Massivedynamic.co

Direttiva NIS 2: Chi riguarda e cosa prevede?
  • Text Hover
  • Text Hover
La Direttiva NIS 2 nasce in seguito a una profonda revisione della precedente Direttiva NIS attuata in Italia con D.lgs. n. 65 del 18 maggio 2018 che ha consentito lo sviluppo delle capacità di cyber sicurezza dell’Unione Europea, rilevando alcune carenze che hanno impedito di affrontare le sfide emergenti sulla sicurezza informatica.
Con la nuova Direttiva NIS 2, che sarà recepita nelle legislazioni nazionali degli Stati membri dell’UE entro il 18 ottobre 2024, verranno estesi gli obblighi a un maggior numero di settori e servizi oltre a quelli essenziali già definiti nella precedente NIS. 

A differenza della NIS, in cui gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS 2 introduce una regola di dimensionamento. Entità di
dimensioni medio-grandi (con minimo 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano nei settori rilevanti saranno obbligate ad adoperarsi. Le imprese più piccole in generale sono escluse, con l’eccezione di quelle la cui attività è ritenuta di importanza critica per la società. Tali imprese sono costrette a soddisfare requisiti più severi, adottare misure di vigilanza più rigide, e a sottostare a precisi obblighi di comunicazione.
Quali sono dunque, i settori essenziali?
  • Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno) & acqua potabile / acque reflue

  • Banche, mercati finanziari, infrastrutture digitali & pubblica amministrazione

  • Trasporti (ferroviario, stradale, aereo e nautica) e spazio

  • Fornitori di servizi digitali, e-commerce, motori di ricerca, cloud computing, gestione di servizi ICT, reti pubbliche di comunicazione e servizi di comunicazione

  • Sanità (assistenziali, R&S, laboratori, case farmaceutiche e produttori di dispositivi medici)

Il legislatore europeo ha definito poi ulteriori settori critici che rientreranno nella nuova Direttiva: 
  • Servizi postali e di corriere

  • Gestione dei rifiuti

  • Fabbricazione, produzione e distribuzione di sostanze chimiche

  • Produzione, trasformazione e distribuzione di alimenti

  • Fabbricazione di: dispositivi medici e medico-diagnostici in vitro; computer, prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi e altri mezzi di trasporto

Cosa prevede la Direttiva NIS2?
La nuova direttiva, volta ad aumentare a livello europeo i requisiti minimi di sicurezza per garantire una maggiore cyber-resilienza, prevede che ogni stato membro adotti strategie nazionale per mantenere un elevato livello di cibersicurezza nei settori critici, includendo un quadro di governance per chiarire i ruoli e le responsabilità dei portatori di interesse, una politica per la sicurezza delle catene di approvvigionamento, gestione delle vulnerabilità, promozione e sviluppo dell'istruzione e formazione sulla cybersecurity, e misure per aumentare la consapevolezza sulla stessa. Possiamo dunque riassumere ciò che la Direttiva impone in alcuni pilastri fondamentali che comprendono: 

- La razionalizzazione dei requisiti minimi di sicurezza;
- L’adozione di un approccio “multirischio”;
- L'obbligo di segnalare minacce e incidenti informatici significativi alle autorità competenti o ai Computer Security Incident Response Teams (CSIRT) entro le 24 ore;
- La produzione e implementare di un piano di risposta agli incidenti;
- La regolamentazione della divulgazione coordinata delle vulnerabilità (CVD);
- L’implementazione di misure di cooperazione, al fine di sostenere la gestione coordinata delle crisi su vasta scala.
  • Text Hover
Quali misure implementare per essere in regola?
Ad ogni stato membro spetta il compito di garantire che le entità essenziali e importanti adottino misure adeguate alla gestione dei rischi. Queste misure includono anche la prevenzione e la minimizzazione degli impatti degli incidenti sui destinatari dei loro servizi.
Le misure che queste entità essenziali e importanti devono dunque adottare si devono basare su un approccio multirischio che mira a proteggere i sistemi informatici, le reti e il loro ambiente fisico dagli incidenti, e deve includere almeno i seguenti elementi:

- Politiche di analisi dei rischi e sicurezza dei sistemi informatici;
- Politiche per la gestione degli incidenti;
- Servizi di continuità operativa con gestione dei backup e ripristino in caso di disastro;
- Sicurezza della catena di approvvigionamento, compresi i rapporti con fornitori;
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
- Pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- Sicurezza delle risorse umane, strategie di controllo dell’accesso, e autenticazione a più fattori o di autenticazione continua;
- Soluzioni di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
Esistono sanzioni nel caso in cui non mi adoperi?
Il testo lo spiega chiaramente senza lasciare spazio per interpretazioni: Gli Stati membri devono provvedere affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e importanti in relazione alle violazioni della direttiva siano abbastanza salate da poter dissuadere potenziali trasgressori.

La direttiva prevede, infatti, uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Maggiori poteri sono concessi alle autorità competenti per il monitoraggio delle entità che saranno soggette a vigilanza ex ante ed ex post.

I soggetti essenziali possano andare incontro a sanzioni pecuniarie amministrative fino a 10 milioni di euro o al 2 % del totale del fatturato mondiale annuo; i soggetti importanti possono invece essere oggetto di sanzioni pecuniarie amministrative pari fino a 7 milioni di euro o dell’1,4 % del totale del fatturato mondiale annuo.
Oltre a queste sanzioni, gli Stati membri hanno la facoltà di infliggere penalità di mora al fine di imporre a un soggetto essenziale o importante di cessare una violazione della direttiva NIS 2.

Le autorità competenti, durante le loro attività di supervisione sui soggetti importanti, avranno il potere di effettuare le seguenti azioni:
- Ispezioni sul posto e vigilanza a distanza, compresi controlli casuali eseguiti da professionisti qualificati.
- Audit periodici e mirati sulla sicurezza eseguiti da un organismo indipendente o dall’autorità competente.
- Audit straordinari in caso di incidenti significativi o violazioni della direttiva.
- Scansioni di sicurezza basate su criteri di valutazione dei rischi in cooperazione con il soggetto interessato.
- Richieste di informazioni per valutare le misure di gestione dei rischi di cyber security adottate, comprese le politiche documentate e il rispetto degli obblighi informativi verso le autorità competenti.
- Richieste di accesso a dati, documenti e altre informazioni necessarie per svolgere le attività di vigilanza.
- Richieste di dati che dimostrino l’attuazione delle politiche di cyber security, come i risultati di audit effettuati da un controllore qualificato e le relative prove.