pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

La direttiva NIS 2 sugli obblighi di cybersicurezza

La direttiva NIS 2 sugli obblighi di cybersicurezza

Entrata in vigore il 17 gennaio 2023, la Direttiva NIS 2 ha introdotto nuovi obblighi in tema di cybersicurezza per alcune imprese e organizzazioni.

Nello specifico, si tratta della Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, "relativa a misure per un livello comune elevato di cibersicurezza nell'Unione", che abroga la Direttiva UE 2016/1148.

Essendo una direttiva (e non un regolamento) dovrà essere recepita da tutti gli Stati membri entro una data specifica, ovvero il 18 ottobre 2024. Vediamo, in questo articolo, alcuni punti fondamentali della Direttiva NIS 2.

Cos'è la Direttiva NIS 2 sulla cybersecurity

In un contesto in cui, sempre di più, gli attacchi informatici rappresentano un fenomeno crescente (sia in termini di quantità che di gravità degli impatti su aziende e organizzazioni), l'UE ha voluto prendere delle misure per aumentare il livello di cybersicurezza in Europa, specie per soggetti e settori con particolari criticità (come vedremo nel prossimo paragrafo).

Dopo l'emanazione della Direttiva NIS nel 2016, dunque, nel 2020 è stata avviata la revisione della norma, che ha evidenziato la necessità di intervenire per colmare le lacune e affrontare in modo efficace le nuove sfide legate alla cybersecurity.

Con la Direttiva NIS 2, entrata in vigore nel gennaio del 2023, l'obiettivo principale è stato dunque quello di aumentare i livelli di sicurezza dei servizi digitali e rafforzare le misure di cybersicurezza. Un'azione che si è resa necessaria in virtù dell'aumento del tasso di digitalizzazione degli Stati membri e, quindi, dell’incremento della superficie di attacco informatico (ancor più evidente con la spinta alla diffusione di sistemi e tecnologie digitali data dalla pandemia da Covid-19).

Come anticipato, ogni Stato membro ha tempo fino al 18 ottobre 2024 per adottare e pubblicare le misure necessarie per conformarsi alla direttiva (a partire da tale data, di conseguenza, la Direttiva NIS 2 abrogherà la precedente Direttiva NIS, che in Italia era stata recepita nel 2018).

Va ricordato, inoltre, che la Direttiva NIS 2 non va a sostituire le altre normative in tema di privacy e protezione dei dati, ma semmai si integra con quanto già presente, come ad esempio il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR).

Direttiva NIS 2: a chi si applica

Rispetto alla precedente distinzione tra “operatori di servizi essenziali” e “fornitori di servizi essenziali”, nella NIS 2 vengono introdotte le nuove categorie di “soggetti essenziali” e “soggetti importanti”.

In queste categorie, come indicato negli allegati 1 e 2 della Direttiva, rientrano tutti i soggetti che operano nei "settori ad alta criticità" e negli "altri settori critici". Nello specifico:

  • settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori dei servici Tlc (business-to-business), pubblica amministrazione, spazio;
  • altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (di: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitali; ricerca.

La direttiva si applica ai soggetti (pubblici o privati) delle tipologie sopra menzionate, se di medie o grandi dimensioni. Inoltre, possono essere inclusi anche altri soggetti (sempre rientranti nelle tipologie sopra citate, ma indipendentemente dalla dimensione), nei diversi casi specifici citati all'articolo 2, paragrafo 2, della Direttiva.

La NIS 2 non si applica, invece, "agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, l'accertamento e il perseguimento dei reati".

Misure di gestione dei rischi di cybersicurezza e obblighi di segnalazione

Tra i diversi punti indicati nella Direttiva NIS 2, l'articolo 21 pone l'attenzione sulle misure tecniche, operative e organizzative di gestione dei rischi della sicurezza dei sistemi informatici e di rete, che devono essere adeguate e proporzionate ai rischi esistenti.

La proporzionalità delle misure deve essere stabilita considerando il grado di esposizione del soggetto ai rischi, le dimensioni del soggetto, le probabilità che si verifichino incidenti e la loro gravità (compreso l'impatto sociale ed economico).

Tali misure, basate su un approccio multirischio, devono comprendere come minimo gli elementi indicati all'articolo 21, paragrafo 2, ovvero:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  • gestione degli incidenti;
  • continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
  • sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ogni soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza;
  • pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
  • politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

L'articolo 23 disciplina, invece, gli obblighi di segnalazione e notifica degli incidenti con impatto significativo alle autorità competenti e al proprio CSIRT (Computer Security Incident Response Team). Un preallarme deve essere trasmesso "senza indebito ritardo" e comunque entro 24 ore dalla conoscenza dell'incidente significativo, mentre la notifica dell'incidente va inviata entro 72 ore dalla conoscenza dell'incidente.

Entro un mese dalla notifica, inoltre, va inviata una relazione finale, che comprenda:

  • una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto;
  • il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente;
  • le misure di attenuazione adottate e in corso;
  • se opportuno, l'impatto transfrontaliero dell'incidente.

Per approfondire, qui puoi consultare il testo completo della Direttiva NIS 2.

Vuoi essere certo che la tua azienda rispetti tutti gli obblighi di legge in tema di privacy e protezione dei dati personali? Contattaci senza impegno per richiedere la consulenza di un nostro esperto.


banner ebook studio essepi 


michele-vasselai-studio-essepi  

Scritto da: Michele Vasselai


RSPP, responsabile marketing e vendite specializzato in comunicazione d'impresa e sviluppo commerciale, motociclista e appassionato di basket.


Chiamaci

045 8621499