NIS2: tutto quello che c’è da sapere sulla direttiva UE per la sicurezza informatica
La direttiva NIS2 è una direttiva dell’UE che rafforza la resilienza informatica degli Stati membri e delle aziende europee attraverso regole più rigide. Tra i principali contenuti vi sono l’implementazione di misure di sicurezza per migliorare la protezione IT, controlli di sicurezza e procedure di segnalazione rapida in caso di incidenti informatici.
- Risoluzione rapida del dominio per un sito web sempre disponibile
- Maggiore protezione contro guasti e tempi di inattività
- Nessun trasferimento di dominio richiesto
Che cos’è la direttiva NIS2?
La direttiva NIS2 dell’Unione Europea mira a migliorare la resilienza contro le minacce informatiche nelle infrastrutture critiche e rilevanti degli Stati membri. NIS2 è l’acronimo di “Network and Information Security 2” (in italiano: “sicurezza delle reti e delle informazioni”). Entrata in vigore il 16 gennaio 2023, ha sostituito la precedente direttiva NIS1, che già aveva promosso un cambiamento nella cybersicurezza.
Per garantire la massima protezione sia nel settore privato che in quello pubblico degli Stati membri dell’UE, la nuova direttiva NIS2 introduce regole più ampie e rigorose per un pubblico di destinazione più ampio. Il quadro normativo più severo mira a garantire una maggiore resilienza informatica e una risposta più efficace contro le minacce informatiche e le vulnerabilità di sicurezza. La NIS2 intende inoltre garantire che le strutture critiche per l’erogazione di beni o servizi essenziali alla popolazione siano protette da guasti e interruzioni anche in caso di emergenze.
L’obiettivo principale della NIS2 è preparare meglio le aziende a prevenire gli attacchi informatici e a reagire in modo efficiente e rapido ai problemi IT. Attraverso una strategia di sicurezza più coerente negli Stati membri dell’UE si punta a creare il massimo livello possibile di sicurezza informatica a livello nazionale e internazionale nello spazio UE. Tutti gli Stati membri devono recepire la direttiva nel proprio ordinamento nazionale. Ciò riguarda sia le piccole e medie imprese che le grandi aziende che rientrano nelle nuove normative.
Che cosa cambia con la direttiva NIS2?
L’obbligo di attuare la legge di implementazione della NIS2 introduce novità importanti in 18 settori diversi. Tra le altre cose, il numero dei settori classificati come critici raddoppia e il catalogo delle sanzioni per il mancato rispetto delle leggi viene ampliato. Inoltre, di questi casi dovrà risponderne chi gestisce l’azienda. In Italia, la Direttiva NIS2, recepita con il decreto legislativo pubblicato il 1° ottobre 2024, coinvolgerà circa 50.000 nuove imprese, secondo le stime dell’Agenzia per la Cybersicurezza Nazionale (ACN). Sono coinvolte tutte le aziende con un fatturato annuo superiore a 10 milioni di euro o un numero di dipendenti superiore a 50.
Tutte le modifiche apportate dalla direttiva NIS2 in sintesi:
- Espansione dei settori critici: nella direttiva NIS2 aumentano i settori classificati come critici.
- Pene più severe: la direttiva aumenta significativamente le multe per le violazioni.
- Responsabilità manageriale: le persone alla guida dell’azienda hanno ora la responsabilità diretta di garantire la conformità alle direttive sulla sicurezza informatica.
- Aree di applicazione più ampie: la direttiva NIS2 si applica alle aziende con più di 50 dipendenti o con un fatturato superiore ai 10 milioni di euro, nonché ad alcune aziende indipendentemente dalle loro dimensioni.
- Necessità di analisi dei rischi più approfondite: le aziende sono obbligate a effettuare analisi dei rischi complete.
- Gestione obbligatoria del rischio e della sicurezza: sono imposti severi requisiti di gestione dei rischi e misure di sicurezza, tra cui penetration test, firewall hardware, e strategie di backup obbligatorie.
- Gestione obbligatoria delle crisi: in caso di incidenti di sicurezza, sono richieste strategie di gestione delle crisi, canali di comunicazione e sistemi di segnalazione rapidi ed efficaci.
- Uso dei protocolli di sicurezza esistenti: le aziende possono fare riferimento agli standard di sicurezza esistenti nei settori regolamentati.
- Protezione antivirus
- Backup automatici e recupero dei file persi
Quali sono le aziende interessate dalla direttiva NIS2?
La direttiva NIS2 classifica le aziende nelle categorie “essenziale” (essential) e “importante” (important), quest’ultima completamente nuova. Le aziende con più di 50 dipendenti o un fatturato annuo superiore ai 10 milioni di euro sono direttamente coinvolte. Inoltre, le aziende possono rientrare in questa direttiva indipendentemente dalle loro dimensioni nel caso in cui un guasto provochi rischi al sistema. La categoria “essenziale” include aziende di undici settori, tra cui in particolare le aziende KRITIS (infrastrutture critiche), che sono di cruciale importanza per la società. La categoria “importante” si applica a sette settori rilevanti a livello sistemico.
