Cos’è il NIS2: applicazione, requisiti e recepimento
Contenuto a cura di
Redazione Magazine LyrecoNel 2018 tutte le aziende si sono imbattute nel GDPR, un regolamento che ha messo alla prova numerose realtà per i suoi requisiti rigidi e rigorosi relativi al trattamento dei dati personali.
Oggi ci troviamo in una situazione simile con il NIS 2 (Network and Information Security), l’aggiornamento della direttiva sulla sicurezza delle reti e delle informazioni, entrata in vigore nel 2016 e recepita nel 2018. L'esigenza di rivedere questa direttiva nasce dall'incremento del numero di attacchi informatici, motivo per cui il NIS 2 amplia notevolmente l'ambito delle entità coinvolte. Come nel caso della GDPR, la direttiva NIS2 ha l’obiettivo di armonizzare le norme sulla protezione delle infrastrutture digitali in tutti i Paesi membri dell’Unione Europea così da riuscire ad affrontare al meglio cyber attacchi, sempre più frequenti.
Cosa dice la direttiva NIS2
La direttiva NIS2 introduce diversi requisiti che le attività, pubbliche e private, riconosciute come essenziali o importanti per l'economia e la società europea, devono rispettare per assicurare i massimi livelli di sicurezza informatica. I requisiti sono stati definiti con l’obiettivo di permettere alle organizzazioni di individuare, prevenire e rispondere alle minacce informatiche in modo efficace, preservando dati sensibili e infrastrutture critiche. I requisiti che stanno alla base della normativa NIS2 possono essere suddivisi in quattro aree principali:
- Gestione del rischio
- Continuità di business
- Responsabilità aziendale
- Obblighi di segnalazione
Oltre a queste quattro aree, la direttiva NIS 2 impone l’implementazione di misure di sicurezza che siano in grado di affrontare eventuali minacce, eccone alcune:
- Piani e strategie di analisi dei rischi e di sicurezza dei sistemi informatici
- Formazione in materia di cybersicurezza
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
- Maggiore sicurezza della catena di approvvigionamento
- Pratiche di gestione degli incidenti
- Piani e procedure sull’uso della crittografia
- Rafforzare la cyber resilienza
- Promuovere una protezione informatica attiva per gestire le minacce in tempo reale
- Adottare soluzioni di autenticazione a più fattori oppure sistemi di autenticazione continua
A chi si applica la direttiva NIS2
Se ti stai chiedendo a chi si rivolge la direttiva NIS2 la risposta è semplice: le organizzazioni che offrono servizi essenziali negli Stati membri dell'UE (con più di 250 dipendenti oppure con 50 milioni di euro di entrate) sono i destinatari di questo aggiornamento normativo.
Di seguito una suddivisione più dettagliata distinta in due entità:
- Entità essenziali: banche, infrastruttura digitale, acqua potabile, mercati finanziari, energia, salute, pubblica amministrazione, spazio, trasporto e acque reflue.
- Entità importanti: prodotti chimici, produzione di prodotti essenziali, fornitori digitali, produzione, lavorazione e distribuzione di alimenti, poste e corrieri, ricerca, gestione dei rifiuti
Tutti i Paesi dell'UE sono tenuti a includere la direttiva NIS2 nella propria legislazione nazionale entro il 17 ottobre 2024.
Oltre alla responsabilità dei dirigenti in caso di violazioni della direttiva NIS2, sono state previste anche sanzioni sostanziali in caso di non conformità. In particolare, per le entità essenziali le multe possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato annuo totale mentre per le entità importanti le sanzioni arrivano fino a 7 milioni di euro oppure al 1,4% del fatturato annuale totale. È quindi ovvio che è interesse di tutti ottenere la conformità alla direttiva per evitare di incorrere nelle sanzioni previste da parte delle autorità competenti.
Entrata in vigore del NIS 2 in Italia
Dopo aver chiarito cos’è il NIS 2 e perché è importante, è indispensabile conoscere le tempistiche che regolano l’effettiva attuazione. Iniziamo con il dire che la Direttiva NIS 2 è entrata in vigore nel 2023 ma la data di recepimento per tutti gli Stati membri dell'UE è il 17 ottobre 2024. Il Decreto Legislativo 138/2024 che recepisce la Direttiva NIS 2 in Italia è stato pubblicato sulla Gazzetta Ufficiale ma gli enti dovranno però attendere ancora per conoscere nel dettaglio tutti i loro obblighi.
Dal 1° gennaio al 28 febbraio 2025 i soggetti, identificati come essenziali e importanti, dovranno registrarsi sulla piattaforma desi registrano o aggiornano la propria registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale ed entro il 31 marzo 2025 l’Agenzia risponderà in merito alla conformità delle entità essenziali e importanti.
In concreto, sarà proprio quest’ultima la data di partenza perché al 31 marzo l’ACN avrà concluso la lista dei soggetti che avranno l’obbligo di attenersi alla NIS 2.
Prodotti NIS 2: hai già tutto l’indispensabile?
Il punto 79 della direttiva NIS 2 evidenzia l’importanza di proteggere reti e sistemi informatici da qualsiasi accesso fisico non autorizzato, nel dettaglio:
“Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, le misure di gestione dei rischi di cibersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da eventi quali furti…o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell'ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da…azioni malevoli…”
Proprio per scongiurare questo rischio, tra i prodotti che possono supportare la conformità alla direttiva e ridurre o annullare il rischio di furti o accessi non autorizzati è consigliabile dotarsi di queste soluzioni:
LUCCHETTI PER LAPTOP
Semplici lucchetti che non richiedono configurazioni o conoscenze particolari ma che sono in grado di proteggere in modo economico i dispositivi e scoraggiare i furti. Leggi l'approfondimento dedicato ai lucchetti pc.
CHIAVI BIOMETRICHE CON LETTORE DI IMPRONTE DIGITALI
Con la biometria è possibile arginare soluzioni informatiche più complesse, adottando soluzioni che permettono l’autenticazione a due fattori e senza l’utilizzo di password.
FILTRI DA SCHERMO PER LA PRIVACY
Questi filtri permettono di proteggere la visualizzazione dei dati sullo schermo. Oggi, infatti, gli schermi ad alta definizione, sempre più adottati in ambito professione, rendono le pratiche di hacking visivo più semplici che mai.
DISPOSITIVI CRITTOGRAFATI AES
Grazie all’AES (Advanced Encryption Standard) (AES) garantisce che i dati non possano essere decifrati, anche se venissero intercettati durante l’utilizzo di dispositivi come tastiere, mouse e chiavi biometriche.