La Direttiva NIS 2 rappresenta un atto fondamentale in tema di sicurezza informatica per le imprese e gli enti pubblici dell’Unione Europea. Questo articolo esplorerà in breve la natura della direttiva, il suo ambito di applicazione e l’importanza del rispetto delle sue disposizioni.
Indice
Qual è lo scopo della Direttiva
La NIS 2 è una versione aggiornata della precedente Direttiva NIS e si propone di fornire risposte adeguate alle emergenti sfide nel campo della sicurezza informatica, nonché promuove la resilienza digitale in un’era sempre più interconnessa.
La direttiva NIS 2, acronimo di Network and Information Security, è finalizzata a garantire un elevato livello di sicurezza informatica all’interno degli Stati membri dell’Unione. Essa stabilisce i requisiti e gli standard per proteggere le reti e i sistemi informativi delle imprese che operano in determinati settori definiti come “essenziali” e “importanti”, nonché per gestire efficacemente gli incidenti informatici e garantire la continuità operativa.
A chi si rivolge la direttiva NIS 2?
La Direttiva NIS 2 si rivolge principalmente a soggetti che rivestono determinati requisiti:
Requisito dimensionale
Sono soggette agli obblighi della Direttiva le organizzazioni qualificabili come medie imprese (così come definite dall’art. 2, par. 1, dell’allegato alla raccomandazione 2003/361/CE) o che superino i massimali per le medie imprese (50-250 dipendenti – 10 milioni di fatturato).
Settore Operativo
I settori interessati dalla Direttiva NIS 2 comprendono una vasta gamma di servizi che svolgono un ruolo fondamentale per il funzionamento della società e dell’economia. Vi rientrano:
- Energia: comprende fornitori di energia elettrica, gestori del sistema di distribuzione e trasmissione, produttori di energia, gestori del mercato elettrico, partecipanti al mercato dell’energia elettrica, gestori di teleriscaldamento e tele-raffrescamento, gestori di oleodotti, gestori di impianti di produzione e trasporto di petrolio, gestori di gas naturale, gestori di impianti di produzione, stoccaggio e trasporto di idrogeno, e altri.
- Trasporti: include il trasporto aereo, ferroviario, per vie d’acqua e su strada, nonché gli operatori attivi nel controllo della gestione del traffico aereo, gestori dell’infrastruttura ferroviaria, compagnie di navigazione, gestori di servizi di assistenza al traffico marittimo e altri.
- Settore bancario e infrastrutture dei mercati finanziari: coinvolge enti creditizi, gestori delle sedi di negoziazione, controparti centrali e altri soggetti operanti nell’ambito finanziario.
- Settore sanitario: include prestatori di assistenza sanitaria, laboratori di riferimento dell’UE, soggetti che svolgono attività di ricerca e sviluppo relativi ai medicinali, fabbricanti di prodotti medicali.
- Gestione dei rifiuti
- Produzione e distribuzione di sostanze chimiche
- Acqua potabile e acque reflue: coinvolge fornitori e distributori di acqua potabile, imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e altri.
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di macchinari
- Infrastrutture digitali e gestione dei servizi TIC: includono fornitori di servizi di cloud computing, fornitori di reti di distribuzione dei contenuti, fornitori di servizi di comunicazione elettronica, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti e altri.
- Pubblica amministrazione e settore della ricerca: coinvolge enti della pubblica amministrazione, organizzazioni di ricerca e altri soggetti legati alla gestione pubblica e alla ricerca.
Questi settori sono considerati dall’Unione Europea vitali per il funzionamento della società e dell’economia degli Stati Membri.
Come adeguarsi alla direttiva NIS 2
L’adeguamento alla Direttiva NIS 2 richiede una serie di azioni mirate che possono variare a seconda del settore e delle dimensioni dell’organizzazione. Tuttavia, nel prossimo paragrafo andremo ad analizzare alcuni passaggi fondamentali.
I passaggi fondamentali per adeguarsi
Valutazione dei rischi
Identificare e valutare i potenziali rischi per la sicurezza informatica e delle reti dell’organizzazione, tenendo conto delle minacce interne ed esterne, attraverso un approccio “multirischio”.
Adozione di misure adeguate
Implementare misure tecniche, operative e organizzative proporzionate e adeguate per gestire i rischi individuati, prevenendo o riducendo al minimo l’impatto degli incidenti.
Politiche e procedure di sicurezza
Definire politiche e procedure chiare per la gestione degli incidenti, la continuità operativa, la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e altro ancora.
Formazione e sensibilizzazione
Assicurarsi che il management ed il personale sia adeguatamente formato e consapevole delle minacce alla sicurezza informatica, implementando programmi di formazione e sensibilizzazione.
Monitoraggio e aggiornamento
Monitorare costantemente i livelli di sicurezza informatica dell’organizzazione e aggiornare le misure di sicurezza in base alle nuove minacce e vulnerabilità che emergono nel tempo.
Pianificazione della gestione degli incidenti
Creare un piano dettagliato per la gestione degli incidenti, che includa procedure di notifica alle autorità competenti e ai soggetti interessati in caso di violazioni della sicurezza, e che preveda i soggetti responsabili delle fasi di intervento.
Le conseguenze in caso di non conformità
Le sanzioni per la non conformità alla Direttiva NIS 2 variano in base alla gravità dell’inadempienza e al tipo di entità coinvolta. Per le entità essenziali, le multe possono arrivare fino a 10 milioni di EURO o al 2% del fatturato annuo globale, mentre per le entità importanti il massimo è di 7 milioni di EURO o all’1,4% del fatturato annuo. In casi gravi, le entità essenziali rischiano anche la sospensione o il divieto temporaneo delle funzioni dirigenziali. L’obiettivo è incentivare il rispetto delle normative e promuovere la sicurezza informatica.
Per ulteriori informazioni in merito e per conformarsi ora alla direttiva contattaci qui!
Avv. Francesco Giunti