La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell’Unione Europea, rafforza la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cyber crime.

La Direttiva è stata recepita in Italia il 1° ottobre 2024 con il decreto legislativo 138/2024 che ne ha ufficializzato l’entrata in vigore dal 16 ottobre 2024.

Obiettivi della NIS 2

La nuova direttiva NIS2 mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri, elevando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e della privacy, come il GDPR, il Regolamento DORA, e il Cyber Resilience Act, per affrontare le minacce informatiche sempre più sofisticate e invasive, che hanno visto un incremento significativo negli ultimi anni.

A chi si applica?

La NIS2 si applica a qualsiasi azienda che opera nell’UE, compresi “tutti gli enti pubblici e privati nel mercato interno, che svolgono funzioni importanti per l’economia e la società nel suo insieme”, che “sono tenuti ad adottare adeguate misure di sicurezza informatica”.

Esempi di ciascun tipo di entità includono:

Entità che operano nei seguenti settori possono essere considerate essenziali (EE):

  • Trasporto
  • Energia
  • Banking
  • Sanità
  • Servizi idrici

Entità che operano nei seguenti settori possono essere considerate importanti (IE):

  • Servizi postali e di spedizione
  • Gestione dei rifiuti
  • Produzione e trattamenti chimici
  • Alimenti
  • Fornitori di servizi digitali (motori di ricerca, piattaforme di social network, ecc.)

Esempi di tre settori interessati da NIS2 sono:

  • Sanità – Le strutture sanitarie erogano un servizio essenziale nell’ambito della NIS2; pertanto, un’entità sanitaria deve aderire ai rigorosi requisiti normativi NIS2
  • Retailer – La NIS2 identifica esplicitamente “produzione, trasformazione e distribuzione alimentare” e “fornitori di mercati online”” come “servizi importanti”. Pertanto, molte operazioni di vendita al dettaglio rientreranno nell’ambito della conformità NIS2
  • Fornitori e provider di servizi di terze parti  – La NIS2 richiede un approccio proattivo alla gestione del rischio della supply chain, compresa la valutazione della qualità delle pratiche di cybersicurezza dei propri fornitori.

Per comprendere esattamente chi rientra nell’ambito di applicazione della Direttiva, è fondamentale considerare tre criteri principali: il dimensionamento, il settore merceologico e la territorialità.

Fornitori

Da notare che la norma pone in capo ai soggetti destinatari un obbligo di valutazione in termini di sicurezza della catena di approvvigionamento, compresi gli aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori. Di conseguenza, anche i soggetti non direttamente interessati dall’applicazione della NIS 2 dovranno attivarsi e adottare misure idonee a garantire ai loro clienti un livello di sicurezza adeguato.

Le scadenze della NIS 2

Le scadenze possono essere riassunte così:

  • entro il 17 gennaio 2025 bisogna valutare se si è soggetto essenziale o importante e registrarsi sulla piattaforma ACN. Entro il 15 aprile, ACN dirà se il soggetto è effettivamente un soggetto a cui si applica la NIS2;
  • entro il primo gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti; questo richiede come minimo di stabilire il processo di gestione degli incidenti;
  • entro il primo gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche;
  • entro ottobre 2026, i soggetti a cui si applica la NIS2 devono adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi), 24 (gestione dei rischi e implementazione delle misure di sicurezza) e 29 (relativo alla banca dati dei nomi a dominio).

Le sanzioni in caso di non conformità

La mancata osservanza degli obblighi della NIS 2 comporta sanzioni che variano in base all’appartenenza al servizio importante o essenziale.

Le sanzioni per le imprese dei servizi importanti possono arrivare fino a 7.000.000 euro o all’1,4% del fatturato annuo complessivo, mentre per le entità essenziali possono raggiungere i 10.000.000 euro o il 2% del fatturato annuo complessivo, a seconda di quale importo sia maggiore.

Benefici della NIS 2 per le aziende

La direttiva NIS2 offre numerosi benefici concreti per le aziende, promuovendo un ambiente digitale più sicuro e resiliente. Innanzitutto, adottare strategie di cyber resilience basate sui requisiti della NIS2 può contribuire a migliorare l’igiene digitale e la postura di sicurezza di un’organizzazione, con l’obiettivo di ridurre il rischio di incidenti informatici, rafforzare la resilienza informatica e favorire la continuità operativa.

Come prepararsi all’implementazione

Il primo passo consiste nell’informare e coinvolgere la direzione dell’organizzazione, assicurandosi che il management comprenda appieno le implicazioni e i requisiti della direttiva. Una valutazione approfondita della strategia di cybersecurity attualmente in uso è fondamentale. Ciò implica un’analisi dei sistemi IT, dei controlli di sicurezza e delle pratiche esistenti per individuare eventuali lacune o punti deboli. Sulla base di questa valutazione, diventa necessario sviluppare un piano di attuazione per soddisfare i requisiti della NIS2.

Un altro aspetto chiave è la formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di cura digitale. Implementare un piano completo di cybersecurity e cyber resilience, con il supporto di un team qualificato