Normativa NIS2: cos’è e cosa comporta per le aziende

La direttiva europea NIS2 (Network and Information Security 2), che entrerà in vigore il 17 ottobre 2024, è un aggiornamento della precedente direttiva NIS (del 2016) e introduce misure di sicurezza informatica più severe per le infrastrutture critiche e i servizi essenziali in Europa.
Il suo obiettivo è garantire una maggiore resilienza e protezione contro le minacce informatiche, migliorando la sicurezza delle reti e dei sistemi informatici utilizzati dai settori considerati vitali per il funzionamento della società e dell’economia europea.

A chi si applica

A differenza della direttiva NIS precedente, dove gli Stati membri potevano autonomamente identificare quali operatori fossero considerati essenziali, la NIS2 introduce un criterio standard basato sulle dimensioni aziendali.
La nuova direttiva si applica principalmente alle organizzazioni di dimensioni medio-grandi, ossia quelle con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, attive nei settori considerati critici.
L’elenco comprende 18 settori critici, che includono ambiti essenziali per la società, come energia, trasporti, sanità, finanza, pubblica amministrazione e produzione industriale.
Le aziende che rientrano in questi settori saranno classificate come “entità essenziali” o “importanti” a seconda delle dimensioni e dell’impatto sui servizi.

Le piccole imprese sono generalmente escluse, salvo eccezioni per quelle che svolgono attività ritenute di particolare rilevanza per la società. Queste ultime saranno tenute a rispettare requisiti di sicurezza più stringenti, a implementare misure di sorveglianza avanzate e a conformarsi a rigorosi obblighi di segnalazione.

Attenzione, è importante evidenziare che la NIS2 non si limita a classificare come essenziali o importanti le singole organizzazioni o i fornitori di servizi, ma include anche l’intera filiera, ampliando notevolmente il campo di applicazione.
Ad esempio, un’azienda IT che fornisce hardware o software a un cliente che utilizza tali prodotti per offrire un servizio essenziale rientra automaticamente nell’ambito di applicazione della normativa.

Settori essenziali

• Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno)
• Trasporti (aereo, ferroviario, per vie d’acqua, su strada)
• Bancario
• Infrastrutture dei mercati finanziari
• Sanitario (prestatori di assistenza, laboratori, ricerca e sviluppo, case farmaceutiche, produttori di dispositivi medici critici)
• Acqua potabile
• Acque reflue
• Infrastrutture digitali (fornitori di punti di interscambio Internet, di servizi DNS, di servizi di cloud computing, di servizi di data center, di servizi fiduciari, di registri dei nomi di dominio di primo livello (TLD), di content delivery network, di reti pubbliche di comunicazione, di servizi di comunicazione elettronica accessibili al pubblico
• Gestione dei servizi ICT business-to-business (fornitori di servizi gestiti e di sicurezza gestiti)

Settori importanti

• Servizi postali e di corriere
• Gestione dei rifiuti
• Fabbricazione, produzione e distribuzione di sostanze chimiche
• Produzione, trasformazione e distribuzione alimenti
• Fabbricazione (dispositivi medici e diagnostici; computer, prodotti di elettronica e ottica, apparecchiature elettriche; autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto)
• Fornitori di servizi digitali (e-commerce, motori di ricerca, social network)
• Ricerca

L’impatto di NIS2 sulle aziende

La NIS2 comporta implicazioni significative, in primo luogo per le aziende pubbliche e private che rientrano nei settori critici, ma anche per quelle ad esse correlate, soprattutto se producono componenti, software o servizi che supportano le infrastrutture critiche o rientrano nelle filiere dei settori interessati.

Saranno richieste misure di sicurezza più avanzate come la gestione delle vulnerabilità, la protezione dei dati e un maggiore controllo sugli accessi ai sistemi.
Questo richiede un ripensamento delle politiche di sicurezza informatica, inclusi:

• Valutazione del rischio: Identificare potenziali minacce e punti deboli nei sistemi di produzione e nelle reti IT/OT (tecnologie operative).
• Piani di gestione delle crisi: Sviluppare strategie per la risposta agli incidenti, il ripristino rapido e la comunicazione delle violazioni.
• Conformità estesa: Le aziende manifatturiere non solo devono essere conformi internamente, ma garantire che anche i loro fornitori e partner rispettino gli stessi standard di sicurezza.

Sanzioni e responsabilità

La NIS2 introduce anche un sistema di sanzioni per le aziende che non si adeguano, che può includere multe significative basate sul fatturato annuo.
Inoltre, viene rafforzata la responsabilità del management, che sarà tenuto a supervisionare l’implementazione delle misure di sicurezza, rendendo la conformità un obbligo non solo per il reparto IT, ma per tutta la dirigenza.

Azioni raccomandate

Le aziende interessate devono avviare fin da subito una valutazione del loro stato di conformità e adottare le seguenti azioni:

• Mappe dei processi e delle infrastrutture critiche: Identificare quali sistemi e componenti rientrano nel perimetro della direttiva NIS2.
• Formazione del personale: Migliorare la consapevolezza e la preparazione del personale in tema di sicurezza informatica.
• Collaborazione con partner e fornitori: Assicurarsi che anche le aziende della catena di fornitura siano conformi, poiché una vulnerabilità in un fornitore può compromettere l’intera catena.

La NIS2 rappresenta un cambiamento significativo per il panorama della sicurezza informatica in Europa, e le aziende italiane devono considerarla come un’opportunità per rafforzare la loro resilienza e proteggere il proprio valore strategico.