La Direttiva NIS 2 ha introdotto nuovi obblighi per le aziende dell’Unione Europea, al fine di garantire standard di sicurezza informatica più elevati per le organizzazioni del pubblico e del privato. Prevenire attacchi informatici, proteggere privacy e dati sensibili diventa un imperativo. La normativa sta quindi esercitando un forte impatto sugli obblighi legali delle organizzazioni, ma non solo. L’adeguamento delle misure di sicurezza informatica ai nuovi standard europei rappresenta un importante cambiamento nella cultura della cybersecurity nazionale. La Direttiva NIS 2 può essere interpretata, infatti, come un vero e proprio strumento strategico, per spingere le aziende verso una maggiore consapevolezza e responsabilità nell’ambito della sicurezza informatica. Approfondiamo più nel dettaglio l’argomento con questo articolo.
La sicurezza informatica, una priorità a livello globale
Secondo i dati raccolti dal rapporto Clusit 2023, negli ultimi 5 anni il numero degli attacchi informatici a livello globale ha segnato una crescita del +60%. Si registra una crescita tanto in termini di frequenza, che di gravità degli attacchi. Cresce infatti anche l’entità dei danni registrati a seguito di attacchi hacker, con conseguenze molto gravi per le imprese, sia dal punto di vista economico che reputazionale. Per questo, elevare gli standard di sicurezza informatici diventa una priorità. Con la direttiva NIS 2 istituzioni europee si sono mosse in questo senso.
Cos’è la direttiva NIS 2?
La direttiva NIS 2 (Direttiva UE 2022/2555) è l’aggiornamento della normativa europea sulla cybersicurezza, ovvero la normativa “Network and Information Security”. Questa disposizione è nata con lo scopo di uniformare il livello di cybersicurezza di tutti gli Stati membri dell’Unione Europea. La NIS propone infatti di armonizzare gli approcci degli Stati membri dell’UE per migliorare la sicurezza delle infrastrutture digitali europee, condividendo linee normative e best practice. Questa normativa si colloca nel quadro di altri provvedimenti europei finalizzati a garantire maggiore sicurezza alle infrastrutture informative europee, come il GDPR e il Cyber Resilience Act.
La direttiva europea NIS 2 è entrata in vigore il 17 gennaio 2023. In Italia, il Decreto Legislativo n. 138, che recepisce la NIS2, è stato pubblicato il 1° ottobre 2024 e applicato dal 16 ottobre 2024.
Sicurezza informatica e NIS2: gestire i rischi e proteggere i dati
La Direttiva NIS 2 fissa obblighi più dettagliati e segnalazioni tempestive. Si richiede maggiore attenzione nell’analisi dei rischi, una pronta gestione degli incidenti, al fine di garantire continuità operativa e maggiore sicurezza della catena di approvvigionamento. Inoltre, si rafforzano le misure per la protezione dei dati, con una maggiore attenzione al controllo degli accessi, ricorrendo a strumenti come l’autenticazione a due fattori. Gli enti interessati dovranno quindi gestire autonomamente il rischio informatico, ricorrendo a “misure tecniche e organizzative adeguate e proporzionate“.
A chi si rivolge la Direttiva NIS 2?
La Direttiva NIS2 è rivolta alle organizzazioni europee operanti tanto nel pubblico che nel privato, in particolare a quelle attività operative in 11 settori essenziali (entità essenziali, EE) e in 7 settori importanti (entità importanti, IE). Tra le entità essenziali possiamo annoverare quelle che operano in settori come l’energia, il trasporto, la sanità, i servizi idrici e i servizi bancari. Tra le entità importanti possiamo annoverare le organizzazioni attive nei servizi postali, nella gestione dei rifiuti, nel mercato alimentare, nella chimica e nella fornitura di servizi digitali. In questo senso, la NIS 2 introduce novità significative rispetto alla precedente Direttiva NIS. Per esempio, elimina la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD). Settori a rischio come data center, cloud e servizi sanitari vengono tutti riconosciuti come critici.
Quali sanzioni si applicano in caso di mancata conformità alla Direttiva NIS 2?
La mancata conformità alla Direttiva NIS 2 comporta sanzioni di notevole entità. Nell’art.34 della Direttiva si fissa una sanzione pari a un massimo di almeno 7.000.000 € o a un massimo di almeno l’1,4% del totale del fatturato mondiale annuo per le Entità Importanti (EI) e pari a un massimo di almeno 10.000.000 € o a un massimo di almeno il 2% del totale del fatturato mondiale per le Entità Essenziali (EE).
La Direttiva NIS 2 come orientamento strategico
La Direttiva NIS 2 rappresenta un profondo cambio di mentalità in materia di sicurezza informatica, contribuendo ad affermare un nuovo approccio, sempre più integrato e condiviso. Ad esempio, molto importante in questo senso è la volontà di istituire una rete europea di per affrontare le crisi informatiche come l’EU-CyCLONe (European Cyber Crisis Liaison Organisation Network). Questo network punta a promuovere la condivisione di informazioni e la cooperazione tra le autorità dei singoli Stati membri europei.
Conformarsi alla Direttiva NIS 2 è essenziale per ridurre i rischi, migliorare la sicurezza operativa di un’organizzazione, promuovendo una cultura aziendale orientata alla cybersecurity. Per questo, noi di ilger.com stiamo affrontando il tema degli impatti sulle aziende, scadenze e percorso adeguamento, anche organizzando anche eventi sul tema in collaborazione con Fastweb, 7Layers e Trend Micro. Per saperne di più, segui la nostra pagina LinkedIn, o contattaci subito. I nostri esperti risponderanno a tutte le tue domande in materia di sicurezza informatica per la tua azienda.