Normativa NIS2: Nuovi Obblighi Cyber per le Aziende

Normativa NIS2: Nuovi Obblighi Cyber per le Aziende

La crescente digitalizzazione e interconnessione delle infrastrutture critiche e dei servizi essenziali ha esposto aziende, istituzioni e cittadini a un numero sempre maggiore di attacchi informatici. Il panorama delle minacce cibernetiche è in rapida evoluzione, e la recente Direttiva NIS2 dell’Unione Europea rappresenta un passo fondamentale per garantire una maggiore sicurezza informatica a livello europeo. Questo articolo approfondisce gli obblighi introdotti dalla Direttiva NIS2 e offre una guida pratica per le aziende che devono prepararsi a conformarsi alla nuova normativa.

Contesto Attuale e Necessità della Normativa NIS2: Nuovi Obblighi Cyber per le Aziende
Negli ultimi anni, gli attacchi informatici hanno raggiunto livelli senza precedenti in termini di frequenza e gravità. Secondo il rapporto Clusit 2023, il numero di attacchi a livello globale è aumentato del 60% negli ultimi cinque anni. Le conseguenze di questi incidenti non sono solo tecniche, ma hanno anche un impatto profondo sul tessuto economico e sociale. L’80% degli attacchi rilevati nel 2022 ha avuto effetti gravi o molto gravi, un aumento significativo rispetto al 52% di cinque anni fa.

In questo contesto, l’Unione Europea ha ritenuto necessario aggiornare e rafforzare il quadro normativo esistente per migliorare la resilienza informatica delle sue infrastrutture critiche. La Direttiva NIS, emanata nel 2016, è stata il primo tentativo di creare un livello comune di sicurezza informatica tra gli Stati Membri. Tuttavia, la revisione del 2020 ha evidenziato diverse lacune, tra cui la mancanza di uniformità nell’approccio tra i vari paesi membri e l’inadeguatezza nel coprire tutte le minacce emergenti.

Introduzione alla Direttiva NIS2
La Direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, sostituirà la precedente Direttiva NIS a partire dal 18 ottobre 2024. La nuova normativa ha l’obiettivo di risolvere le carenze della precedente direttiva e di rispondere a un panorama di minacce informatiche che è radicalmente cambiato negli ultimi anni.

La NIS2 mira a garantire un livello elevato e comune di sicurezza informatica tra tutti gli Stati Membri dell’UE, promuovendo un approccio più uniforme ed efficace. Questo sarà ottenuto imponendo obblighi stringenti a un numero molto più ampio di organizzazioni rispetto alla direttiva precedente, soprattutto in settori ritenuti critici per il funzionamento della società.

Chi è Soggetto alla Direttiva NIS2?
Una delle principali novità introdotte dalla NIS2 è l’espansione del perimetro di applicazione della normativa. La distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) è stata abbandonata a favore di una nuova classificazione: Soggetti Essenziali e Soggetti Importanti. Queste categorie includono ora un’ampia gamma di settori critici, elencati negli Allegati 1 e 2 della Direttiva.

Settori ad Alta Criticità e Altri Settori Critici
I settori inclusi nella nuova direttiva sono stati selezionati in base alla loro importanza per la sicurezza e la stabilità della società. Tra i nuovi settori soggetti alla NIS2 si trova anche la Pubblica Amministrazione, riflettendo la crescente digitalizzazione delle istituzioni governative e la necessità di proteggerle da minacce cibernetiche.

La direttiva classifica i settori critici in due categorie principali:

Settori ad Alta Criticità: Include settori come energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, e spazio. Questi settori sono considerati essenziali per il funzionamento quotidiano della società e per la sicurezza nazionale.

Altri Settori Critici: Comprendono servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, fabbricazione di dispositivi medici e elettronici, e fornitori di servizi digitali.

Dimensioni e Tipologie di Aziende Coinvolte
La direttiva NIS2 impone obblighi specifici a tutte le grandi imprese operanti nei settori critici individuati, che comprendono quelle con più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro, oppure un bilancio annuo totale superiore a 43 milioni di euro. Anche le medie imprese, con un numero di dipendenti compreso tra 50 e 250 o un fatturato annuo compreso tra 10 e 50 milioni di euro, saranno soggette a questi obblighi se operano nei settori critici definiti dalla direttiva.