Settori e aziende essenziali
- Energia
- Fornitura d’acqua
- Trasporti
- Servizi bancari
- Infrastrutture del mercato finanziario
- Sanità
- Spazio
- Acque reflue
- Amministrazione pubblica
- Infrastrutture digitali
- Gestione dei servizi ICT (B2B)
Settori e aziende importanti
- Servizi postali e corrieri
- Gestione dei rifiuti
- Industria chimica
- Fornitura alimentare
- Fornitori di servizi digitali
- Industria (di trasformazione/manifatturiera)
- Ricerca (opzionale)
Quali obblighi si applicano alle aziende?
Nel contesto della NIS2, le aziende devono rispettare obblighi rigorosi e apportare modifiche significative. Questi includono:
| Obblighi | Misure |
|---|---|
| Gestione del rischio e continuità operativa (§30, 31) | Tra i requisiti obbligatori figurano la crittografia, l’autenticazione a più fattori, l’igiene informatica, l’assegnazione dei ruoli e il controllo degli accessi, la gestione dei backup e il ripristino dei sistemi, la sicurezza della catena di approvvigionamento e le analisi dei rischi. I requisiti minimi variano a seconda delle dimensioni dell’azienda grazie alla regola del “size cap”. |
| Obblighi di segnalazione e informazione (§32, 35) | Gli incidenti di sicurezza significativi devono essere segnalati entro 24 ore all’ACN (Agenzia per la Cybersicurezza Nazionale) o al CSIRT (Computer Security Incident Response Team). Una prima valutazione deve essere completata entro 72 ore e un rapporto finale deve essere presentato entro un mese. In Italia, l’ACN stabilisce le linee guida per queste segnalazioni. |
| Obblighi di registrazione (§33, 34) | Le strutture interessate e i fornitori di servizi di registrazione di nomi di dominio devono presentare informazioni all’ACN entro tre mesi dall’entrata in vigore della NIS2. L’obbligo di registrazione può essere assolto anche dall’ACN nel caso in cui le organizzazioni non abbiano provveduto autonomamente. |
| Obblighi di approvazione, sorveglianza e formazione per il management (§38) | Non è più sufficiente delegare le misure di sicurezza da parte della direzione. Il management deve attivamente approvare le misure necessarie ed è in parte obbligato a partecipare a corsi di formazione. |
| Misure di supervisione e applicazione (§61, 62) | L’ACN agisce come autorità di vigilanza per garantire il rispetto delle misure richieste. Almeno tre anni dopo l’entrata in vigore della NIS2, l’autorità di vigilanza avrà la possibilità di richiedere prove dell’adempimento agli obblighi. In caso di urgenza possono essere imposte misure immediate. |
Come facilitare l’implementazione della NIS2?
Le seguenti misure possono facilitare il processo di recepimento della direttiva NIS2 per la tua azienda:
- Analisi dello stato attuale e degli obiettivi: verifica se la tua azienda è soggetta agli obblighi della NIS2 e valuta lo stato attuale e le potenzialità di miglioramento della resilienza informatica nella tua azienda.
- Implementazione: devono essere introdotti concetti di analisi del rischio e sicurezza per tutti i sistemi informatici.
- Valutazione: l’efficacia dei metodi di gestione del rischio adottati deve essere controllata regolarmente.
- Sviluppo: è necessario sviluppare un piano per gestire gli incidenti di sicurezza.
- Gestione dei backup e delle crisi: devono essere messe in atto misure di sicurezza per la protezione dei dati e la gestione delle crisi.
- Sistema di segnalazione: è necessario istituire un sistema di segnalazione efficace per gli incidenti di sicurezza.
- Formazione: il personale deve essere formato regolarmente.
- Sicurezza della catena di approvvigionamento : la sicurezza nella catena di approvvigionamento deve essere garantita.
Quali sono le conseguenze di una mancata implementazione della direttiva NIS2?
Le aziende che non attuano le misure prescritte devono aspettarsi sanzioni consistenti (§65). Ai sensi del NIS2, le autorità di vigilanza dispongono di pieni poteri di supervisione, controllo e istruzione, compresa l’applicazione delle scadenze. Inoltre, la dirigenza aziendale si assume una responsabilità significativamente maggiore per le misure di protezione e sicurezza e può essere ritenuta personalmente responsabile in caso di violazioni o negligenze (§38, §61).
Quando entrerà in vigore la direttiva NIS2?
La direttiva (UE) 2022/2555, nota come direttiva NIS2, è stata adottata dal Parlamento e Consiglio europei in data 14 dicembre 2022. È entrata ufficialmente in vigore il 16 gennaio 2023, sostituendo la direttiva NIS. L’obbligo di ricezione da parte di tutti gli Stati membri dell’UE è scaduto il 17 ottobre 2024. Nella direttiva vengono introdotte ampie modifiche al Regolamento eIDAS (UE) n. 910/2014 e alla direttiva EECC (UE) 2018/1972.
In Italia, il recepimento della direttiva NIS2 coinvolge un’ampia platea di aziende e istituzioni che operano in settori considerati critici per la sicurezza nazionale e la fornitura di servizi essenziali, come energia, trasporti e sanità. L’autorità competente per la supervisione e l’attuazione delle misure di cybersicurezza è l’ACN (Agenzia per la Cybersicurezza Nazionale), istituita nel 2021 proprio per rafforzare la sicurezza informatica del Paese.