Dopo l'attuazione della direttiva sulla sicurezza delle reti e delle informazioni (NIS) nel 2016, l'Unione europea ha deciso di adottare una posizione più rigorosa, di ampliare il decreto adattato e di coinvolgere più entità nel tentativo di aumentare il livello di sicurezza informatica in Europa. Cosa aspettarsi dalla NIS2? Ecco alcune domande che potreste avere e le relative risposte.
Qual era lo scopo della prima direttiva NIS?
La direttiva NIS, adottata nel 2016, è stata la prima normativa sulla cybersecurity che ha riguardato tutti gli Stati membri dell'Unione Europea. Si è concentrata principalmente su organizzazioni appartenenti a due gruppi: operatori di servizi essenziali (OES), come sanità, trasporti, energia, ecc. e fornitori di servizi digitali (DSP), tra cui motori di ricerca online, mercati internet e servizi cloud.
La NIS richiede a queste organizzazioni di conformarsi a misure di sicurezza adeguate e di segnalare qualsiasi incidente di rilievo di cybersecurity che si verifichi, ma la direttiva consente anche agli Stati di considerare le proprie circostanze nazionali.
L'obiettivo principale della direttiva era quello di migliorare la sicurezza informatica delle aziende europee, tra l'altro, fornendo un'autorità nazionale NIS, richiedendo alle aziende di avere un Computer Security Response Team (CSIRT) e consentendo una comunicazione strategica in un gruppo di cooperazione, che comprende gli Stati membri dell'UE, la Commissione europea e l'Agenzia europea per la sicurezza informatica (ENISA).
Che cos'è la NIS2?
La direttiva NIS2 amplia il suo predecessore, include una maggiore varietà di organizzazioni di diversi ambiti e, per la prima volta, prende in considerazione la sicurezza della catena di approvvigionamento delle TIC. La sua creazione è stata motivata da anni di sviluppo nell'area della sicurezza informatica europea e dalle recenti sfide della sicurezza informatica.
Durante la pandemia COVID-19, gli attacchi informatici sono aumentati del 220% in tutti gli Stati membri dell'UE, evidenziando che la direttiva NIS originale potrebbe essere stata troppo limitata nella sua portata. L'obiettivo della NIS2 è rafforzare la sicurezza informatica dei singoli Stati europei, sostenere una migliore conoscenza congiunta della situazione e migliorare la capacità dell'UE di affrontare collettivamente i problemi di sicurezza, migliorando il processo di condivisione delle informazioni tra i diversi settori e i singoli Paesi.
La NIS2 dovrebbe ridurre al minimo le differenze tra i vari Stati e settori e presentare un piano strategico unificato per quanto riguarda una grande varietà di minacce alla sicurezza informatica. Rispetto alla NIS1, la NIS2 introduce misure di vigilanza più severe per le autorità nazionali e requisiti di applicazione più severi.
Quali imprese saranno incluse nel NIS2?
Il NIS2 coprirà quasi tutte le entità commerciali di medie e grandi dimensioni che operano nel mercato interno dell'Unione Europea. Ciò include non solo gli Stati membri dell'UE, ma anche organizzazioni esterne all'UE che sono essenziali all'interno del suo mercato.
Quali settori sono stati inclusi nella direttiva NIS1?
- Assistenza sanitaria
- Infrastrutture digitali
- Trasporti
- Fornitura di acqua
- Fornitori di servizi digitali
- Infrastrutture bancarie e del mercato finanziario
- Energia
Quali settori sono stati aggiunti dalla direttiva NIS2?
- Fornitori di reti o servizi pubblici di comunicazione elettronica
- Gestione delle acque reflue e dei rifiuti
- Produzione di alcuni prodotti critici (ad esempio, prodotti farmaceutici, dispositivi medici e prodotti chimici)
- Prodotti alimentari
- Servizi digitali (ad esempio, piattaforme di social network e servizi di data center)
- Spazio (ad esempio, aerospaziale)
- Servizi postali e di corriere
- Pubblica amministrazione
Fonte: Cyberpilot, 2022
Quali requisiti introduce la NIS2?
La direttiva è composta da sette punti che devono essere seguiti dalle aziende e dai settori applicabili. I requisiti includono la risposta agli attacchi, la sicurezza della catena di approvvigionamento, la crittografia, la divulgazione delle vulnerabilità e anche un approccio in due fasi alla segnalazione degli attacchi, in base al quale le aziende devono segnalare un attacco entro 24 ore dal suo primo verificarsi e poi presentare un rapporto finale entro un mese.
Cosa può accadere alle aziende che non si conformano alla direttiva?
Se le aziende non rispettano i requisiti della NIS2, possono essere adottate diverse misure di applicazione, tra cui istruzioni vincolanti, la raccomandazione di un audit di sicurezza e multe amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell'azienda nell'anno finanziario precedente.
Quando sarà attuata la direttiva?
La versione finale della direttiva è ancora in fase di discussione da parte delle autorità competenti, ma la sua attuazione è prevista entro il 2024.
Come devono prepararsi le aziende?
Poiché la direttiva deve ancora diventare applicabile, non ci sono requisiti specifici da seguire in questo momento. Tuttavia, ci sono alcune misure che potete adottare per preparare al meglio la vostra azienda ai cambiamenti futuri.
La NIS2 richiederà alle organizzazioni di valutare i propri rischi di cybersecurity, cosa che potrete fare in anticipo per avere un quadro migliore dei vostri punti di forza e dei vostri punti deboli. Poiché anche la crittografia farà parte della direttiva, potete esaminare il modo in cui proteggete e crittografate i vostri dati al momento e verificare se ci sono miglioramenti da apportare.