NIS 2: per chi è obbligatoria e quali sono i requisiti per le aziende

Le novità di NIS 2

La nuova direttiva NIS 2 non è una semplice revisione della precedente, ma presenta importanti differenze che hanno lo scopo di ottenere un più alto livello di armonizzazione degli standard di sicurezza e degli obblighi di monitoraggio nell’Unione Europea.
Innanzitutto, l’adozione volontaria della direttiva NIS originale viene abolita: NIS 2 è obbligatoria per determinate entità e l’UE prevede sanzioni finanziarie, simile a quelle previste dal GDPR, per chi non si conforma entro i termini stabiliti. I requisiti della NIS 2 includono controlli tecnici più rigorosi per garantire la sicurezza delle operazioni ed estendono lo scopo della direttiva oltre l’ambiente IT interno delle aziende.

Tra i maggiori cambiamenti notiamo la sostituzione del complesso processo di identificazione nelle mani degli Stati Membri (Art 5 NIS 1) attraverso un sistema di auto identificazione basato su settori e dimensioni delle entità pubblica o private.
In questo senso, l’articolo 2 della nuova direttiva specifica l’applicazione delle nuove regole a tutte le entità che rientrano nella definizione di media impresa, o che superano i massimali per le medie imprese e che forniscono i loro servizi o svolgono le loro attività all’interno dell’Unione. Inoltre, NIS 2 individua alcune tipologie di entità per cui la dimensione non è rilevante, rendendole comunque soggette alla direttiva. Nel paragrafo successivo specifichiamo tutte le entità soggette a NIS 2.

Un’altra novità è la sostituzione delle categorie di NIS 1, ossia operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP), con le nuove categorie di “entità essenziali” e “entità importanti”.

Inoltre, la NIS richiede a determinati soggetti non stabiliti nell’Unione Europea, ma che offrono servizi al suo interno, di designare un rappresentante nell’Unione. Questo è il caso dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo livello (TLD), fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social networking che non sono stabiliti nell’Unione.

Le entità soggette alla NIS 2 dovranno fornire informazioni specifiche alle autorità competenti riguardo l’elenco degli Stati membri di soggetti essenziali e importanti, nonché la registrazione presso l’Agenzia dell’Unione europea per la cybersicurezza (ENISA). Gli Stati membri possono adottare processi nazionali che richiedono ai soggetti di registrarsi al fine di stabilire e aggiornare l’elenco.

NIS 2: per chi è obbligatoria

Come abbiamo accennato nel paragrafo precedente, NIS 2 si rivolge a entità essenziali e entità importanti. Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Settori ad Alta Criticità (Allegato 1)

• Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
• Trasporti: Strada, ferrovia, aria e acqua
• Bancario: Banche, borse, istituzioni finanziarie
• Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
• Acqua: Acque reflue e acqua potabile
• Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
• Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
• Pubblica amministrazione: Entità governative centrali e regionali
• Spazio: Operatori di infrastrutture terrestri

Altri Settori Critici (Allegato 2)

• Posta e corrieri: Spedizione di posta e pacchi
• Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
• Prodotti chimici: Produzione e distribuzione di prodotti chimici
• Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
• Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
• Servizi digitali: Motori di ricerca, mercati online e reti sociali
• Ricerca: Organizzazioni di ricerca

Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:

• Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
• Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.

Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni. Fa eccezione la pubblica amministrazione che svolge attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresa la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.

> Scopri i nostri servizi di Cyber Security e come ti possiamo aiutare a prepararti per la NIS 2

Requisiti e obblighi per le aziende

La Direttiva NIS 2 introduce nuovi requisiti e obblighi per le organizzazioni in quattro aree principali.

1. Gestione del Rischio: le organizzazioni devono adottare misure per minimizzare i rischi informatici. Queste misure includono, ad esempio: la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una migliore sicurezza di rete, un controllo degli accessi più efficace e la crittografia.
2. Responsabilità Aziendale: NIS 2 richiede che la direzione aziendale supervisioni, approvi e sia formata e responsabile delle misure di cybersicurezza e affronti i rischi informatici. Le violazioni possono comportare sanzioni per la direzione e un potenziale divieto temporaneo di ricoprire ruoli dirigenziali.
3. Obblighi di Segnalazione: Le entità essenziali e importanti devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura del loro servizio o sui destinatari. La NIS2 stabilisce scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente. La notifica ufficiale, inoltre, deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
4. Business Continuity: le aziende devono pianificare come intendono garantire la continuità aziendale in caso di gravi incidenti informatici. Questo piano dovrebbe includere considerazioni sul recupero dei sistemi, procedure di emergenza e la creazione di un team di risposta alle crisi.

> Leggi anche: “Business Continuity, Disaster Recovery e Incident Response: una strategia unificata”

Le Misure Minime di NIS 2

Oltre alle quattro aree generali di requisiti, la NIS 2 impone alle entità essenziali e importanti di implementare misure di sicurezza di base per affrontare specifiche forme di minacce informatiche probabili. Queste includono:

• Definire e includere requisiti di sicurezza per i prodotti e servizi ICT, compresi certificazioni di cybersicurezza, cifratura e utilizzo di prodotti open source.
• Promuovere e facilitare la divulgazione coordinata delle vulnerabilità.
• Supportare la disponibilità, l’integrità e la riservatezza del nucleo pubblico della rete internet aperta, compresa la cybersicurezza dei cavi di comunicazione sottomarini.
• Promuovere lo sviluppo e l’integrazione di tecnologie avanzate per implementare misure di avanguardia nella gestione dei rischi di cybersicurezza.
• Promuovere attività di formazione, sensibilizzazione, sviluppo di competenze e iniziative di ricerca e sviluppo in materia di cybersicurezza, inclusi, ad esempio, orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica destinati ai cittadini, ai portatori di interessi e ai soggetti. Sfoglia il catalogo di Kinetikon per la formazione in sicurezza informatica. 
• Sostenere istituti accademici e di ricerca nello sviluppo e nella diffusione di strumenti di cybersicurezza e infrastrutture di rete sicure.
• Creare procedure e strumenti adeguati per facilitare la condivisione volontaria di informazioni sulla cybersicurezza tra le entità, nel rispetto delle normative dell’Unione.
• Rafforzare la cyber resilienza e l’igiene informatica delle PMI, in particolare quelle escluse dall’ambito di applicazione della direttiva, fornendo orientamenti e supporto facilmente accessibili.
• Promuovere una protezione informatica attiva per affrontare le minacce in tempo reale.

Puoi trovare il testo completo della direttiva in lingua italiana a questo link. (link esterno)

La direttiva NIS 2 rappresenta un passo significativo verso una maggiore sicurezza informatica e una resilienza condivisa a livello europeo. Quando si tratta di regolamenti e direttive, molte aziende considerano la conformità come l’obiettivo finale: qualcosa a cui devono adeguarsi soddisfacendo i requisiti minimi. Tuttavia, questa può essere vista invece come il punto di partenza per raggiungere livelli più elevati di cybersicurezza.
Si tratta quindi di abbracciare una cultura della sicurezza che coinvolge tutti gli aspetti dell’organizzazione, dalle tecnologie adottate alla formazione continua del personale.