Direttiva europea NIS2 sulla sicurezza informatica: cos’è e a chi si applica

Cos'è la direttiva NIS2?

Nell'era digitale la cybersecurity è un imperativo per ogni organizzazione. La direttiva NIS2 ha l’obiettivo di rafforzare il livello di sicurezza informatica all'interno dell'Unione Europea, grazie anche all'effetto combinato con altre direttive.

La conformità alla NIS2 è un obbligo, anche strategico, per le imprese che vogliono proteggere i loro asset digitali e fisici, rafforzare la fiducia dei consumatori e migliorare la loro competitività sul mercato.

Il Decreto Legislativo n. 138 che recepisce la direttiva (UE) 2022/2555 NIS2, è stato pubblicato in Gazzetta Ufficiale il primo ottobre 2024 ed è entrato in vigore il 16 ottobre 2024.

NIS2: l’obiettivo

La nuova direttiva NIS2 ha l’obiettivo di definire una strategia comune di cybersecurity per tutti gli Stati membri dell’Unione Europea, elevando i livelli di sicurezza dei servizi digitali. Si integra con altre normative come il GDPR (General Data Protection Regulation), il Regolamento DORA (Digital Operational Resilience Act) e il Cyber Resilience Act, per affrontare le minacce informatiche sempre più sofisticate e numerose.

Le differenze rispetto alla direttiva NIS

La direttiva NIS2 amplia la precedente direttiva NIS (Network and Information Security) con una serie di cambiamenti, infatti:

• elimina la distinzione tra gli Operatori di Servizi Essenziali (OSE) e i fornitori di servizi digitali (DSP - Digital Service Provider), introducendo nuove categorie di operatori basate sull'importanza del servizio offerto;

• estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi come le piattaforme di cloud computing, data center e servizi sanitari;

• stabilisce un quadro più dettagliato per le misure di sicurezza, richiedendo un approccio multirischio e la segnalazione tempestiva di incidenti significativi alle autorità competenti.

La NIS2, a chi si applica?

La direttiva NIS2 è obbligatoria per:

• settori ad alta criticità: settori considerati vitali per il funzionamento socio-economico dell'UE come l’energia, i trasporti, la finanza, la sanità e le infrastrutture digitali, la Pubblica Amministrazione;

• altri settori critici: la direttiva identifica "altri settori critici" come i servizi postali, la gestione dei rifiuti, la fabbricazione, produzione e distribuzione di sostanze chimiche, la produzione, trasformazione e distribuzione di alimenti e di dispositivi medici, i fornitori di servizi digitali, la ricerca.

Nello specifico, la direttiva si applica a tutte le organizzazioni medie e grandi operanti nei settori indicati, secondo i criteri dimensionali definiti dalla UE, ovvero:

Medie Imprese

• Totale dello stato patrimoniale: 25.000.000 euro (ex 20.000.000).

• Ricavi netti delle vendite e delle prestazioni: 50.000.000 euro (ex 40.000.000 euro).

• Numero medio dei dipendenti durante l’esercizio: fino a 250.

Grandi Imprese che superano almeno due dei tre criteri sottoindicati:

• Totale dello stato patrimoniale: oltre 25.000.000 euro (ex 20.000.000 euro).

• Ricavi netti delle vendite e delle prestazioni: oltre 50.000.000 euro (ex 40.000.000 euro).

• Numero medio dei dipendenti durante l’esercizio: oltre 250.

I requisiti principali della NIS2

La direttiva NIS2 stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono:

• il coinvolgimento del Top Management nel processo di adeguamento e relative responsabilità;

• le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;

• le procedure di gestione degli incidenti;

• la continuità operativa in caso di un grave incidente informatico come, ad esempio, il ripristino dei sistemi, le procedure di emergenza e la creazione di un team di risposta alle crisi;

• la sicurezza della catena di approvvigionamento. Gli obblighi di cybersecurity devono coinvolgere l’intera filiera di fornitori;

• la supply chain. La direttiva impone alle aziende di identificare, valutare e gestire accuratamente i rischi associati a fornitori e partner, adottando misure preventive e controlli periodici per mitigare potenziali vulnerabilità lungo tutta la catena di approvvigionamento;

• la sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete;

• la definizione di strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;

• la definizione di pratiche per evitare rischi come virus, furti d’identità e malware (igiene digitale);

• le politiche e procedure relative all’uso della crittografia;

• la sicurezza delle risorse umane e le strategie di controllo dell’accesso a hardware, software, dati;

• la creazione di soluzioni di autenticazione a più fattori o di autenticazione continua.

I vantaggi della NIS2 per le aziende

La direttiva NIS2 promuove un ambiente digitale più sicuro e può aiutare a ridurre il rischio di incidenti informatici e favorire la continuità operativa. La diffusione di una cultura aziendale della cybersecurity può aumentare la consapevolezza e la preparazione del personale, rendendo l'azienda pronta a fronteggiate le minacce informatiche.

Se non vengono rispettate le disposizioni contenute nella direttiva, l’eventuale non conformità di un’organizzazione verrà sanzionata dallo Stato italiano.

Come prepararsi alla NIS2?

Per prepararsi all'implementazione della NIS2, le aziende devono iniziare con una valutazione del rischio per pianificare attività appropriate ed è fondamentale stabilire un solido quadro di governance per identificare e documentare ruoli e responsabilità delle principali parti interessate. Infine, è importante effettuare valutazioni periodiche del rischio e controlli di sicurezza regolari per mantenere aggiornate le soluzioni di cybersecurity.

Vuoi leggere altri articoli su tematiche normative ed economico-finanziarie? Clicca qui.