Un altro aspetto cruciale della NIS2 è l’inclusione delle Pubbliche Amministrazioni, per le quali gli Stati Membri avranno maggiore libertà di valutazione durante il recepimento della normativa.

Impatti Sulla Catena di Fornitura
Uno degli effetti più significativi della direttiva NIS2 sarà l’impatto sulla catena di fornitura. Le aziende dovranno assicurarsi che anche i loro fornitori e partner rispettino gli standard di sicurezza richiesti dalla direttiva. Questo potrebbe comportare un aumento significativo dei controlli e delle valutazioni di conformità lungo tutta la catena di fornitura.

Secondo le stime della Commissione Europea, la direttiva NIS2 interesserà direttamente circa 110.000 entità in tutta l’UE, divise tra circa 67.000 soggetti essenziali e 43.000 soggetti importanti. In Italia, si prevede che la normativa riguarderà circa 15.000 soggetti, una cifra che evidenzia la portata e l’importanza di questa nuova normativa per le aziende italiane.

La Direttiva NIS2 introduce una serie di obblighi stringenti per le entità considerate essenziali o importanti all’interno del perimetro della sicurezza informatica. Questi obblighi coprono vari ambiti, dalla governance della cybersicurezza alla gestione dei rischi, includendo la sicurezza della supply chain e la gestione della continuità operativa. Ecco una sintesi delle principali responsabilità e delle implicazioni pratiche:

Governance della Cybersicurezza
Coinvolgimento della Dirigenza: Gli organi di gestione, come i Consigli di Amministrazione, sono tenuti a ratificare le misure di gestione dei rischi e a partecipare a corsi di formazione periodici in materia di cybersicurezza. Inoltre, devono garantire che i dipendenti ricevano una formazione adeguata.

Gestione dei Rischi
Valutazione e Misure: Le organizzazioni devono attuare misure tecniche e organizzative per la gestione dei rischi, come l’autenticazione a più fattori e la crittografia. Devono inoltre mantenere pratiche di igiene informatica e sicurezza delle risorse umane.
Supply Chain: Particolare attenzione è posta sulla sicurezza della catena di approvvigionamento. Le entità devono considerare le vulnerabilità specifiche dei loro fornitori e la qualità delle loro pratiche di cybersicurezza, compreso lo sviluppo sicuro dei prodotti.
Continuità Operativa: Devono essere adottate misure per garantire la continuità operativa, come backup regolari, piani di ripristino in caso di disastro e gestione delle crisi. Le organizzazioni devono essere pronte a ridurre al minimo l’impatto di eventuali interruzioni dei servizi.

Segnalazione degli Incidenti
Tempistiche Rigorose: Gli incidenti che hanno un impatto significativo devono essere notificati alle autorità competenti (CSIRT o autorità nazionale) entro 24 ore dalla loro rilevazione, con un preallarme tempestivo.

Catena di Fornitura
Valutazione dei Fornitori: Oltre ai fornitori ICT, anche altri fornitori critici devono essere valutati per le loro pratiche di sicurezza informatica. Le vulnerabilità della supply chain devono essere monitorate e mitigate per prevenire incidenti che possano compromettere l’organizzazione.

Controlli e Sanzioni
Controlli Differenziati: Nonostante i requisiti di sicurezza siano identici per soggetti essenziali e importanti, le misure di vigilanza e sanzioni variano. Le entità essenziali affrontano controlli e sanzioni più severe, con multe che possono arrivare fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
Sanzioni per Inadempienza: In caso di non conformità, le sanzioni possono includere, nei casi più gravi, la sospensione o il divieto temporaneo per i dirigenti di continuare a svolgere le loro funzioni.

Preparazione delle Imprese
Valutazione Preventiva: Le organizzazioni dovrebbero valutare subito se rientrano nel perimetro della Direttiva NIS2 e pianificare le azioni necessarie per l’adeguamento. Interventi come quelli sulla catena di fornitura richiedono tempo e risorse, e conviene avviarli il prima possibile.

