Direttiva NIS2, facciamo chiarezza: novità, ambiti e soggetti destinatari

Sanità Scuole e Università Pubblica Amministrazione Grandi Imprese Piccole e Medie Imprese Cybersecurity
Direttiva NIS2

Migliorare la sicurezza informatica nell’Unione Europea, proteggendo i servizi essenziali, incrementando la resilienza IT delle infrastrutture critiche e promuovendo la massima cooperazione per garantire una risposta coordinata agli incidenti di Cybersecurity. L’obiettivo della NIS2 è ben definito, ma quali sono le novità introdotte, gli ambiti in cui si applica e i settori destinatari? È opportuno fare chiarezza.

Recepita con la pubblicazione del Decreto n.138/2024 in Gazzetta Ufficiale, la Direttiva NIS 2 è entrata in vigore in Italia il 17 ottobre 2024, ma è a partire da quest’anno che si entra veramente nel vivo di un percorso di compliance tutt’altro che semplice. Gli obblighi di sicurezza, infatti, sono molto più rigidi rispetto alla precedente Direttiva NIS, richiedendo alle entità soggette di attuare misure adeguate di gestione dei rischi per la difesa delle reti e dei sistemi informatici.

 

Direttiva NIS2: gli obblighi di sicurezza

Nello specifico, i soggetti coinvolti devono prevedere una valutazione regolare dei rischi con puntuale elaborazione di strategie di gestione, implementando misure adeguate per garantire un elevato livello di sicurezza.

Queste includono ma non si limitano a: protezione degli accessi, crittografia dei dati sensibili, sistemi di rilevamento e prevenzione delle intrusioni, backup regolari e piani di ripristino. Le aziende interessate hanno altresì l’obbligo di prevedere un piano per gestire e rispondere in maniera puntuale ed efficace agli incidenti di sicurezza informatica, con un monitoraggio continuo dei sistemi e test di sicurezza per identificare eventuali vulnerabilità.

Inoltre, la NIS 2 introduce l’obbligo di notificare tempestivamente eventuali incident significativi alle autorità competenti entro 24 ore, dettagliando la natura della violazione e le sue conseguenze.

Rispetto alla versione precedente della Direttiva, viene eliminata la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Al suo posto, vengono introdotte nuove categorie basate sull’importanza del servizio offerto, garantendo un approccio più omogeneo e mirato alla sicurezza informatica. Inoltre, la Direttiva amplia l’ambito di applicazione, estendendo gli obblighi di cybersecurity a un numero maggiore di settori critici (es. Cloud Computing, Datacenter e servizi sanitari, riconoscendo il ruolo strategico di queste infrastrutture digitali).

Ma la novità più rilevante è sicuramente quella che riguarda i soggetti destinatari che devono conformarsi, includendo nuovi settori economici e coinvolgendo anche la Pubblica Amministrazione, che deve garantire servizi sempre più sicuri; sono però esclusi gli enti pubblici come la sicurezza nazionale, la pubblica sicurezza, la difesa, le attività legate al contrasto, alla prevenzione, alle indagini, all’accertamento e al perseguimento dei reati, oltre a coloro che erogano servizi a questi stessi enti.

Una struttura difensiva che deve essere applicata lungo tutta la supply chain, richiedendo standard di sicurezza anche a fornitori e altri partner.

 

Conformità NIS2: soggetti destinatari

Tra i settori ora soggetti a requisiti più stringenti rientrano l’energia, le infrastrutture digitali, la gestione dei servizi di telecomunicazione e il settore sanitario, insieme a comparti critici come il trasporto, la finanza e la gestione delle risorse idriche, che includono acqua potabile e acque reflue. Anche lo spazio diventa un’area chiave della normativa, riconoscendo il crescente impatto delle tecnologie satellitari e spaziali sulla sicurezza globale.

La regolamentazione si estende inoltre a settori industriali e produttivi fondamentali, come la fabbricazione di dispositivi medici, apparecchiature elettriche e autoveicoli, la produzione e distribuzione di alimenti, nonché la gestione dei rifiuti e la produzione di sostanze chimiche. Servizi essenziali come quelli postali e di corriere, i fornitori di servizi digitali e la ricerca rientrano anch’essi nell’ambito di applicazione della normativa.

La NIS2 introduce criteri dimensionali per le aziende soggette: tutte le imprese all’interno dell’UE con minimo 50 dipendenti e un fatturato superiore a 10 milioni di euro.

 

Ambiti di applicazione Direttiva NIS2

Per migliorare la resilienza e la cybersecurity degli Stati membri, la NIS2 individua alcuni ambiti chiave in cui è necessario intervenire:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informativi per identificare, valutare e gestire i rischi;
  • gestione degli incidenti per rilevare, analizzare e rispondere agli incidenti di sicurezza informatica. Le aziende devono essere in grado di contenere, mitigare e recuperare da incidenti per minimizzare l’impatto e prevenire futuri attacchi;
  • continuità operativa, che include strategie come backup regolari, disaster recovery (DR) e gestione delle crisi, per garantire che le operazioni possano continuare senza interruzioni significative a seguito di un attacco;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione del software, che coinvolge la gestione delle vulnerabilità e la divulgazione responsabile, per prevenire l’introduzione di minacce nei sistemi;
  • valutazione dell’efficacia delle misure di gestione dei rischi per garantirne l’adeguatezza nel tempo;
  • politiche di igiene informatica e formazione, essenziali per mantenere un elevato livello di sicurezza informatica. Includono pratiche come aggiornamenti software regolari e consapevolezza delle minacce;
  • sicurezza delle risorse umane e verifica degli accessi, fondamentali per limitare l’accesso ai dati sensibili solo al personale autorizzato, riducendo così il rischio di violazioni;
  • autenticazione a più fattori e comunicazioni protette per aumentare significativamente la sicurezza degli accessi. L’uso di sistemi di comunicazione protetti garantisce che le informazioni trasmesse siano al sicuro da intercettazioni non autorizzate.
  • sicurezza della supply chain, ossia valutazione e gestione dei rischi associati ai fornitori e alle terze parti, garantendo che i partner commerciali rispettino elevati standard di sicurezza per prevenire compromissioni lungo la catena di approvvigionamento.

