La Direttiva NIS 2 rinforza gli obblighi della NIS1 e introduce nuovi requisiti per migliorare la sicurezza informatica delle reti e dei sistemi informativi.
In questa introduzione alla NIS 2: cosa prevede e come adeguarsi, esamineremo i punti principali della direttiva e le azioni che le aziende devono intraprendere.
La DORA
La DORA (Digital Operational Resilience Act) è un regolamento europeo che mira a migliorare la resilienza operativa digitale delle entità finanziarie.
Mitiga i rischi derivanti dalla trasformazione digitale del settore e a promuovere la resilienza informatica nell’ecosistema dei servizi finanziari, aiutando le banche, il settore finanziario e i sistemi finanziari a prevenire, rispondere e riprendersi da problemi di cybersicurezza.
La DORA introduce requisiti per la gestione dei rischi ICT e stabilisce standard uniformi per la supervisione dei rischi digitali, assicurando che le imprese siano preparate a fronteggiare minacce cyber e interruzioni operative.
La NIS (Network and Information Security) è una direttiva europea introdotta nel 2016 per migliorare la sicurezza informatica delle reti e dei sistemi informativi, rivolta a garantire un livello comune di sicurezza delle reti e delle informazioni nell’Unione Europea.
L’obiettivo principale era proteggere le infrastrutture critiche come energia, trasporti, sanità e finanza dagli attacchi informatici.
La direttiva NIS 2 chiarisce e amplia la portata delle aziende soggette al regolamento.
A differenza della NIS precedente, dove gli Stati membri decidevano quali entità erano operatori di servizi essenziali, la NIS 2 introduce una regola di dimensionamento.
Questa norma si applica alle entità medio-grandi (con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano in settori rilevanti.
Le PMI sono generalmente escluse, a meno che la loro attività non sia considerata critica per la società.
Inoltre, la NIS 2 non considera solo l’azienda o il fornitore di servizio essenziale, ma anche tutta la sua supply chain.
Ad esempio, un’azienda informatica che fornisce apparecchiature o software a un cliente che li utilizza per un servizio essenziale rientra automaticamente nei requisiti della legge.
Settori inclusi nella NIS 2
La NIS 2 è stata approvata dal Parlamento Europeo nel novembre 2022.
Gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per adeguarsi alle nuove disposizioni.
Perchè una nuova direttiva?
Con l’evoluzione delle minacce informatiche, si è reso necessario un aggiornamento delle normative esistenti.
La NIS 2 amplia e rafforza le misure di sicurezza richieste, tenendo conto delle nuove sfide digitali e delle tecnologie emergenti.
La Direttiva NIS 2 è un grande passo avanti nella protezione delle infrastrutture digitali nell’Unione Europea.
Con la NIS 2 si richiede alle organizzazioni di adottare misure di sicurezza tecniche, operative e organizzative adeguate per gestire i rischi dei sistemi di rete e informazione, con l’obiettivo di prevenire o minimizzare l’impatto degli incidenti.
La NIS 2 rafforza gli obblighi di segnalazione degli incidenti significativi, imponendo un avviso preliminare entro 24 ore dalla conoscenza dell’incidente e una notifica dettagliata entro 72 ore.
Questo garantisce una risposta rapida ed efficace, contribuendo a creare un ambiente digitale più sicuro e la continuità operativa dell’organizzazione.
Soggetti essenziali e Soggetti importanti
La Direttiva NIS2 introduce due categorie principali di soggetti che devono adottare misure di sicurezza specifiche: i Soggetti essenziali e i Soggetti importanti.
Soggetti Essenziali
I Soggetti Essenziali sono organizzazioni che operano in settori critici per il funzionamento della società e dell’economia. La loro compromissione avrebbe un impatto significativo sulla fornitura di servizi essenziali. Ecco alcuni esempi di settori inclusi:
Soggetti Importanti
I Soggetti Importanti sono quelle entità che, sebbene non essenziali, giocano un ruolo chiave in vari settori e la cui compromissione potrebbe comunque causare danni significativi. Questi settori includono:
Obblighi comuni dei Soggetti
Le aziende sono particolarmente vulnerabili agli attacchi informatici, spesso a causa della mancanza di risorse e competenze specializzate.
La NIS2 rappresenta un’opportunità per migliorare la propria sicurezza informatica e proteggere il proprio business.
Ecco cosa fare per adeguarsi ed essere in regola con la NIS 2:
La NIS2 è un passo avanti significativo nella protezione delle infrastrutture digitali europee.
Per le organizzazioni, rappresenta una guida preziosa per migliorare la propria sicurezza informatica.
Adottando le misure indicate dalla direttiva NIS 2, le aziende possono non solo conformarsi alle normative, ma anche proteggere meglio i propri dati e garantire la continuità operativa.