La direttiva NIS2 – Portale Consulenti Sicurezza qualità ambiente bandi

La direttiva NIS2 (Network and Information Systems Directive 2) è una legge dell’Unione Europea che aggiorna e rafforza la prima versione della direttiva NIS, con l’obiettivo di migliorare la resilienza e la sicurezza informatica in tutta l’UE. Essa si inserisce nel contesto della crescente minaccia di attacchi cibernetici e della necessità di garantire che i sistemi e le reti informatiche, che sono alla base di numerosi servizi essenziali per la società e l’economia, siano protetti in modo efficace.

Perché è importante?

La sicurezza delle informazioni e delle reti è diventata un tema centrale, soprattutto perché molte attività della vita quotidiana dipendono ormai da sistemi digitali e interconnessi. Le vulnerabilità di queste reti possono essere sfruttate da criminali informatici, gruppi di hacker o addirittura Stati ostili, con gravi conseguenze. Gli attacchi informatici possono causare danni economici, interrompere servizi vitali come ospedali o centrali energetiche, e compromettere la fiducia dei cittadini nelle tecnologie digitali.

Principali obiettivi della direttiva NIS2

1. Aumentare la sicurezza informatica nei settori critici: La NIS2 si concentra su settori essenziali che forniscono servizi critici alla società e all’economia, come l’energia, i trasporti, le telecomunicazioni, la sanità, i servizi finanziari e l’acqua potabile. Questi settori sono altamente vulnerabili agli attacchi informatici e la loro sicurezza è fondamentale per la stabilità sociale ed economica.
2. Ampliamento dell’ambito di applicazione: Rispetto alla direttiva NIS originale, NIS2 amplia il numero di settori e organizzazioni che devono rispettare gli obblighi di sicurezza. Include anche altre categorie come i fornitori di servizi digitali (es. piattaforme cloud, servizi di data hosting, motori di ricerca e social media) e più tipi di attori pubblici e privati che operano in ambiti strategici.
3. Gestione dei rischi e protezione delle infrastrutture: Le organizzazioni che rientrano nel campo di applicazione della NIS2 sono tenute a identificare i rischi informatici, implementare misure preventive adeguate (come firewall, software antivirus, piani di continuità operativa), e reagire rapidamente in caso di incidenti. Devono anche condurre periodiche valutazioni della sicurezza per garantire che i loro sistemi siano sempre protetti.
4. Obbligo di segnalazione degli incidenti: Le organizzazioni devono comunicare alle autorità competenti gli incidenti significativi che potrebbero compromettere la sicurezza delle reti e dei sistemi informativi. La segnalazione tempestiva consente alle autorità e ad altre aziende di rispondere in modo coordinato e ridurre i danni.
5. Miglioramento della collaborazione e della condivisione delle informazioni: Un altro elemento centrale della direttiva è il rafforzamento della cooperazione tra i vari Stati membri dell’UE. Le informazioni su minacce e incidenti devono essere condivise tra i Paesi per garantire una risposta collettiva e tempestiva agli attacchi informatici su larga scala. La NIS2 promuove anche la creazione di centri di coordinamento nazionali per la gestione degli incidenti.
6. Formazione e sensibilizzazione: La direttiva NIS2 sottolinea l’importanza di formare adeguatamente il personale e sensibilizzare le organizzazioni sui rischi informatici. Le aziende devono garantire che i loro dipendenti siano consapevoli delle minacce informatiche e siano in grado di adottare comportamenti sicuri, come evitare phishing e utilizzare password forti.
7. Sanzioni e responsabilità: La NIS2 prevede sanzioni severe per le aziende che non rispettano gli obblighi di sicurezza. Le sanzioni possono essere molto alte, in base alla gravità del mancato adempimento. Questo incentiva le organizzazioni a prendere seriamente la protezione dei loro sistemi informatici.

Impatti per le imprese

Le imprese che operano in settori critici o che forniscono servizi digitali dovranno affrontare una serie di nuove responsabilità sotto la NIS2. In particolare, dovranno:

• Implementare misure di sicurezza più rigorose, come soluzioni di difesa avanzate, monitoraggio costante dei sistemi e aggiornamenti regolari.
• Gestire meglio i fornitori: Le aziende dovranno assicurarsi che anche i fornitori con cui collaborano rispettino gli stessi standard di sicurezza, poiché le vulnerabilità possono essere introdotte da terze parti.
• Prepararsi a gestire gli incidenti: Devono avere piani di emergenza ben definiti per rispondere a cyberattacchi, inclusi piani di backup e comunicazione interna ed esterna.

Vantaggi per la società e l’economia

1. Maggiore sicurezza: La protezione delle infrastrutture critiche contribuirà a ridurre il rischio di disservizi, furti di dati e danni economici causati da attacchi informatici.
2. Maggior fiducia nei sistemi digitali: Con l’introduzione di standard di sicurezza più elevati, i cittadini e le imprese saranno più propensi a utilizzare i servizi digitali con maggiore fiducia.
3. Resilienza collettiva: Una risposta più coordinata e rapida agli attacchi cibernetici aiuterà l’Europa a essere più resistente e reattiva di fronte a minacce globali.

La NIS2 è un passo importante per migliorare la sicurezza digitale in Europa. Con l’aumento della digitalizzazione e il crescente numero di attacchi informatici, questa direttiva mira a proteggere meglio le infrastrutture essenziali, le aziende e i cittadini, creando un ambiente digitale più sicuro e affidabile. Sebbene la sua applicazione comporti impegni significativi per le aziende, essa rappresenta anche un’opportunità per rafforzare la resilienza e garantire la continuità dei servizi vitali in caso di emergenze informatiche.

DECRETO LEGISLATIVO 4 settembre 2024, n. 138 

Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148. (24G00155) (GU Serie Generale n.230 del 01-10-2024)

Nel testo normativo si legge che le disposizioni si applicheranno a decorrere dal 16 ottobre 2024. Inoltre, gli enti dovranno necessariamente attendere ancora qualche mese per sapere con precisione se e a quali obblighi sono tenute.

il Decreto Legislativo impone ai soggetti essenziali ed importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi utilizzati nella fornitura dei servizi e per ridurre l’impatto degli incidenti per i destinatari dei servizi.

Il dettaglio sarà definito dall’ACN sulla base dei seguenti parametri:

• il grado di esposizione al rischio;
• la dimensione dell’ente;
• la probabilità che si verifichino incidenti e
• la gravità (incuso l’impatto economico e sociale).

Tuttavia, è possibile che numerosi enti che saranno soggetti alla normativa in analisi avranno già una cyber maturity tale da consentirgli di attuare misure che siano più che altro migliorative rispetto a quelle già esistenti. Dunque, verosimilmente, questa normativa non si pone come una rivoluzione rispetto al passato. Per questo motivo, in un’ottica di adeguamento, sarà prezioso il contributo di professionisti di area tecnica e legale con un’ampia esperienza sul tema, che sappiano mappare e valorizzare le attività già svolte dall’ente.