A differenza della NIS, in cui gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS 2 introduce una regola di dimensionamento. Entità di dimensioni medio-grandi (con minimo 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano nei settori rilevanti saranno obbligate ad adoperarsi.
-
Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno) & acqua potabile / acque reflue
-
Banche, mercati finanziari, infrastrutture digitali & pubblica amministrazione
-
Trasporti (ferroviario, stradale, aereo e nautica) e spazio
-
Fornitori di servizi digitali, e-commerce, motori di ricerca, cloud computing, gestione di servizi ICT, reti pubbliche di comunicazione e servizi di comunicazione
-
Sanità (assistenziali, R&S, laboratori, case farmaceutiche e produttori di dispositivi medici)
-
Servizi postali e di corriere
-
Gestione dei rifiuti
-
Fabbricazione, produzione e distribuzione di sostanze chimiche
-
Produzione, trasformazione e distribuzione di alimenti
-
Fabbricazione di: dispositivi medici e medico-diagnostici in vitro; computer, prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi e altri mezzi di trasporto
- La razionalizzazione dei requisiti minimi di sicurezza;
- L’adozione di un approccio “multirischio”;
- L'obbligo di segnalare minacce e incidenti informatici significativi alle autorità competenti o a Computer Security Incident Response Teams (CSIRT) entro le 24 ore;
- La produzione e l'implementazione di un piano di risposta agli incidenti;
- La regolamentazione della divulgazione coordinata delle vulnerabilità (CVD);
- L’implementazione di misure di cooperazione, al fine di sostenere la gestione coordinata delle crisi su vasta scala.
- Politiche di analisi dei rischi e sicurezza dei sistemi informatici;
- Politiche per la gestione degli incidenti;
- Servizi di continuità operativa con gestione dei backup e ripristino in caso di disastro;
- Sicurezza della catena di approvvigionamento, compresi i rapporti con fornitori;
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
- Pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- Sicurezza delle risorse umane, strategie di controllo dell’accesso, e autenticazione a più fattori o di autenticazione continua;
- Soluzioni di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
Le attività potranno essere successivamente soggette ad attività di vigilanza e audit sulla sicurezza, periodici e mirati, effettuati da organismi indipendenti o da ACN.
Le autorità competenti, durante le loro attività di supervisione sui soggetti importanti, avranno il potere di eseguire:
- Ispezioni sul posto e vigilanza a distanza, compresi controlli casuali eseguiti da professionisti qualificati.
- Audit periodici e mirati sulla sicurezza eseguiti da un organismo indipendente o dall’autorità competente.
- Audit straordinari in caso di incidenti significativi o violazioni della direttiva.
- Scansioni di sicurezza basate su criteri di valutazione dei rischi in cooperazione con il soggetto interessato.
- Richieste di informazioni per valutare le misure di gestione dei rischi di cyber security adottate, comprese le politiche documentate e il rispetto degli obblighi informativi verso le autorità competenti.
- Richieste di accesso a dati, documenti e altre informazioni necessarie per svolgere le attività di vigilanza.
- Richieste di dati che dimostrino l’attuazione delle politiche di cyber security, come i risultati di audit effettuati da un controllore qualificato e le relative prove.
La direttiva prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE.
- I soggetti essenziali possono ricevere sanzioni amministrative pecuniarie fino a un massimo di euro
10.000.000 o del 2% del totale del fatturato annuo su scala mondiale, qualsiasi dei due sia superiore; - I soggetti importanti andrebbero in contro a sanzioni amministrative pecuniarie fino a un massimo di euro
7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale, qualsiasi dei due sia superiore; - Le pubbliche amministrazioni possono essere invece soggette a sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.