori Coinvolti
Una delle principali innovazioni della NIS 2 è l’ampliamento dei settori economici soggetti alla direttiva. Nella NIS 1 erano solo sette i settori considerati critici, mentre la nuova direttiva introduce due categorie di settori:
- Settori ad alta criticità (Allegato I), che comprendono energia, trasporti, sanità, infrastrutture digitali, e Pubblica Amministrazione.
- Settori di criticità minore (Allegato II), che includono servizi postali, gestione dei rifiuti, produzione alimentare, chimica, e fabbricazione.
Implicazioni per le Imprese
Le organizzazioni, per conformarsi alla NIS 2, dovranno rivedere le loro pratiche di sicurezza informatica e adottare soluzioni che migliorino la gestione dei rischi e la continuità operativa. Ciò comporta investimenti in tecnologie avanzate, formazione del personale e aggiornamento delle procedure operative. Tuttavia, questi sforzi saranno compensati da una maggiore protezione contro i rischi cyber e da una migliore capacità di risposta agli incidenti, che potrebbero salvaguardare il business e la reputazione aziendale.
Insomma, un nuovo capitolo si aggiunge in tema di cybersecurity europea, imponendo standard più elevati e misure più severe per garantire la sicurezza delle reti e delle informazioni, ridurre i rischi legati alla cybercriminalità, ma anche per contribuire a creare un ambiente digitale più sicuro per tutti. Su questa scia, anche il nostro Paese sta facendo passi in avanti. Proprio di recente, ad esempio, l’ACN, l’Agenzia per la cybersicurezza nazionale, ha stabilito le modalità di comunicazione della nomina del referente per la cybersicurezza nelle PA che dovrà essere in grado non solo di affrontare, ma anche di prevenire eventuali attacchi e quindi di garantire un ambiente tecnologico sicuro per la PA per cui opera e soprattutto per gli utenti (se vuoi saperne di più, abbiamo dedicato al tema un articolo blog www.sikuel.it/tributi/cybersicurezza-nomina-del-referente-pa-acn/).
Hai bisogno di saperne di più o vuoi una consulenza su come possiamo aiutarti in materia di cybersecurity? Contattaci ai recapiti: 0932 667555 / 348 6185167 / commerciale@sikuel.it
