Che cos'è?
La Direttiva NIS2 (o NIS 2) è l’acronimo di “Network and Information Security 2” ed è il termine con cui viene indicata la Direttiva Europea 2022/2555 che ha cancellato la Direttiva 2016/1148 (comunemente nota come NIS) con oggetto la sicurezza delle reti e dei sistemi informatici.
L’obiettivo della NIS2 è quello di potenziare la sicurezza informatica, semplificare le segnalazioni e creare regole e sanzioni coerenti in tutta l’UE.
A chi si applica?
La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che abbiano le seguenti caratteristiche:
- medie imprese con un numero di dipendenti compreso tra 50 e 250 e più di 10 milioni di fatturato annuo, o
- imprese che hanno più di 250 dipendenti o più di 50 milioni di fatturato.
Chi è obbligato ad implementarla?
- Le aziende con oltre 50 dipendenti che operano nei settori definiti altamente critici o critici dalla direttiva
- Aziende operanti in altri settori di qualsiasi dimensione/fatturato ma connesse per via di un rapporto di fornitura (diretto o indiretto) con le prime.
Questo vuol dire che qualsiasi azienda che rientra nella catena di fornitura
di una delle aziende obbligate, deve rispettare la direttiva.
Requisiti principali
La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.
Gestione del rischio
Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.
Responsabilità aziendale
NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali.
Obblighi di comunicazione
I soggetti essenziali e importanti devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un preallarme da comunicare entro 24 ore.
Continuità del business
Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.
Sanzioni
Come per il Regolamento Generale sulla Protezione dei dati 679/2016 o GDPR, anche in questo caso ci sono sanzioni elevate:
Per i soggetti essenziali: massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
Per i soggetti importanti: un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo
Da quando si applica?
Il 17 ottobre 2024 è l'ultima data per gli stati per adottare la direttiva.