La NIS2 (Network and Information Security) è un aggiornamento della direttiva NIS originale, che ha lo scopo di migliorare la sicurezza informatica in tutta l'UE, aumentando gli standard e ampliando il campo d'applicazione. Rispetto alla direttiva del 2016, la NIS2 introduce una maggiore severità in termini di requisiti e impone nuove regole a un numero più vasto di settori.

Le novità principali includono:

• Obblighi più stringenti per le organizzazioni che rientrano nelle categorie di entità essenziali e importanti.
• Multe elevate e sanzioni per la non conformità.
• Segnalazione tempestiva degli incidenti informatici, con obblighi che richiedono notifiche entro 24 ore per le entità essenziali.
• Responsabilità aziendale, con coinvolgimento diretto del management nelle strategie di sicurezza e nei piani di gestione del rischio.

Chi è coinvolto dalla NIS2?

La direttiva suddivide le organizzazioni in due categorie principali:

1. Entità essenziali: comprendono settori critici come trasporti, energia, sanità, servizi finanziari, acqua potabile e infrastrutture digitali. Queste entità devono rispettare i requisiti più stringenti e sono soggette a sanzioni più severe in caso di non conformità.
2. Entità importanti: per la prima volta, la NIS2 include settori come la pubblica amministrazione, il manifatturiero e la gestione dei rifiuti. Sebbene abbiano requisiti leggermente meno stringenti rispetto alle entità essenziali, queste organizzazioni devono comunque adattarsi rapidamente ai nuovi standard di sicurezza e prepararsi a eventuali audit.

Implicazioni per le aziende: obblighi e sanzioni

La NIS2 impone alle aziende di implementare una serie di misure minime di sicurezza informatica, che includono:

• Valutazione del rischio: le aziende devono condurre valutazioni continue dei rischi e adottare politiche per la protezione delle infrastrutture informatiche.
• Protezione della catena di fornitura: un elemento cruciale per garantire che i fornitori rispettino anch'essi gli standard di sicurezza.
• Segnalazione degli incidenti: le aziende devono segnalare tempestivamente ogni violazione o attacco informatico rilevante. Le entità essenziali devono farlo entro 24 ore.
• Continuità operativa e disaster recovery: deve essere garantita la continuità dei servizi anche in caso di attacchi informatici, attraverso backup affidabili e piani di ripristino dei sistemi.

Le sanzioni per la non conformità sono significative. Le entità essenziali rischiano multe fino a 10 milioni di euro o il 2% del fatturato annuo globale, mentre per le entità importanti le multe possono arrivare a 7 milioni di euro o l'1,4% del fatturato globale.

Dieci misure di sicurezza fondamentali

La direttiva stabilisce dieci misure minime che le organizzazioni devono adottare per garantire la conformità:

1. Valutazione del rischio e politiche di sicurezza.
2. Procedure per migliorare l'efficacia delle misure di sicurezza.
3. Utilizzo della crittografia dove necessario.
4. Pianificazione e gestione degli incidenti di sicurezza.
5. Sicurezza nella catena di approvvigionamento.
6. Formazione continua sulla sicurezza informatica.
7. Controlli di accesso ai dati e gestione delle risorse.
8. Backup e piani per la continuità operativa.
9. Autenticazione a più fattori e crittografia avanzata.
10. Valutazione e gestione della sicurezza della catena di fornitura.