Che cos'è?
La Direttiva NIS2 (o NIS 2) è l’acronimo di “Network and Information Security 2” ed è il termine con cui viene indicata la Direttiva Europea 2022/2555 che ha cancellato la Direttiva 2016/1148 (comunemente nota come NIS) con oggetto la sicurezza delle reti e dei sistemi informatici.
L’obiettivo della NIS2 è quello di potenziare la sicurezza informatica, semplificare le segnalazioni e creare regole e sanzioni coerenti in tutta l’UE.
A chi si applica?
La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che abbiano le seguenti caratteristiche:
- medie imprese con un numero di dipendenti compreso tra 50 e 250 e più di 10 milioni di fatturato annuo, o
- imprese che hanno più di 250 dipendenti o più di 50 milioni di fatturato.
Chi è obbligato ad implementarla?
- Le aziende con oltre 50 dipendenti che operano nei settori definiti altamente critici o critici dalla direttiva;
- Aziende operanti in altri settori di qualsiasi dimensione/fatturato ma connesse per via di un rapporto di fornitura (diretto o indiretto) con le prime.
Questo vuol dire che qualsiasi azienda che rientra nella catena di fornitura di una delle aziende obbligate, deve rispettare la direttiva.
Quali sono i settori a cui si applica?
Settori Altamente Critici | Settori Critici |
Energia | Servizi postali e di corriere |
Trasporto | Gestione dei rifiuti |
Settore Bancario | Fabbricazione, Produzione e distribuzione di sostanze chimiche |
Infrastrutture del mercato finanziario | Produzione, trasformazione e distribuzione di alimenti |
Settore Sanitario | Ricerca |
Acque reflue | Fabbricazione (Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro, Fabbricazione di computer e prodotti di elettronica e ottica, Fabbricazione di apparecchiature elettriche, Fabbricazione di macchinari e apparecchiature n.c.a., Fabbricazione di autoveicoli, rimorchi e semirimorchi, Fabbricazione di altri mezzi di trasporto) |
Acqua Potabile | Fornitori di servizi digitali |
Infrastrutture Digitali | |
Gestione Dei servizi ICT | |
Pubbliche amministrazioni centrali | |
Spazio |
Soggetti Essenziali ed Importanti
La direttiva per ogni settore distingue tra soggetti Essenziali ed Importanti:
Soggetti essenziali:
- Aziende con più di 250 dipendenti oppure con un fatturato superiore a 50 milioni di euro
- Prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni
- Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese
- Pubblica Amministrazione
- Soggetti individuati dallo Stato come critici* o essenziali
Soggetti importanti
Vi rientrano tutti i soggetti appartenenti ai settori critici e altamente critici NON considerati soggetti essenziali.
Requisiti principali
La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.
Gestione del rischio
Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.
Responsabilità aziendale
NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali.
Obblighi di comunicazione
I soggetti essenziali e importanti devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un preallarme da comunicare entro 24 ore.
Continuità del business
Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.
Sanzioni
Come per il Regolamento Generale sulla Protezione dei dati 679/2016 o GDPR, anche in questo caso ci sono sanzioni elevate:
Per i soggetti essenziali: massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
Per i soggetti importanti: un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo
Da quando si applica?
Il 17 ottobre 2024 è l'ultima data per gli stati per adottare la direttiva.