NIS 2: per chi è obbligatoria e quali sono i requisiti per le aziende

Il 28 novembre 2022, il Parlamento Europeo ha approvato la Network and Information Systems Directive 2 (NIS 2), successivamente pubblicata nella Gazzetta Ufficiale il 27 dicembre dello stesso anno. Gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per adeguarsi alle nuove disposizioni.

La NIS 2, ufficialmente denominata “Direttiva UE 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)”, rappresenta la risposta comune dell’Unione Europea all’aumento degli incidenti di sicurezza informatica e mette in risalto la necessità di un quadro normativo comune per la sicurezza informatica.

L’obiettivo principale della NIS 2, che sostituisce la precedente direttiva, è eliminare le disparità tra i vari sistemi giuridici nazionali, rafforzare gli obblighi di sicurezza informatica, ampliare il numero di settori e attori coinvolti e promuovere una maggiore cooperazione tra gli Stati membri. Questo approccio mira a garantire una maggiore uniformità nell’applicazione delle misure di sicurezza informatica a livello europeo.

Le criticità di NIS 1

L’aumento in numero e in sofisticatezza degli attacchi informatici ha evidenziato la necessità di rivedere la direttiva originale NIS 1. Questa revisione ha portato alla luce quattro problemi fondamentali:

  • Resilienza informatica insufficiente delle imprese;
  • Mancanza di una risposta congiunta alle crisi tra gli Stati membri e tra le imprese;
  • Comprensione comune insufficiente delle principali minacce e sfide;
  • Resilienza incoerente tra gli Stati membri.

Diventa un eroe della sicurezza informatica! Iscriviti al corso “Cyber Security From Zero to Hero” e diventa un professionista certificato!

Scopri il corso

Le novità di NIS 2

La nuova direttiva NIS 2 non è una semplice revisione della precedente, ma presenta importanti differenze che hanno lo scopo di ottenere un più alto livello di armonizzazione degli standard di sicurezza e degli obblighi di monitoraggio nell’Unione Europea.
Innanzitutto, l’adozione volontaria della direttiva NIS originale viene abolita: NIS 2 è obbligatoria per determinate entità e l’UE prevede sanzioni finanziarie, simile a quelle previste dal GDPR, per chi non si conforma entro i termini stabiliti. I requisiti della NIS 2 includono controlli tecnici più rigorosi per garantire la sicurezza delle operazioni ed estendono lo scopo della direttiva oltre l’ambiente IT interno delle aziende.

Tra i maggiori cambiamenti notiamo la sostituzione del complesso processo di identificazione nelle mani degli Stati Membri (Art 5 NIS 1) attraverso un sistema di auto identificazione basato su settori e dimensioni delle entità pubblica o private.
In questo senso, l’articolo 2 della nuova direttiva specifica l’applicazione delle nuove regole a tutte le entità che rientrano nella definizione di media impresa, o che superano i massimali per le medie imprese e che forniscono i loro servizi o svolgono le loro attività all’interno dell’Unione. Inoltre, NIS 2 individua alcune tipologie di entità per cui la dimensione non è rilevante, rendendole comunque soggette alla direttiva. Nel paragrafo successivo specifichiamo tutte le entità soggette a NIS 2.

Un’altra novità è la sostituzione delle categorie di NIS 1, ossia operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP), con le nuove categorie di “entità essenziali” e “entità importanti”.

Inoltre, la NIS richiede a determinati soggetti non stabiliti nell’Unione Europea, ma che offrono servizi al suo interno, di designare un rappresentante nell’Unione. Questo è il caso dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello (TLD), fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social networking che non sono stabiliti nell’Unione.

Le entità soggette alla NIS 2 dovranno fornire informazioni specifiche alle autorità competenti riguardo l’elenco degli Stati membri di soggetti essenziali e importanti, nonché la registrazione presso l’Agenzia dell’Unione europea per la cybersicurezza (ENISA). Gli Stati membri possono adottare processi nazionali che richiedono ai soggetti di registrarsi al fine di stabilire e aggiornare l’elenco.

NIS 2: per chi è obbligatoria

Come abbiamo accennato nel paragrafo precedente, NIS 2 si rivolge a entità essenziali e entità importanti. Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Settori ad Alta Criticità (Allegato 1)

  • Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
  • Trasporti: Strada, ferrovia, aria e acqua
  • Bancario: Banche, borse, istituzioni finanziarie
  • Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
  • Acqua: Acque reflue e acqua potabile
  • Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
  • Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
  • Pubblica amministrazione: Entità governative centrali e regionali
  • Spazio: Operatori di infrastrutture terrestri

Altri Settori Critici (Allegato 2)

  • Posta e corrieri: Spedizione di posta e pacchi
  • Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
  • Prodotti chimici: Produzione e distribuzione di prodotti chimici
  • Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
  • Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
  • Servizi digitali: Motori di ricerca, mercati online e reti sociali
  • Ricerca: Organizzazioni di ricerca

Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:

  • Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
  • Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.

Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni. Fa eccezione la pubblica amministrazione che svolge attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresa la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.