 

Responsabilità NIS2: gli organi direttivi

Gli organi direttivi di ogni azienda devono garantire un’operatività sicura e conforme alle normative vigenti, per proteggere l’organizzazione e i suoi stakeholder. Nello specifico, la Direttiva NIS2 stabilisce che la Direzione aziendale è chiamata ad adottare ed effettuare programmi di formazione adeguati in materia di cybersecurity, promuovendo un continuo aggiornamento delle competenze di tutti i dipendenti.  L’errore umano è ancora oggi una delle vulnerabilità più pericolose: un’adeguata comprensione delle minacce informatiche e delle migliori pratiche di difesa è quindi essenziale per aumentare la consapevolezza dei rischi e rafforzare le competenze necessarie per proteggere i dati aziendali e personali, prevenendo così potenziali violazioni. È necessario diffondere una cultura aziendale in cui tutti devono contribuire al massimo livello di cybersecurity.

In sostanza, gli stessi organi direttivi hanno in carico le decisioni strategiche in merito alla protezione informatica dell’azienda, compresa l’approvazione delle modalità di implementazione delle misure di sicurezza, un passaggio cruciale per garantire che le soluzioni adottate siano allineate con gli obiettivi aziendali e rispettino le normative in vigore. Oltre all’approvazione delle misure di sicurezza, la Direzione deve devono anche sovrintendere all’effettiva implementazione. Ciò comporta il monitoraggio continuo e la revisione delle politiche adottate per assicurarsi che siano adeguate e aggiornate in risposta a nuove minacce o cambiamenti normativi.

In caso di violazioni di cybersecurity, gli organi direttivi possono essere ritenuti direttamente responsabili. Questo comporta non solo conseguenze legali, ma anche potenziali danni reputazionali per l’azienda. Pertanto, è essenziale adottare un approccio proattivo per verificare la compliance alla NIS2, prevenire le violazioni e rispondere efficacemente quando si verificano.

 

NIS2: il tempo stringe!

La Direttiva NIS2 impone nuovi standard di cybersecurity e compliance. In attesa della pubblicazione delle linee guida specifiche per l’Italia, l’adozione delle best practices in materia di cybersecurity è sicuramente la base per rispettare i requisiti richiesti dalla normativa… anzi, siamo già a buon punto. Allo stesso modo l’implementazione delle ISO 2700x può diventare un fattore determinante in ottica NIS2, oltre che un’opportunità di certificazione.

Longwave supporta le aziende con attività propedeutiche all’adeguamento alla normativa, tra queste l’analisi strutturata dei rischi. È necessario indentificare e valutare i domini di rischio associati alle infrastrutture critiche, attraverso la mappatura dei sistemi, la valutazione delle minacce/vulnerabilità e delle potenziali conseguenze. Da questo punto di vista il nostro servizio di Vulnerability Assessment può essere decisivo.

L’implementazione di misure di sicurezza tecnologiche come Vulnerability Management, XDR, Next Generation Firewall e soluzioni di cifratura per Endpoint, Mobile e Server sono essenziali per ottenere un quadro di sicurezza completo e aiutano a proteggere le informazioni e i sistemi critici da minacce e attacchi informatici.

Allo stesso modo, sviluppare piani dettagliati non solo per rispondere agli incidenti di sicurezza e per il ripristino delle normali attività operative, ma anche per adempiere agli obblighi di segnalazione è un’altra attività propedeutica alla compliance che deve essere portata avanti. Come? Un servizio MDR avvia un’indagine completa sulle tracce di attività di exploit e, se

Direttiva NIS2

Prossime scadenze Direttiva NIS2: stay tuned!

Prepararsi alla compliance alla Direttiva NIS2 richiede un approccio strategico e un percorso strutturato: l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un calendario con le scadenze che riguardano la normativa, entro le quali le aziende coinvolte devono adeguarsi.

Stay tuned per approfondire i next step imposti dalla normativa!

 

 

Do you need more information?

Compila il form: verrai ricontattato al più presto

    Beyond the screen

    Stay on the cutting edge: find out about our events, latest digital trends and technical focuses!

    27 March 2025
    Welcome Center: alla scoperta del Contact Center del futuro!
    Read more
    26 March 2025
    Inside the collaboration: Microsoft Teams rivoluziona il modo in cui lavoriamo
    Read more
    18 March 2025
    Rapporto Clusit 2025, nuovo record di incidenti cyber: tutti i dati più significativi
    Read more
    07 March 2025
    Audit, confermate le certificazioni ISO 20000.1 e ISO 27001
    Read more
    Go to the archive
    La consulenza che elimina la complessità