Nis 2 cos’è, quando entra in vigore: tutto quello che serve sapere

NIS2 è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. La direttiva è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024. L’idea e la pratica di questa guida nasce proprio da un appuntamento così prossimo e strategico per migliaia di imprese italiane.

La Direttiva NIS 2016/1148 “sulla sicurezza delle reti e dei sistemi informativi” ha rappresentato il primo strumento concreto a livello comunitario per normare e disciplinare gli aspetti di sicurezza informatica delle aziende che erogano servizi ritenuti essenziali per le sorti del sistema economico e sociale di un paese membro dell’Unione Europea.

Tale direttiva è stata recepita dai singoli stati. In Italia il primo passo è stato rappresentato dal Decreto Legislativo NIS (D. Lgs. 18 maggio, n. 65), entrato in vigore dal 24 giugno 2018.
Il quadro legislativo in fatto di sicurezza informatica è stato successivamente ampliato dalla Legge 4 agosto 2021, n. 109 recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, utile a creare le basi strumentali per attivare le misure e le opportunità previste dal PNRR (Piano Nazionale di Ripresa e Resilienza).
Tuttavia, anche il Decreto NIS è avviato verso una rapida obsolescenza, a favore della nuova Direttiva NIS 2, naturale conseguenza dei traumatici eventi del 2020, quando la pandemia Covid-19 ha creato una brusca accelerazione del digitale, a tutto vantaggio dei criminali informatici, che non hanno tardato ad approfittarne.

Che cos'è NIS 2?

Nis2_aprile2024jpg

NIS 2 è la seconda versione della Direttiva sulle reti e sui sistemi informativi. Questa storica legislazione sulla sicurezza inform

atica mira a stabilire un livello più elevato di resilienza informatica all'interno delle organizzazioni di tutta l'Unione europea (UE), in particolare degli operatori di infrastrutture critiche e di servizi essenziali.

In particolare, il nome corretto della legislazione è “NIS 2”. Tuttavia, nei documenti ufficiali potresti vedere riferimenti alla “conformità NIS2” o alla “Direttiva NIS2”. Entrambi sono accettabili, ma la prima denominazione è quella pubblicata nella Gazzetta Ufficiale dell’Unione Europea.

Essendo un regolamento a livello UE, ogni Stato membro deve recepire la direttiva NIS nella rispettiva legislazione nazionale entro il 17 ottobre 2024: a quel punto, tutte le entità interessate saranno legalmente obbligate a conformarsi ai suoi requisiti di sicurezza. Più semplicemente, ciò significa che tutte le nazioni della UE dovranno rendere il regolamento legalmente vincolante, in modo da poterlo applicare nei rispettivi paesi.

A livello nazionale, NIS 2 mira a rafforzare la sicurezza informatica complessiva nei seguenti modi:

  1. A ogni Stato membro dell’UE si richiede di essere preparato per un’eventuale minaccia informatica con un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi.
  2. Si deve aumentare la collaborazione tra gli Stati membri creando un gruppo di cooperazione per lo scambio di informazioni.
  3. Si deve promuovere una cultura della cybersicurezza nei settori delle infrastrutture critiche che si affidano pesantemente sulle tecnologie dell’informazione e della comunicazione (TIC).

In breve, NIS 2 è progettato per g

arantire che le entità pertinenti in tutta la UE siano pronte a

 mitigare le minacce con adeguate misure di s

icurezza, intelligence sulle minacce e pratiche ottimali.

Perché NIS 2 è importante ?

NIS 2 rappresenta un netto miglioramento rispetto alla direttiva NIS originale. Storicamente parlando, NIS 1 è stata la prima legislazione europea sulla sicurezza informatica e mirava anche a migliorare la resilienza informatica in tutta la regione.

Sebbene abbia innescato con successo un cambiamento di mentalità e migliorato la protezione dei dati, purtroppo ha dovuto affrontare alcune sfide. Subito dopo l’implementazione, ci sono stati diversi livelli di adozione in tutta l’Unione Europea. Alcune aziende erano considerate essenziali in alcuni paesi, ma non in altri. Queste incoerenze hanno dato luogo a un panorama di conformità confuso e frammentato.

Allo stesso tempo, dal 2016 il contesto di rischio si è notevolmente evoluto. A livello globale, la criminalità informatica sta crescendo così rapidamente che, se fosse misurata come paese, sarebbe la terza economia più grande del mondo. Nuovi e sempre più sofisticati vettori di attacco stanno mettendo a dura prova le organizzazioni in modi mai visti prima, incluso l'uso dell'intelligenza artificiale (AI).

