NIS2: La Nuova Direttiva Europea per la Sicurezza Cibernetica
La Direttiva NIS2, recepita in Italia tramite il D.lgs. 138/2024, ha l'obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi, estendendo gli obblighi di conformità a un numero maggiore di settori e organizzazioni. Le imprese devono verificare se rientrano nella categoria di soggetti essenziali o importanti e adeguarsi alle nuove normative entro il 2026. Questo richiede l'implementazione di misure per la gestione del rischio, la sicurezza informatica e la gestione degli incidenti. Gli adempimenti includono notifiche di sicurezza, aggiornamenti periodici e valutazioni dei rischi legati alle operazioni e alla catena di fornitura.
La finalità della direttiva è quella di elevare il livello di cybersicurezza nell'Unione Europea, imponendo requisiti di sicurezza a determinate organizzazioni e responsabilità a ogni Stato membro.
Rispetto alla precedente Direttiva NIS (Direttiva 2016/1148), la NIS 2 introduce significative novità:
1. Coinvolge un numero più ampio di soggetti;
2. Richiede un'analisi approfondita dei rischi;
3. Impone che le misure di sicurezza siano proporzionate al contesto aziendale, considerando anche la capacità di spesa delle organizzazioni.
Le principali scadenze previste dalla Direttiva NIS2 possono essere riassunte come segue:
1. Entro il 17 gennaio 2025, le organizzazioni devono valutare se rientrano tra i soggetti essenziali o importanti e registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). L'ACN, entro il 15 aprile 2025, confermerà se il soggetto è effettivamente soggetto agli obblighi della NIS2.
2. Entro il 1° gennaio 2026, i soggetti a cui si applica la NIS2 devono conformarsi all'articolo 25, che impone l'obbligo di notifica degli incidenti. Questo richiede, come minimo, di stabilire un processo strutturato di gestione degli incidenti.
3. Entro il 1° gennaio 2026, i soggetti interessati devono adeguarsi all'articolo 30, aggiornando annualmente sulla piattaforma ACN le informazioni richieste, comprese l'elenco delle attività e dei servizi e la descrizione delle loro caratteristiche operative.
4. Entro ottobre 2026, i soggetti soggetti alla NIS2 devono completare l'adeguamento agli articoli 23 (obblighi degli organi di amministrazione e direttivi), 24 (gestione dei rischi e implementazione delle misure di sicurezza) e 29 (riguardante la gestione della banca dati dei nomi a dominio).
La valutazione del rischio secondo l'articolo 24 della Direttiva NIS2 è di tipo multirischio, includendo aspetti logici, fisici, di governance, lock-in tecnologico e servizi essenziali (utilities). Si richiede un “livello appropriato” di sicurezza, considerando anche l’impatto sociale ed economico.
La NIS 2 pone inoltre una maggiore enfasi sul controllo della catena di approvvigionamento, richiedendo alle organizzazioni di considerare le vulnerabilità specifiche di ciascun fornitore e di valutare la qualità delle loro pratiche di sicurezza informatica, incluse le procedure di sviluppo sicuro.
A chi si applica la NIS 2?
L'applicabilità della Direttiva NIS2 dipende dai settori di attività e dalla dimensione delle organizzazioni, escludendo generalmente le PMI con meno di 50 dipendenti o un fatturato inferiore a 10 milioni di euro.
Le organizzazioni rientranti nei criteri devono registrarsi autonomamente sulla piattaforma dell'ACN entro gennaio 2025. Entro il 17 aprile 2025, gli Stati membri creeranno un elenco dei soggetti a cui si applica la NIS2, e l'ACN potrebbe informare chi si è registrato che non rientra nei criteri.
La Direttiva NIS 2 introduce nuove normative per potenziare la sicurezza informatica, estendendo l'obbligo di conformità a un numero maggiore di organizzazioni. Con scadenze ravvicinate e maggiori responsabilità sulla gestione dei rischi e la sicurezza della catena di fornitura, è fondamentale iniziare subito a prepararsi.
Contattaci per una consulenza personalizzata: ti guideremo verso la conformità alla NIS 2, assicurando protezione e operatività per la tua azienda.