Direttiva NIS2
Di cosa tratta la direttiva NIS2?
La NIS2 (Network and Information Security Directive) è una direttiva europea che ha l’obiettivo di migliorare i requisiti di sicurezza informatica per le istituzioni, enti pubblici e aziende, in risposta all’aumento degli attacchi informatici.
Questa normativa intende far sì che le aziende di tutti i Paesi Membri adottino misure comuni e strategiche per uniformare il livello e le modalità di sicurezza informatica.
I punti principali della Direttiva:
- Identificare le organizzazioni che hanno un obbligo primario nella messa in opera di misure atte a ridurre i rischi informatici;
- Stabilire sanzioni in caso di mancato adeguamento;
- Imporre obblighi di implementazione, organizzazione e divulgazione dei principi e comportamenti che possano preservare la sicurezza dell’organizzazione stessa;
- Indicare le misure e i riferimenti per la comunicazione obbligatoria e modalità di gestione degli incidenti.
La normativa è in vigore già da Gennaio 2023 e fissa come termine ultimo per l’applicazione delle disposizioni il 18 Ottobre 2024.
SETTORI COINVOLTI
Rispetto alla NIS1, ad essere coinvolte non sono più solo le aziende appartenenti alla categoria di servizi essenziali, ma le misure vengono estese anche ad altre tipologie di aziende, in base a dimensione e criticità, dividendole in due categorie:
- Soggetti “essenziali”, ovvero imprese appartenenti a settori ritenuti ad alta criticità e particolarmente sensibili. Tra i soggetti essenziali sono soprattutto incluse aziende di medie e grandi dimensioni, ma anche realtà più piccole, per alcuni casi specifici.
- Soggetti “importanti”, ovvero imprese appartenenti a settori ad alta criticità ma di dimensioni più ridotte rispetto ai soggetti “essenziali”, oltre ad aziende di altri settori sempre particolarmente sensibili al tema della continuità, indipendentemente dalla dimensione.
La NIS2 avrà comunque impatto su tutte le imprese perché essa parte dal principio che tutta la supply chain debba essere preservata da minacce che possano provocare instabilità.
SANZIONI E CONTROLLI
In caso di violazione delle regole sulla gestione dei rischi o degli obblighi di segnalazione, i soggetti essenziali possano ricevere sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo globale.
Allo stesso modo, i soggetti importanti possono essere sanzionati con multe fino a 7 milioni di euro o l’1,4% del fatturato annuo globale.
Le modalità di CONTROLLO dell’applicazione della normativa sulle imprese potranno essere di differente natura, come ad esempio:
- Ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
- Audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente;
- Scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi;
- Richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato;
- Richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza.