Cos’è la Direttiva NIS2?
La Direttiva NIS2 (Network and Information System Security) è una normativa dell’Unione Europea che introduce nuovi obblighi di cyber sicurezza per le aziende in materia di sicurezza dei dati12. Questa direttiva è stata approvata dal Parlamento Europeo il 10 novembre 20221 e mira a garantire un livello adeguato di sicurezza delle reti e dei sistemi informativi2.
La NIS2 non solo si prefigge di aumentare il livello della sicurezza informatica nei Paesi dell’Unione ma mira ad ampliare gli ambiti di applicazione2. Questa normativa si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area UE3.
Chi deve adeguarsi alla Direttiva NIS2?
La Direttiva NIS2 si applica a due categorie di soggetti definiti come “essenziali” e “importanti”45. Questi soggetti operano in settori critici come energia, trasporti, sanità, infrastrutture digitali, e altri settori critici245. Inoltre, le nuove disposizioni si applicano anche a servizi online, piattaforme di e-commerce, motori di ricerca, servizi cloud, piattaforme di social networking e altri servizi digitali ritenuti essenziali per l’economia e la società2.
Le aziende che rientrano nell’ambito di applicazione della Direttiva NIS2 devono adottare una serie di misure per adeguarsi alla normativa6. Queste misure includono la designazione di un responsabile della sicurezza informatica, lo sviluppo di una politica di sicurezza informatica e l’implementazione di misure di sicurezza tecniche e organizzative appropriate6.
Quali sono le sanzioni per chi non si adegua?
Le entità essenziali che non rispettano gli obblighi di sicurezza cibernetica possono essere sanzionate fino a un massimo di 10 milioni di euro o il 2% del fatturato, a seconda di quale importo risulti più elevato7. Gli operatori importanti, invece, potrebbero essere soggetti a sanzioni fino a un massimo di 7 milioni di euro o al 1,4% del loro fatturato globale8.
Quali sono le misure tecniche richieste dalla NIS2?
La Direttiva NIS2 richiede che le organizzazioni adottino una serie di misure tecniche, operative e organizzative per gestire i rischi per la sicurezza dei sistemi di rete e di informazione1. Queste misure includono:
- Analisi e valutazione dei rischi: Le organizzazioni devono condurre una valutazione approfondita dei rischi per identificare le potenziali minacce alla sicurezza dei loro sistemi informatici e delle reti2.
- Implementazione di misure di sicurezza: Sulla base della valutazione dei rischi, le organizzazioni devono implementare misure di sicurezza adeguate per proteggere sistemi, reti e dati da possibili minacce informatiche3.
- Gestione degli incidenti di sicurezza: Le organizzazioni devono avere un piano per gestire gli incidenti di sicurezza, che include il monitoraggio continuo e la risposta agli incidenti2.
- Limitazione dell’accesso agli account amministrativi: La Direttiva NIS2 consiglia di limitare l’accesso agli account amministrativi, ruotare regolarmente le password e adottare misure per proteggere gli accessi privilegiati4.
- Piano di continuità di business e gestione delle crisi: Le organizzazioni devono avere un piano di continuità di business e gestione delle crisi2.
Queste misure sono progettate per garantire che le organizzazioni possano prevenire, rilevare e rispondere efficacemente agli incidenti di sicurezza. Ricordiamo che la piena conformità alla Direttiva NIS2 è richiesta entro il 17 ottobre 20245.
Conclusione
La Direttiva NIS2 rappresenta un passo significativo nel rafforzamento della cybersicurezza all’interno dell’UE. Le aziende che rientrano nell’ambito di applicazione di questa direttiva devono adeguarsi ai nuovi obblighi di sicurezza per evitare pesanti sanzioni. Pertanto, è fondamentale che queste aziende inizino il processo di adeguamento il prima possibile per garantire la piena conformità entro la data stabilita.
Fonti(cybersecurity360.it ; html.it ; cybersecitalia.it ; webheroes.it ; cybersecurity360.it ; creditnews.it ;diritto.it) – (agendadigitale.eu ; cybersecurity360.it ; webheroes.it ; bitmat.it ; agendadigitale.eu)