La Direttiva NIS2: Cos'è e a chi si applica

Che cos'è?

La Direttiva NIS2 (o NIS 2) è l’acronimo di “Network and Information Security 2” ed è il termine con cui viene indicata la Direttiva Europea 2022/2555 che ha cancellato la Direttiva 2016/1148 (comunemente nota come NIS) con oggetto la sicurezza delle reti e dei sistemi informatici.

L’obiettivo della NIS2 è quello di potenziare la sicurezza informatica, semplificare le segnalazioni e creare regole e sanzioni coerenti in tutta l’UE.


A chi si applica?

La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che abbiano le seguenti caratteristiche:


  • medie imprese con un numero di dipendenti compreso tra 50 e 250 più di 10 milioni di fatturato annuo, o
  • imprese che hanno più di 250 dipendenti più di 50 milioni di fatturato.


Chi è obbligato ad implementarla?


  • Le aziende con oltre 50 dipendenti che operano nei settori definiti altamente critici o critici dalla direttiva;
  • Aziende operanti in altri settori di qualsiasi dimensione/fatturato ma connesse per via di un rapporto di fornitura (diretto o indiretto) con le prime


Questo vuol dire che qualsiasi azienda che rientra nella catena di fornitura di una delle aziende obbligate, deve rispettare la direttiva.

Fai il nostro test per sapere se devi adeguarti alla Direttiva NIS2

 


Inizia il test


Quali sono i settori a cui si applica?


Settori Altamente Critici

Settori Critici

Energia

Servizi postali e di corriere

Trasporto

Gestione dei rifiuti

Settore Bancario

Fabbricazione, Produzione e distribuzione di sostanze chimiche

Infrastrutture del mercato finanziario

Produzione, trasformazione e distribuzione di alimenti

Settore Sanitario

Ricerca

Acque reflue

Fabbricazione (Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro, Fabbricazione di computer e prodotti di elettronica e ottica, Fabbricazione di apparecchiature elettriche, Fabbricazione di macchinari e apparecchiature n.c.a., Fabbricazione di autoveicoli, rimorchi e semirimorchi, Fabbricazione di altri mezzi di trasporto)

Acqua Potabile

Fornitori di servizi digitali

Infrastrutture Digitali


Gestione Dei servizi ICT


Pubbliche amministrazioni centrali


Spazio



Soggetti Essenziali ed Importanti

La direttiva per ogni settore distingue tra soggetti Essenziali ed Importanti:

Soggetti essenziali: 

  • Aziende con più di 250 dipendenti ​oppure​ con un fatturato superiore ​a 50 milioni di euro
  • Prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni
  • Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese
  • Pubblica Amministrazione
  • Soggetti individuati dallo Stato come critici* o essenziali

Soggetti importanti

Vi rientrano tutti i soggetti appartenenti ai settori critici e altamente critici NON considerati soggetti essenziali.


Requisiti principali

La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.

Gestione del rischio

Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.

Responsabilità aziendale

NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali.

Obblighi di comunicazione

I soggetti essenziali e importanti devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un preallarme da comunicare entro 24 ore.

Continuità del business

Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi. 


Sanzioni

Come per il Regolamento Generale sulla Protezione dei dati 679/2016 o GDPR, anche in questo caso ci sono sanzioni elevate:

Per i soggetti essenziali: massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo

Per i soggetti importanti: un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo


Da quando si applica?

Il 17 ottobre 2024 è l'ultima data per gli stati per adottare la direttiva.

 

Fai il nostro test per sapere se devi adeguarti alla Direttiva NIS2

 


Inizia il test

Studio Ing. Righetti, Paola Righetti 2 giugno 2024
Condividi articolo
Archivio
Il Diritto dei Lavoratori di Accedere ai Propri Dati Personali