Obbligo di iscrizione NIS 2

Entrata in vigore il 16 ottobre 2024 in Italia, la NIS 2 è la seconda versione della Direttiva Europea per la sicurezza delle reti e dei sistemi informativi, pensata per migliorare la resilienza informatica delle aziende. In parole semplici, la NIS 2 impone alle aziende di adottare misure di sicurezza adeguate per proteggere i loro sistemi da attacchi informatici e altre minacce. Questa direttiva è stata introdotta per garantire una maggiore sicurezza in tutta Europa, riducendo i rischi legati alla cybersecurity e migliorando la protezione dei dati sensibili.

Con l’entrata in vigore della NIS 2, vengono fissati standard più elevati per la gestione della sicurezza informatica, coinvolgendo un numero maggiore di settori rispetto alla prima direttiva NIS.

La direttiva NIS2 introduce importanti obblighi per le organizzazioni, suddivisi in quattro aree principali:

• Gestione del rischio
  Le aziende devono adottare misure per mitigare i rischi informatici, rispettando i nuovi requisiti della direttiva. Tra gli interventi richiesti ci sono la gestione degli incidenti, il rafforzamento della sicurezza della supply chain e delle reti, l’implementazione di sistemi di crittografia e il miglioramento dei controlli sugli accessi.

 

• Responsabilità aziendale
  Il management aziendale ha un ruolo centrale nella supervisione delle politiche di sicurezza informatica e nella gestione dei rischi. È obbligatoria una formazione specifica per i dirigenti, che potranno essere ritenuti responsabili in caso di violazioni, con possibili sanzioni penali o esclusione temporanea dai ruoli dirigenziali.

 

• Obblighi di comunicazione
  Le organizzazioni identificate come essenziali o cruciali devono predisporre sistemi per notificare tempestivamente eventuali incidenti di sicurezza con impatto significativo. La direttiva stabilisce tempi precisi per la comunicazione, come l’invio di un primo avviso (‘early warning’) entro 24 ore.

 

• Continuità del business
  È necessario pianificare strategie per garantire la continuità del business in caso di incidenti informatici rilevanti. Questo include il ripristino dei sistemi, l’attivazione di procedure di emergenza e la costituzione di team dedicati alla gestione delle crisi.

A chi si rivolge

La direttiva NIS2 amplia l’ambito di applicazione rispetto alla precedente normativa, coinvolgendo un maggior numero di settori e organizzazioni sia pubbliche che private, con l’obiettivo di rafforzare la sicurezza informatica nell’intera Unione Europea. La sua attuazione riguarda sia le autorità nazionali che le organizzazioni operanti nei confini dell’UE, con particolare attenzione alla protezione della supply chain digitale.

La Direttiva Europea NIS2 impone i suoi obblighi a organizzazioni che operano in settori essenziali e settori importanti. La direttiva si applica sia alle aziende principali sia ai fornitori e alle terze parti coinvolti nella supply chain, introducendo criteri specifici di inclusione.

Tra i criteri di inclusione sono presenti:

• Numero di dipendenti: Organizzazioni con almeno 50 dipendenti.
• Fatturato annuo: Aziende con un fatturato pari o superiore a 10 milioni di euro.
• Fornitori critici: Entità coinvolte nella supply chain di settori essenziali o importanti, indipendentemente dalle dimensioni o dal fatturato.
• Rilevanza nazionale: Qualsiasi entità considerata critica da uno Stato membro per ragioni di sicurezza nazionale o continuità operativa.

 

Le organizzazioni essenziali sono idenitificabili in riferimento al settore in cui operano:

• Energia
  • Produzione, trasmissione e distribuzione di elettricità.
  • Settore del gas: operatori di rete, fornitori e distributori.
  • Petrolio: raffinerie, oleodotti, distribuzione.

 

• Trasporti
  • Trasporto aereo: compagnie aeree, aeroporti, gestione del traffico aereo (ATC).
  • Trasporto ferroviario: operatori ferroviari e sistemi di controllo del traffico ferroviario.
  • Trasporto stradale: gestione di infrastrutture critiche come ponti, tunnel e autostrade.
  • Trasporto marittimo e fluviale: porti, compagnie di navigazione, servizi di gestione del traffico marittimo (VTS).

 

• Banche e Finanza
  • Istituti bancari regolamentati dalla normativa europea.
  • Infrastrutture dei mercati finanziari, come piattaforme di pagamento e borse valori.

 

• Sanità
  • Ospedali e strutture sanitarie.
  • Centri di diagnosi e laboratori.
  • Servizi di sanità elettronica (e-health).

 

• Fornitura e gestione delle acque
  • Trattamento e distribuzione di acqua potabile.
  • Servizi di gestione delle acque reflue.

 

• Infrastrutture digitali
  • Data center e provider di servizi cloud.
  • Registri e servizi DNS.

Tra gli attori coinvolti nella NIS2 troviamo anche i settori detti importanti:

• Servizi postali e di corrieri
  • Aziende che gestiscono la distribuzione e la logistica.

 

• Gestione dei rifiuti
  • Operatori di raccolta, trattamento e smaltimento dei rifiuti.

 

• Industria manifatturiera
  • Produzione di farmaci e dispositivi medici.
  • Produzione di sostanze chimiche critiche.
  • Produzione alimentare (incluse le catene del freddo).

 

• Fornitori di servizi digitali
  • Marketplace online.
  • Motori di ricerca.
  • Piattaforme di social media.

 

• Amministrazione pubblica
  • Enti governativi e organizzazioni pubbliche che forniscono servizi essenziali.

La NIS2 si applica anche a fornitori e terze parti che:

• Forniscono beni, servizi o processi critici a organizzazioni nei settori sopra elencati.
• Sviluppano software, gestiscono infrastrutture cloud o forniscono soluzioni IT.
• Producono hardware critico, come server, dispositivi IoT e apparati di rete.
• Offrono servizi di sicurezza informatica (MSSP, SOC) o consulenza strategica.