Le truffe di phishing basate sull’intelligenza artificiale, ad esempio, stanno imparando come ingannare utenti ignari e rubare facilmente le loro credenziali di accesso. Inoltre, con l’avvento dell’informatica quantistica, è solo questione di tempo prima che gli hacker riescano a decrittografare molti degli algoritmi crittografici attualmente in uso.

Naturalmente, la geopolitica non fa altro che aumentare la complessità. La guerra russo-ucraina ha dato origine ad attacchi informatici ispirati politicamente e sponsorizzati dallo stato. Secondo l'Agenziadell'Unione europea per la sicurezza informatica (ENISA), nel 2022 la stragrande maggioranza di questi attacchi ha preso di mira la pubblica amministrazione e i governi, i fornitori di servizi digitali e le infrastrutture critiche.

Considerati questi problemi, la Commissione Europea ha deciso di rivedere la Direttiva NIS. La seconda versione non solo affronta l’implementazione unificata, ma alza anche il livello della resilienza informatica, in linea con il mutevole panorama delle minacce informatiche.


Modifiche principali: NIS 2 rispetto alla Direttiva NIS originaria

La direttiva NIS aggiornata corregge le carenze della versione precedente e ne aumenta significativamente le dimensioni e la portata. Nello specifico, rispetto a NIS 1, questa:

  • Amplia il campo di applicazione in modo da includere più settori
  • Impone sanzioni più severe in caso di inadempienza
  • Impone requisiti di sicurezza informatica più rigorosi

Diamo uno sguardo più da vicino alle principali differenze tra la prima e la seconda direttiva NIS.


Ambito ampliato

La Direttiva NIS originale si applicava agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP). Ora questa distinzione non esiste più.

Le entità rilevanti sono invece classificate per dimensioni e tipologia. In generale, NIS 2 ha un impatto su tutte le organizzazioni che forniscono “servizi essenziali o importanti” nell’Unione Europea. Ciò aumenta il numero dei settori coperti da sette a 15, proteggendo quindi gli aspetti più vitali della società nella UE.

Un'entità essenziale è classificata come una grande azienda che opera in un settore critico, come quelli visti di seguito. In questo caso si definisce grande impresa quella con almeno 250 dipendenti, un fatturato annuo di almeno 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro. Secondo NIS 2, i servizi essenziali includono:

  • Energia
  • Trasporti
  • Finanza
  • Pubblica amministrazione
  • Sanità
  • Spazio
  • Approvvigionamento idrico (acqua potabile e acque reflue)
  • Infrastruttura digitale

Un’entità importante, invece, è un’impresa di medie dimensioni che opera in settori ad alta criticità che non rientrano nella categoria dei servizi essenziali. Queste organizzazioni hanno tipicamente almeno 50 dipendenti, un fatturato annuo di almeno 10 milioni di euro o un bilancio di 10 milioni di euro. In base a NIS 2, le entità importanti includono:

  • Servizi postali
  • Gestione dei rifiuti
  • Prodotti chimici
  • Ricerca
  • Alimenti
  • Produzione
  • Fornitori di servizi digitali

Alcuni dei settori sopra menzionati potrebbero sovrapporsi, come le infrastrutture digitali e i fornitori di servizi digitali. Il primo si riferisce a servizi cloud, operatori di telecomunicazioni, data center, servizi fiduciari e così via. In breve, comprende qualsiasi entità che fornisca un servizio digitale fondamentale per la struttura portante della società.

I fornitori digitali includono servizi più specifici, come motori di ricerca, mercati online e social network. Sono parte integrante del modo in cui le persone comunicano e effettuano transazioni, ma potrebbero non avere implicazioni drammatiche se un incidente informatico li rende inutilizzabili.

Che dire degli operatori con sede al di fuori della UE? Ai sensi dell'articolo 26 di NIS 2, le entità essenziali e importanti sono considerate soggette alla giurisdizione dello Stato membro della UE in cui forniscono i propri servizi. Se l'entità fornisce servizi in più di Stati membri, dovrebbe rientrare rispettivamente nella giurisdizione di ciascuno di essi.