> Scopri i nostri servizi di Cyber Security e come ti possiamo aiutare a prepararti per la NIS 2

Requisiti e obblighi per le aziende

La Direttiva NIS 2 introduce nuovi requisiti e obblighi per le organizzazioni in quattro aree principali.

  1. Gestione del Rischio: le organizzazioni devono adottare misure per minimizzare i rischi informatici. Queste misure includono, ad esempio: la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una migliore sicurezza di rete, un controllo degli accessi più efficace e la crittografia.
  2. Responsabilità Aziendale: NIS 2 richiede che la direzione aziendale supervisioni, approvi e sia formata e responsabile delle misure di cybersicurezza e affronti i rischi informatici. Le violazioni possono comportare sanzioni per la direzione e un potenziale divieto temporaneo di ricoprire ruoli dirigenziali.
  3. Obblighi di Segnalazione: Le entità essenziali e importanti devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura del loro servizio o sui destinatari. La NIS2 stabilisce scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente. La notifica ufficiale, inoltre, deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
  4. Business Continuity: le aziende devono pianificare come intendono garantire la continuità aziendale in caso di gravi incidenti informatici. Questo piano dovrebbe includere considerazioni sul recupero dei sistemi, procedure di emergenza e la creazione di un team di risposta alle crisi.

> Leggi anche: “Business Continuity, Disaster Recovery e Incident Response: una strategia unificata”

Le Misure Minime di NIS 2

Oltre alle quattro aree generali di requisiti, la NIS 2 impone alle entità essenziali e importanti di implementare misure di sicurezza di base per affrontare specifiche forme di minacce informatiche probabili. Queste includono:

  • Definire e includere requisiti di sicurezza per i prodotti e servizi ICT, compresi certificazioni di cybersicurezza, cifratura e utilizzo di prodotti open source.
  • Promuovere e facilitare la divulgazione coordinata delle vulnerabilità.
  • Supportare la disponibilità, l’integrità e la riservatezza del nucleo pubblico della rete internet aperta, compresa la cybersicurezza dei cavi di comunicazione sottomarini.
  • Promuovere lo sviluppo e l’integrazione di tecnologie avanzate per implementare misure di avanguardia nella gestione dei rischi di cybersicurezza.
  • Promuovere attività di formazione, sensibilizzazione, sviluppo di competenze e iniziative di ricerca e sviluppo in materia di cybersicurezza, inclusi, ad esempio, orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica destinati ai cittadini, ai portatori di interessi e ai soggetti. Sfoglia il catalogo di Kinetikon per la formazione in sicurezza informatica. 
  • Sostenere istituti accademici e di ricerca nello sviluppo e nella diffusione di strumenti di cybersicurezza e infrastrutture di rete sicure.
  • Creare procedure e strumenti adeguati per facilitare la condivisione volontaria di informazioni sulla cybersicurezza tra le entità, nel rispetto delle normative dell’Unione.
  • Rafforzare la cyber resilienza e l’igiene informatica delle PMI, in particolare quelle escluse dall’ambito di applicazione della direttiva, fornendo orientamenti e supporto facilmente accessibili.
  • Promuovere una protezione informatica attiva per affrontare le minacce in tempo reale.

Puoi trovare il testo completo della direttiva in lingua italiana a questo link. (link esterno)

La direttiva NIS 2 rappresenta un passo significativo verso una maggiore sicurezza informatica e una resilienza condivisa a livello europeo. Quando si tratta di regolamenti e direttive, molte aziende considerano la conformità come l’obiettivo finale: qualcosa a cui devono adeguarsi soddisfacendo i requisiti minimi. Tuttavia, questa può essere vista invece come il punto di partenza per raggiungere livelli più elevati di cybersicurezza.
Si tratta quindi di abbracciare una cultura della sicurezza che coinvolge tutti gli aspetti dell’organizzazione, dalle tecnologie adottate alla formazione continua del personale.

Fonti:

Boban, M. (2024). CYBERSECURITY IN THE DIGITAL AGE: REGULATORY FRAMEWORK BASED ON THE IMPLEMENTATION OF THE NIS2 DIRECTIVE. In Economic and Social Development (Book of Proceedings), 112th International Scientific Conference on Economic and Social Development (p. 592).

Köller, J. (2024, June 5). NIS 2: Security Requirements for Businesses. Tenfold Security. https://www.tenfold-security.com/en/nis-2-requirements/

Lucini, V. (2023). THE EVER-INCREASING CYBERSECURITY COMPLIANCE IN EUROPE: THE NIS 2 AND WHAT ALL BUSINESSES IN THE EU SHOULD BE AWARE OF. Cyberleninka.ru. https://cyberleninka.ru/article/n/the-ever-increasing-cybersecurity-compliance-in-europe-the-nis-2-and-what-all-businesses-in-the-eu-should-be-aware-of/viewer

Network & Information Security Directive (NIS2) NIS2 (EU) Directive Readiness – Levelling-up your IT and OT security capabilities in light of the NIS2. (2023). https://assets.kpmg.com/content/dam/kpmg/pl/pdf/2023/10/kpmg-network-and-information-security-directive-nis2.pdfNIS2 requirements. (n.d.). The NIS2 Directive. https://nis2directive.eu/nis2-requirements/