Riassumendo la Normativa NIS2: Nuovi Obblighi Cyber per le Aziende: La Direttiva NIS2 introduce una serie di obblighi stringenti per le entità considerate essenziali o importanti all’interno del perimetro della sicurezza informatica. Questi obblighi coprono vari ambiti, dalla governance della cybersicurezza alla gestione dei rischi, includendo la sicurezza della supply chain e la gestione della continuità operativa.

Di seguito invece una sintesi delle principali responsabilità e delle implicazioni pratiche:

1. Governance della Cybersicurezza

Coinvolgimento della Dirigenza: Gli organi di gestione, come i Consigli di Amministrazione, sono tenuti a ratificare le misure di gestione dei rischi e a partecipare a corsi di formazione periodici in materia di cybersicurezza. Inoltre, devono garantire che i dipendenti ricevano una formazione adeguata.

2. Gestione dei Rischi

Valutazione e Misure: Le organizzazioni devono attuare misure tecniche e organizzative per la gestione dei rischi, come l’autenticazione a più fattori e la crittografia. Devono inoltre mantenere pratiche di igiene informatica e sicurezza delle risorse umane.

Supply Chain: Particolare attenzione è posta sulla sicurezza della catena di approvvigionamento. Le entità devono considerare le vulnerabilità specifiche dei loro fornitori e la qualità delle loro pratiche di cybersicurezza, compreso lo sviluppo sicuro dei prodotti.

Continuità Operativa: Devono essere adottate misure per garantire la continuità operativa, come backup regolari, piani di ripristino in caso di disastro e gestione delle crisi. Le organizzazioni devono essere pronte a ridurre al minimo l’impatto di eventuali interruzioni dei servizi.

3. Segnalazione degli Incidenti

Tempistiche Rigorose: Gli incidenti che hanno un impatto significativo devono essere notificati alle autorità competenti (CSIRT o autorità nazionale) entro 24 ore dalla loro rilevazione, con un preallarme tempestivo.

4. Catena di Fornitura

Valutazione dei Fornitori: Oltre ai fornitori ICT, anche altri fornitori critici devono essere valutati per le loro pratiche di sicurezza informatica. Le vulnerabilità della supply chain devono essere monitorate e mitigate per prevenire incidenti che possano compromettere l’organizzazione.

5. Controlli e Sanzioni

Controlli Differenziati: Nonostante i requisiti di sicurezza siano identici per soggetti essenziali e importanti, le misure di vigilanza e sanzioni variano. Le entità essenziali affrontano controlli e sanzioni più severe, con multe che possono arrivare fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.

Sanzioni per Inadempienza: In caso di non conformità, le sanzioni possono includere, nei casi più gravi, la sospensione o il divieto temporaneo per i dirigenti di continuare a svolgere le loro funzioni.

6. Preparazione delle Imprese

Valutazione Preventiva: Le organizzazioni dovrebbero valutare subito se rientrano nel perimetro della Direttiva NIS2 e pianificare le azioni necessarie per l’adeguamento. Interventi come quelli sulla catena di fornitura richiedono tempo e risorse, e conviene avviarli il prima possibile.

Conclusioni sulla Normativa NIS2: Nuovi Obblighi Cyber per le Aziende

La NIS2, insieme ad altre normative europee come il Cyber Resilience Act e il Regolamento DORA, rappresenta un quadro normativo fondamentale per garantire la resilienza delle organizzazioni contro le minacce informatiche. Il successo nell’affrontare queste sfide dipenderà dalla tempestività e dall’efficacia con cui le entità essenziali e importanti adotteranno le misure richieste, preparandosi a un panorama di sicurezza sempre più complesso e dinamico.

(fonte)

Innovaformazione, scuola informatica specialistica promuove l’aggiornamento continuo delle aziende del settore IT. Trovate l’offerta formativa sul nostro sito con l’elenco corsi al seguente LINK.

INFO: info@innovaformazione.net – Tel. 3471012275 (Dario Carrassi)