Maggiore non conformità

NIS 2 stabilisce sanzioni molto più severe per la non conformità, tra cui:

1. Sanzioni non pecuniarie

NIS 2 conferisce alle autorità nazionali di vigilanza il potere di imporre:

  • Ordinanze di conformità
  • Istruzioni vincolanti
  • Controlli di sicurezza
  • Ordini di notifica di minacce

2. Sanzioni amministrative

Le sanzioni esatte possono variare a seconda dello Stato membro, ma la direttiva NIS stabilisce un elenco di sanzioni minime.

  • Per le entità essenziali, lo Stato membro deve prevedere una sanzione massima di almeno 10.000.000 di euro o il 2% del fatturato annuo globale, a seconda del valore più elevato.
  • Se un’entità importante viola la Direttiva, lo Stato membro deve pagare una sanzione massima pari ad almeno 7.000.000 di euro o all’1,4% del fatturato annuo globale, a seconda del valore più elevato.

3. Sanzioni penali contro gli organi amministrativi

Invece di esercitare tutta la pressione sulla conformità NIS 2 dei dipartimenti IT, la Direttiva prevede nuove sanzioni per ritenere gli organi di alta dirigenza personalmente responsabili per negligenze gravi nel caso di incidenti relativi alla sicurezza informatica. Ad esempio, un'autorità competente può vietare temporaneamente ai dirigenti di ricoprire posizioni dirigenziali. Può anche ordinare alle organizzazioni di rivelare le violazioni della conformità e di rilasciare una dichiarazione pubblica identificando la persona o le persone responsabili dell'incidente.



Requisiti più severi

Infine, NIS 2 aumenta notevolmente i requisiti di sicurezza informatica per le entità rilevanti. In generale, impone la segnalazione tempestiva degli incidenti, una gestione più ampia del rischio e una serie di misure minime di sicurezza.

Che cosa significa tutto questo? Esaminiamo più a fondo i requisiti esatti di NIS 2.


Requisiti di sicurezza NIS 2

La nuova direttiva rafforza la resilienza informatica introducendo obblighi in quattro ambiti:

Gestione del rischio

Le organizzazioni devono adottare misure di gestione del rischio per la sicurezza informatica, per ridurre al minimo la probabilità e l’impatto di diversi vettori di minacce informatiche. Più specificamente, devono implementare precauzioni tecniche, operative e organizzative per mitigare i rischi che incidono sulla rete e sui sistemi informativi, migliorando quindi la protezione dei dati. Questi possono includere procedure di gestione degli incidenti, una maggiore sicurezza della catena di fornitura, sistemi di controllo degli accessi e crittografia.

Governance d'impresa

Gli organi di gestione sono responsabili della supervisione e dell'approvazione dei protocolli di gestione dei rischi di sicurezza informatica delle rispettive organizzazioni e devono garantire che siano implementati in modo efficace.

Secondo l'Articolo 20, gli Stati membri dovrebbero "garantire che i membri degli organi direttivi delle entità essenziali e importanti siano tenuti a seguire un corso di formazione" e dovrebbero incoraggiarli a offrire costantemente programmi di formazione simili ai propri dipendenti. L’obiettivo è consentire a tutti i membri di una determinata organizzazione di identificare i rischi e ridurre al minimo l’esposizione, al meglio delle proprie capacità.

Segnalazione di incidenti

Le entità critiche devono stabilire procedure per segnalare tempestivamente gli incidenti di sicurezza che influiscono in modo significativo sulla fornitura dei servizi e/o sugli utenti. NIS 2 classifica un incidente di sicurezza “significativo” come quello che:

  • Ha causato o può portare a gravi interruzioni operative in un settore critico
  • Ha colpito o può colpire altre persone fisiche o giuridiche provocando danni ingenti

Le entità devono avvisare l’autorità competente del proprio Stato membro (compreso il CSIRT) con un preavviso entro e non oltre 24 ore dalla rilevazione dell’incidente informatico. Devono inoltre completare un rapporto completo entro e non oltre 72 ore e un rapporto finale un mese dopo la presentazione del documento iniziale.

Continuità aziendale

Il NIS 2 rivisto mira a garantire la continuità aziendale dopo un attacco. Le entità sono tenute a creare una strategia credibile che descriva dettagliatamente la loro risposta e la ripresa da tali incidenti, con l’obiettivo di ridurre rapidamente al minimo le interruzioni. Di conseguenza, NIS 2 enfatizza l’adozione di soluzioni di backup sicuri .




