Con l’entrata in vigore il 17 gennaio 2023, la direttiva NIS 2 (Network and Information Systems) rappresenta un passo decisivo per rafforzare la sicurezza informatica nell’Unione Europea. Gli Stati membri dovranno recepirla entro il 17 ottobre 2024, rendendo obbligatorie nuove misure per garantire un livello comune elevato di protezione delle reti e dei sistemi informativi.
Cos’è la NIS 2?
La NIS 2 è un aggiornamento della precedente direttiva NIS 1 (Direttiva UE 2016/1148), approvata nel 2016 e recepita dall’Italia nel 2018. Questo aggiornamento è stato reso necessario dall’evoluzione digitale che ha ampliato la superficie di attacco informatico e aumentato i rischi per la sicurezza.
La denominazione ufficiale della NIS 2 è “Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione” e si propone di armonizzare le legislazioni e le procedure di sicurezza informatica degli Stati membri, garantendo una maggiore cooperazione a livello europeo.
Perché è stata introdotta la NIS 2?
L’UE ha approvato questa nuova direttiva per affrontare i limiti della NIS 1, emersi con il rapido aumento della digitalizzazione, ulteriormente accelerato dalla pandemia da Covid-19.
La crescita della cosiddetta “superficie di attacco” — che esprime il numero di punti vulnerabili nei sistemi informativi — ha reso evidente la necessità di:
- Migliorare il livello di protezione delle reti;
- Potenziare le misure di prevenzione e risposta agli attacchi;
- Rafforzare la cooperazione tra gli Stati membri e le autorità nazionali.
A chi si applica la NIS 2?
La direttiva NIS 2 si rivolge a soggetti pubblici e privati appartenenti a settori ad alta criticità o settori critici, con particolare attenzione alle aziende di medie e grandi dimensioni.
Settori ad alta criticità:
- Energia;
- Trasporti;
- Settore bancario;
- Infrastrutture finanziarie;
- Settore sanitario;
- Fornitura di acqua potabile e acque reflue;
- Infrastrutture digitali;
- Servizi di telecomunicazioni B2B;
- Pubblica amministrazione;
- Settore spaziale.
Altri settori critici:
- Servizi postali e di corriere;
- Gestione dei rifiuti;
- Produzione e distribuzione di sostanze chimiche;
- Industria alimentare;
- Fabbricazione (inclusi dispositivi medici, apparecchiature elettriche e mezzi di trasporto);
- Servizi digitali;
- Settore della ricerca.
Indipendentemente dalla dimensione, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e ad alcune Pubbliche Amministrazioni centrali e regionali.
Esclusioni e flessibilità della NIS 2
La direttiva non si applica a:
- Pubbliche Amministrazioni che si occupano di sicurezza nazionale, difesa, pubblica sicurezza o contrasto ai reati;
- Settore giudiziario, parlamenti e banche centrali.
Inoltre, gli Stati membri possono escludere altri soggetti, come Pubbliche Amministrazioni locali o istituti d’istruzione con funzioni di ricerca.
Cosa prevede la NIS 2?
La direttiva introduce norme minime per armonizzare la sicurezza informatica in tutta l’UE. Tra le principali novità:
- Strategie nazionali di cybersecurity: Ogni Stato membro deve adottare una strategia specifica e creare autorità nazionali per la gestione delle crisi informatiche;
- Meccanismi di cooperazione: Introduzione della rete europea per le crisi informatiche (EU-CyCLONe) per una gestione coordinata degli incidenti;
- Obblighi per le imprese: Le aziende devono implementare misure di gestione del rischio, tra cui:
- Autenticazione a più fattori;
- Protezione avanzata delle identità;
- Segnalazione tempestiva di incidenti informatici.
Come adeguarsi alla NIS 2?
Per rispettare la direttiva, le aziende e le Pubbliche Amministrazioni devono:
- Condurre un’analisi dei rischi sui propri sistemi informativi;
- Adottare soluzioni avanzate di cybersecurity, come l’autenticazione multifattore;
- Collaborare con consulenti esperti per integrare le nuove normative nella propria organizzazione.
Come possiamo aiutarti?
La nostra società di consulenza offre supporto completo per l’adeguamento alla direttiva NIS 2, con servizi che includono:
- Analisi preliminare e valutazione dei rischi;
- Implementazione di soluzioni tecnologiche conformi;
- Formazione del personale sulle nuove misure di sicurezza;
- Assistenza nella gestione degli obblighi di segnalazione.
Affidati a noi per proteggere la tua azienda e garantirne la conformità alle nuove normative europee. Contattaci oggi stesso per una consulenza personalizzata!
