La Direttiva NIS 2, entrata in vigore il 17 gennaio 2023, segna un punto di svolta nell’approccio dell’Unione Europea alla sicurezza informatica. Non si tratta di un semplice aggiornamento rispetto alla Direttiva “genitore”, ma di una vera e propria metamorfosi del quadro giuridico volta a rafforzare la resilienza delle infrastrutture IT in settori cruciali.
Al centro c’è l’obiettivo di investire di maggiori responsabilità in materia di cybersecurity i soggetti interessati. Le aziende si devono impegnare ad assumere una posizione proattiva nella gestione dei rischi legati alla sicurezza informatica, in un’ottica di protezione dei dati e dei sistemi.
Indice dei contenuti:
A chi si rivolge la Direttiva NIS 2?
NIS 2 introduce obblighi e requisiti più stringenti per le imprese inserite in specifici mercati – sottoelencati – e con più di 50 addetti o giro d’affari superiore ai 10 milioni di euro.
La Direttiva si rivolge sia alle aziende che operano nei settori già coinvolti dalla Direttiva NIS1 – energia, telecomunicazioni, trasporti, bancario, mercati finanziari, sanitario – e si estende ai seguenti ambiti di applicazione:
- infrastrutture digitali (tra cui service provider, data center, content delivery network provider, servizi di registrazione di domini, cloud service provider);
- servizi digitali (come motori di ricerca)
- servizi sanitari (società farmaceutiche, produttori di dispositivi medici ed healthcare provider);
- servizi di produzione, trasformazione e distribuzione di cibo (anche della grande distribuzione).
Le aziende che rispondo ai requisiti settoriali e dimensionali saranno tenute a:
- effettuare regolarmente valutazioni sui rischi informatici;
- adottare misure di sicurezza volte a proteggere sistemi e dati;
- notificare in tempi rapidi al CSIRT e alle autorità competenti ogni incidente significativo;
- implementare piani di business continuity onde garantire la continuità operativa e la gestione delle crisi;
- pianificare regolari attività interne di formazione.
Un “incidente significativo” si verifica quando ha causato o è in grado di causare un’interferenza/interruzione operativa dei servizi o perdite finanziarie per i soggetti interessati.
NIS 2: un passo avanti significativo
Una pietra angolare della Direttiva NIS 2 è il suo quadro di gestione del rischio, rappresentando un passo avanti significativo nell’approccio alle minacce informatiche. La direttiva mira a:
- aumentare la consapevolezza sui rischi informatici.
- Identificare e proteggere gli asset critici.
- Migliorare la capacità di prevenire gli incidenti informatici.
- Ridurre l’impatto degli incidenti.
- Promuovere la cultura della sicurezza informatica all’interno delle aziende.
Un impegno comune per la sicurezza informatica
L’adozione di NIS 2 non solo riflette l’impegno concreto da parte dell’Unione Europea in materia di sicurezza informatica, ma promuove anche un approccio più collaborativo tra le diverse parti. La direttiva contribuirà a creare un ecosistema più sicuro e resiliente, favorendo la crescita economica e l’innovazione.
La direttiva istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche, EU CyCLONe. Si tratta di una rete di cooperazione che, tra gli altri, ha il compito coordinare la gestione di incidenti e crisi di sicurezza informatica su larga scala a livello operativo e garantire lo scambio regolare di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell’Unione.
Le sfide da affrontare
Nonostante i progressi compiuti, restano ancora molte sfide da affrontare. L’implementazione del nuovo quadro normativo NIS 2 richiederà un impegno significativo di tutte le parti coinvolte, aziende e istituzioni. Sarà fondamentale garantire la disponibilità di risorse adeguate e la formazione del personale necessari per adempiere ai nuovi obblighi.
Con il processo di recepimento della Direttiva che terminerà il 17 ottobre 2024, le organizzazioni sono ora chiamate a sviluppare una solida e completa procedura di gestione della continuità operativa, nonché un robusto protocollo di sicurezza nella gestione dei dati.