10 misure di base per la sicurezza informatica

L'Articolo 21 identifica 10 misure di sicurezza di base che le organizzazioni dovrebbero implementare per supportare le quattro aree generali. Si basano su un “approccio globale” che mira a mitigare i vettori di minaccia più probabili. Queste misure includono:

  1. Politiche in materia di analisi dei rischi e di sicurezza dei sistemi informativi
  2. Piani di risposta agli incidenti per la gestione delle minacce attive
  3. Piani di continuità aziendale, come procedure di backup, ripristino in caso di emergenza e gestione delle crisi
  4. Sicurezza della catena di fornitura, comprese le misure che affrontano il rapporto tra le aziende e i loro fornitori diretti o prestatori di servizi
  5. Sicurezza nell'acquisizione, sviluppo e manutenzione di reti e sistemi informativi, inclusa la gestione e la divulgazione delle vulnerabilità
  6. Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio per la sicurezza informatica
  7. Formazione per la consapevolezza, l'igiene e le migliori pratiche sulla sicurezza informatica
  8. Politiche sull'uso della crittografia e della cifratura
  9. Procedure di controllo degli accessi, in particolare per i dipendenti con accesso a dati sensibili
  10. Autenticazione multifattoriale, monitoraggio continuo e sistemi di comunicazione sicuri

NIS 2 rispetto ad altre normative sulla sicurezza informatica

Oltre a NIS 2, gli operatori della UE dovranno confrontarsi con numerose altre normative, tra cui:

  • Legge sulla resilienza operativa digitale (DORA)
  • Direttiva sulla Resilienza delle Entità Critiche (CER).
  • Cyber Resilience Act (CRA)

Come si sovrappongono queste legislazioni? Analizziamo i dettagli:


NIS2 rispetto a DORA

Sia NIS 2 che DORA sono normative sulla sicurezza informatica, ma i loro scopi sono leggermente diversi. DORA si concentra specificamente sul settore finanziario, mentre NIS 2 copre una gamma più ampia di organizzazioni.

Secondo l’Articolo 4, paragrafi 1 e 2, della Direttiva NIS, le disposizioni DORA relative alla gestione e rendicontazione dei rischi ICT, ai test di resilienza operativa digitale, alla condivisione delle informazioni e al rischio di terze parti si applicano al posto di quelle delineate in NIS 2. In altre parole, gli enti finanziari dovrebbero fare riferimento a DORA per queste aree e a NIS 2 per tutti gli altri requisiti.

Il punto cruciale: DORA sostituisce NIS 2 per le entità finanziarie per quanto riguarda le misure di sicurezza di cui sopra.


NIS 2 rispetto alla DIrettiva CER

La Direttiva CER si applica a entità critiche, come i fornitori di energia e di trasporti, indicando le difese contro i rischi non legati all'informatica. Sebbene NIS2 si concentri sulla sicurezza informatica, potrebbero esserci sovrapposizioni in termini di entità coperte. In questi casi, le organizzazioni dovranno garantire la conformità con entrambe le direttive, affrontando sia la resilienza informatica, sia quella fisica.

Le entità critiche dovrebbero conformarsi a NIS 2 per quanto riguarda la sicurezza informatica e alla direttiva CER per gli incidenti non informatici.

NIS2 rispetto a CRA

Il Cyber Resilience Act è una proposta di legge incentrata sulla sicurezza informatica dei prodotti hardware e software con elementi digitali, come i dispositivi Internet-of-Things (IoT). Laddove NIS 2 si concentra sul miglioramento della posizione di sicurezza delle aziende stesse, CRA richiede alle aziende di dare priorità alla sicurezza dei prodotti che fabbricano o vendono.

In generale, CRA integra NIS 2, ma non necessariamente si sovrappone o lo sostituisce. Pertanto, gli enti possono essere soggetti a entrambe le normative.

In tale ambito di maggiore sicurezza e per essere conformi alla nuova normativa Nis 2 noi di Protos Data Protection abbiamo studiato soluzioni che permettono di aumentare il livello di sicurezza aziendale per la protezione dei dati ed essere conformi all nuova normativa con processi automatizzati e con monitoraggio continuo con la possibilità di ripartire subito in caso di disaster recovery garantendo un punto fondamentale come la business continuity.

Contattaci per una consulenza gratuita a info@btonesolution.it o al numero di tel 01119620205
www.protosdataprotection.it