NIS2, acronimo di “Network and Information Systems”, è la direttiva sulle misure per un livello comune elevato di cyber sicurezza in tutta l’Unione. La direttiva NIS 2 ha aggiornato la precedente NIS 1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia. La NIS2, emanata il 27 dicembre 2022, mira a colmare le lacune della precedente normativa NIS1 per rispondere alle crescenti minacce informatiche in un panorama digitale sempre più complesso e interconnesso.

Nei giorni scorsi il governo ha approvando lo schema di decreto legislativo che include le misure della Strategia Nazionale di Cyber sicurezza, la definizione di soggetti critici e gli obblighi specifici per soggetti essenziali e importanti dei quali fa riferimento la NIS2.

Cosa stabilisce la Normativa NIS2?

La direttiva NIS 2 stabilisce le norme minime che tutti gli Stati membri devono rispettare per garantire una maggiore armonizzazione di legislazioni e procedure di cyber sicurezza.

Con la direttiva NIS 2 vengono inoltre previsti dei meccanismi di cooperazione tra le autorità nazionali di cybersecurity e viene introdotta una rete europea per le crisi informatiche (EU-CyCLONe) che prevede la gestione coordinata degli incidenti e delle crisi di cyber sicurezza.

La direttiva prevede poi una serie di obblighi necessari per innalzare il livello di sicurezza informatica nel mercato europeo, alcuni dei quali in capo singoli Stati e altri rivolti alle imprese:

• Gli Stati membri devono adottare strategie di cybersecurity nazionali, creare autorità nazionali di cyber sicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (i cosiddetti CSIRT); rispettare obblighi di vigilanza ed esecuzione.

• Le imprese devono rispettare gli obblighi di gestione dei rischi di cyber sicurezza e di segnalazione che vedremo nel dettaglio in seguito.

Chi deve Adottare la Normativa NIS2 in Italia?

Lo schema di decreto italiano prevede obblighi principali per diverse categorie di soggetti, tra cui in particolare i soggetti “essenziali” e “importanti”, gli “organi di amministrazione e direttivi”, e i soggetti che forniscono servizi di infrastrutture digitali.

In generale, rientrano in queste categorie le medie e grandi imprese appartenenti (ma non esclusivamente) ai seguenti settori merceologici:

• Energia: Compagnie energetiche, operatori di rete e fornitori di servizi.
• Trasporti e Automotive: Aeroporti, porti, ferrovie e operatori di trasporto pubblico.
• Sanità: Ospedali, cliniche e fornitori di servizi sanitari digitali.
• Bancario e Finanziario: Istituti bancari, servizi di pagamento e borse valori.
• Acqua Potabile: Fornitori di acqua e servizi di gestione delle risorse idriche.
• Infrastrutture Digitali: Provider di servizi cloud, data center e reti di comunicazione elettronica.
• Gestione dei rifiuti: servizi di raccolta e smaltimento rifiuti urbani e industriali.
• Prodotti alimentari e bevande.

Quali sono gli obblighi per le aziende interessate dalla Direttiva NIS2?

La normativa NIS2 rappresenta un passo significativo verso il miglioramento della sicurezza informatica in Europa. Le aziende devono prepararsi per essere in grado di adottare le nuove disposizioni e proteggere il loro sistema IT, contribuendo così alla resilienza delle infrastrutture critiche europee. In particolare, viene richiesto l’intervento in attività specifiche quali:

• Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• Creare piani di gestione degli incidenti informatici;
• Assicurare la continuità operativa tramite azioni quali la gestione dei backup e il ripristino in caso di disastro, unitamente alla crisis response;
• Garantire la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori;
• Mettere in sicurezza gli asset informatici e di rete in ogni fase, dallo sviluppo alla manutenzione;
• Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cyber sicurezza;
• Creare e rispettare pratiche di igiene informatica di base e garantire formazione in materia di cybersecurity;
• Stabilire politiche e procedure relative all’uso della crittografia e della cifratura;
• Garantire la sicurezza informatica per il personale, impostando strategie di controllo dell’accesso e gestione degli operatori;
• Usare soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
• Segnalare tempestivamente gli incidenti informatici e le criticità annesse sul portale del CSIRT (Computer Security Incident Response Team).

Conclusioni

In un mondo sempre più digitale e connesso, la sicurezza informatica non è solo una necessità tecnica, ma un imperativo strategico per la sicurezza, la continuità e il successo a lungo termine dell’Unione Europea. Attraverso l'adozione delle misure previste dalla NIS2, le organizzazioni saranno in grado di migliorare la loro capacità di prevenire, rilevare e rispondere alle minacce informatiche, proteggendo così i loro asset e la fiducia dei loro clienti.

Con soluzioni e tecnologie all’avanguardia, che rispondono ai più stringenti requisiti di sicurezza imposti dalla normativa NIS2 siamo in grado di accompagnare le imprese coinvolte nell’adozione di tutti i requisiti previsti, garantendo protezione e compliance in tutta la catena del valore.