04/11/2024
Il 17 ottobre 2024 è entrata in vigore la Direttiva Europea UE 2022/2555 (NIS2), imponendo nuovi obblighi alle aziende e organizzazioni che rientrano in determinati settori critici.
La Direttiva NIS2 riguarda anche la sicurezza della supply chain e dei fornitori di servizi delle stesse organizzazioni rientranti nella NIS2.
La Direttiva NIS2, è stata ideata in risposta a numerosi cyber attacchi dannosi e pubblicizzati, per potenziare i requisiti di sicurezza, semplificare gli obblighi di reportistica e introducendo misure di supervisione e applicazione più rigorose.
La Direttiva NIS2 rafforza la sicurezza informatica, semplifica la reportistica e impone supervisione rigorosa. Aziende "essenziali" nel settore ad Alta Criticità (EE) o "importanti" negli altri settori Critici (IE) e che soddisfano specifici criteri di dimensionamento devono effettuare attività di analisi dei rischi e devono adottare misure di cyber sicurezza efficaci contro le minacce informatiche e le vulnerabilità.
La Direttiva NIS2 impone alla dirigenza di assicurare l'implementazione e il mantenimento delle misure di sicurezza. In caso di non conformità, i dirigenti possono essere ritenuti personalmente responsabili.
Se la tua organizzazione fornisce servizi critici per l'economia europea, rientrando nel perimetro della NIS2, hai tempo fino al 17 ottobre 2024 per adottare le misure di sicurezza informatica richieste e garantire la conformità alla direttiva, implementando requisiti che spaziano dalla governance della cybersicurezza, all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti. In particolare:
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
Procedure di gestione degli incidenti;
Gestione delle crisi e continuità operativa;
Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
Sicurezza della rete e dei sistemi informativi;
Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di Cybersicurezza;
Pratiche di igiene informatica e formazione in materia di Cybersicurezza;
Sicurezza dei dati mediante crittografia e cifratura;
Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
Approccio Zero Trust e uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
La non conformità alla NIS2 può comportare le seguenti sanzioni e conseguenti indagini o danni:
Entità essenziali: almeno fino a 10 milioni di euro o al 2% del fatturato annuo mondiale se superiore
Entità importanti: almeno fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale se superiore
Le violazioni possono attirare l'attenzione di regolatori e autorità di vigilanza, portando a indagini approfondite e, in alcuni casi, a procedimenti giudiziari, grave danno della reputazione aziendale e la fiducia di clienti e partner, facendola apparire inaffidabile e poco professionale nella gestione dei dati e delle operazioni.
Di seguito un elenco di soggetti importanti (IE) e soggetti essenziali (EE) che devono adeguarsi alla NIS2:
Soggetti importanti
Organizzazioni operanti in determinati settori che forniscono i seguenti servizi critici:
Servizi postali
Gestione dei rifiuti
Prodotti chimici
Ricerca
Industria Alimentare
Fabbricazione macchinari e attrezzature
Industria manifatturiera
Industria Automotive
Provider digitali (ad es. social network, motori di ricerca, marketplace online)
Soggetti essenziali
Energia
Trasporti
Finanza
Pubblica Amministrazione
Salute
Spazio
Approvvigionamento idrico (acqua potabile e acque reflue)
Infrastrutture digitali (ad es. fornitori di servizi di cloud computing e gestione ICT)
I soggetti essenziali che rientrano nei settori specificati e che soddisfano uno dei seguenti criteri dimensionali rientrano nella NIS2 :
più di 250 dipendenti, o un fatturato annuo superiore a 50 milioni di euro, o un totale di bilancio annuo oltre i 43 milioni di euro.
Le medie imprese incluse quelle con 50-250 dipendenti, o con un fatturato annuo o bilancio tra 10 e 50 milioni di euro, o con un totale di bilancio annuo fino a 43 milioni di euro.
Le Pubbliche Amministrazioni devono adattarsi ai criteri del proprio Stato Membro durante la fase di recepimento.
