Line TT Informatica MENU

/ NIS 2

COS'È LA DIRETTIVA NIS 2

Un passo avanti per la sicurezza informatica in Europa
Il 17 ottobre 2024, entra in vigore la Direttiva Europea NIS 2 sulla sicurezza delle reti e dei sistemi informativi (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni), che introduce nuovi requisiti di sicurezza informatica per aziende e organizzazioni operanti in settori specifici.
Nata dalla revisione della precedente Direttiva NIS (UE 2016/1148), attuata in Italia con D.lgs. n. 65 del 18 maggio 2018, la NIS 2 segna un altro importante passo verso la definizione della strategia per la Cybersicurezza dell’Unione Europea, con l’obiettivo di colmare alcune carenze e coordinare le risposte degli Stati membri in caso di incidenti di sicurezza, garantendo la continuità dei servizi essenziali e importanti.

AMBITO DI APPLICAZIONE

La NIS2 si applica ai soggetti pubblici o privati delle tipologie indicate negli allegati I e II della direttiva NIS2 (“Settori ad alta criticità” e “Altri settori critici”, illustrati nella Tabella 1) che sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione:

  • pubbliche amministrazioni, con maggiore spazio di valutazione agli Stati membri in fase di recepimento;
  • categorie specifiche di soggetti, tra cui piccole imprese, individuate più puntualmente negli allegati I e II della direttiva.
  • medie imprese con un numero di dipendenti compreso fra 50 e 250 dipendenti o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro, oppure con un totale di bilancio annuo non superiore a 43 milioni di euro;
  • grandi imprese con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro, o un totale di bilancio annuo superiore a 43 milioni di euro;

 

MISURE DI SICUREZZA DA APPLICARE

La Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e segnalazione, e introduce misure di supervisione e requisiti di applicazione più rigorosi.
Ai sensi dell’articolo 21 della NIS2, le aziende essenziali e importanti devono implementare una serie di misure di sicurezza tecniche e organizzative, proporzionate, per contrastare le minacce informatiche:

  • Politiche di analisi dei rischi e di sicurezza dei sistemi informatici.
  • Procedure di gestione degli incidenti.
  • Gestione delle crisi e continuità operativa.
  • Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • Sicurezza della rete e dei sistemi informativi.
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di Cybersicurezza.
  • Pratiche di igiene informatica e formazione in materia di Cybersicurezza (Cybersecurity Awareness).
  • Sicurezza dei dati mediante crittografia e cifratura.
  • Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • Approccio Zero Trust e uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti

MANCATA CONFORMITÀ ALLA NIS 2

Esposizione a minacce cibernetiche
Senza adeguate misure di sicurezza e procedure di gestione dei rischi, le organizzazioni diventano vulnerabili agli attacchi informatici, compromettendo la confidenzialità, l’integrità e la disponibilità dei dati e la continuità operatività, con danni finanziari e reputazionali. Conseguenze legali e finanziarie La non conformità dei soggetti essenziali è soggetta a sanzioni amministrative fino a 10.000.000 €, o corrispondenti al 2% del fatturato annuo se superiore. Per i soggetti importanti, sono previste sanzioni fino a 7.000.000 € o equivalenti al 1,4% del fatturato annuo se superiore. Le violazioni, inoltre, possono attirare l’attenzione di regolatori e autorità di vigilanza, portando a indagini approfondite e, in alcuni casi, a procedimenti giudiziari. Responsabilità della dirigenza.
La Direttiva NIS2 introduce nuovi obblighi per la dirigenza delle aziende, che deve garantire l’implementazione e il mantenimento delle misure di sicurezza adeguate. In caso di non conformità, i membri della dirigenza possono essere ritenuti personalmente responsabili. Perdita di reputazione e di fiducia. La non conformità alla Direttiva NIS 2 può causare una perdita significativa di reputazione e fiducia da parte di clienti, partner commerciali e parti interessate. Le organizzazioni non conformi possono essere percepite come non affidabili e poco professionali nel gestire e proteggere i dati sensibili e le Operations.

LA TT INFORMATICA è lieta di offrirVi la sua collaborazione e consulenza per nuovi progetti, servizi di assistenza tecnica e valorizzazione delle Vostre risorse informatiche.
Scrivici una mail a: info@ttinformatica.eu