Introduzione alla NIS 2: cosa prevede e come adeguarsi

Facciamo chiarezza tra NIS, NIS 2 e DORA

La Direttiva NIS 2 rinforza gli obblighi della NIS1 e introduce nuovi requisiti per migliorare la sicurezza informatica delle reti e dei sistemi informativi.
In questa introduzione alla NIS 2: cosa prevede e come adeguarsi, esamineremo i punti principali della direttiva e le azioni che le aziende devono intraprendere.

La DORA
La DORA (Digital Operational Resilience Act) è un regolamento europeo che mira a migliorare la resilienza operativa digitale delle entità finanziarie. 
Mitiga i rischi derivanti dalla trasformazione digitale del settore e a promuovere la resilienza informatica nell’ecosistema dei servizi finanziari, aiutando le banche, il settore finanziario e i sistemi finanziari a prevenire, rispondere e riprendersi da problemi di cybersicurezza.
La DORA introduce requisiti per la gestione dei rischi ICT e stabilisce standard uniformi per la supervisione dei rischi digitali, assicurando che le imprese siano preparate a fronteggiare minacce cyber e interruzioni operative.

La NIS (1)

La NIS (Network and Information Security) è una direttiva europea introdotta nel 2016 per migliorare la sicurezza informatica delle reti e dei sistemi informativi, rivolta a garantire un livello comune di sicurezza delle reti e delle informazioni nell’Unione Europea.
L’obiettivo principale era proteggere le infrastrutture critiche come energia, trasporti, sanità e finanza dagli attacchi informatici.

La NIS 2

A chi si rivolge la NIS 2 e cosa prevede

La direttiva NIS 2 chiarisce e amplia la portata delle aziende soggette al regolamento. 
A differenza della NIS precedente, dove gli Stati membri decidevano quali entità erano operatori di servizi essenziali, la NIS 2 introduce una regola di dimensionamento. 
Questa norma si applica alle entità medio-grandi (con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano in settori rilevanti. 

Le PMI sono generalmente escluse, a meno che la loro attività non sia considerata critica per la società. 

Inoltre, la NIS 2 non considera solo l’azienda o il fornitore di servizio essenziale, ma anche tutta la sua supply chain. 
Ad esempio, un’azienda informatica che fornisce apparecchiature o software a un cliente che li utilizza per un servizio essenziale rientra automaticamente nei requisiti della legge.

Settori inclusi nella NIS 2

• Energia
• Trasporti
• Sanità
• Finanza
• Servizi digitali
• Acqua potabile
• Acque reflue
• Pubblica amministrazione
• Industria spaziale

La NIS 2 è stata approvata dal Parlamento Europeo nel novembre 2022.
Gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per adeguarsi alle nuove disposizioni.

Perchè una nuova direttiva?
Con l’evoluzione delle minacce informatiche, si è reso necessario un aggiornamento delle normative esistenti. 
La NIS 2 amplia e rafforza le misure di sicurezza richieste, tenendo conto delle nuove sfide digitali e delle tecnologie emergenti.

Cosa prevede la NIS 2

La Direttiva NIS 2 è un grande passo avanti nella protezione delle infrastrutture digitali nell’Unione Europea.
Con la NIS 2 si richiede alle organizzazioni di adottare misure di sicurezza tecniche, operative e organizzative adeguate per gestire i rischi dei sistemi di rete e informazione, con l’obiettivo di prevenire o minimizzare l’impatto degli incidenti.

La NIS 2 rafforza gli obblighi di segnalazione degli incidenti significativi, imponendo un avviso preliminare entro 24 ore dalla conoscenza dell’incidente e una notifica dettagliata entro 72 ore.
Questo garantisce una risposta rapida ed efficace, contribuendo a creare un ambiente digitale più sicuro e la continuità operativa dell’organizzazione.

Soggetti essenziali e Soggetti importanti
La Direttiva NIS2 introduce due categorie principali di soggetti che devono adottare misure di sicurezza specifiche: i Soggetti essenziali e i Soggetti importanti.

Soggetti Essenziali
I Soggetti Essenziali sono organizzazioni che operano in settori critici per il funzionamento della società e dell’economia. La loro compromissione avrebbe un impatto significativo sulla fornitura di servizi essenziali. Ecco alcuni esempi di settori inclusi:

• Energia (elettricità, gas, petrolio)
• Trasporti (aerei, ferrovie, stradali, marittimi)
• Banche e infrastrutture dei mercati finanziari
• Sanità (ospedali, cliniche)
• Acqua potabile e acque reflue
• Infrastrutture digitali (data center, servizi cloud)

Soggetti Importanti
I Soggetti Importanti sono quelle entità che, sebbene non essenziali, giocano un ruolo chiave in vari settori e la cui compromissione potrebbe comunque causare danni significativi. Questi settori includono:

• Servizi postali e di corriere
• Fabbricazione di dispositivi medici
• Servizi di comunicazione elettronica
• Servizi digitali (motori di ricerca, piattaforme di social media)
• Servizi di gestione dei rifiuti

Obblighi comuni dei Soggetti

• Condurre regolarmente valutazioni dei rischi per identificare vulnerabilità.
• Adottare misure tecniche e organizzative adeguate.
• Notificare tempestivamente gli incidenti di sicurezza alle autorità competenti.
• Condividere informazioni rilevanti e collaborare per migliorare la sicurezza complessiva.

Cosa significa la NIS 2 per le aziende

Le aziende sono particolarmente vulnerabili agli attacchi informatici, spesso a causa della mancanza di risorse e competenze specializzate. 
La NIS2 rappresenta un’opportunità per migliorare la propria sicurezza informatica e proteggere il proprio business. 

Ecco cosa fare per adeguarsi ed essere in regola con la NIS 2:

1. Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
2. Implementazione di misure di sicurezza adeguate per proteggere le informazioni aziendali. Questo può includere firewall, antivirus, backup regolari e formazione del personale.
3. Piani per la Business Continuity, come la gestione del backup e il ripristino in caso di disastro.
4. Procedure di risposta agli incidenti attraverso un piano di gestione degli attacchi informatici per ridurre i danni e ripristinare le operazioni il più rapidamente possibile.
5. Sicurezza della supply chain, compresi aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
6. Pratiche di igiene informatica di base e formazione in materia di cyber security.
7. Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità

La NIS2 è un passo avanti significativo nella protezione delle infrastrutture digitali europee.
Per le organizzazioni, rappresenta una guida preziosa per migliorare la propria sicurezza informatica. 

Adottando le misure indicate dalla direttiva NIS 2, le aziende possono non solo conformarsi alle normative, ma anche proteggere meglio i propri dati e garantire la continuità operativa.