NIS2: Un nuovo fattore DETERMINANTE
Molte aziende con sede nell’Unione europea dovranno intraprendere urgentemente il percorso che le porterà ad allinearsi ai nuovi, stringenti requisiti di sicurezza stabiliti dalla Direttiva NIS2. Non si tratta solo di rispettare la legge, ma anche di aumentare la sicurezza informatica, a beneficio di tutta la comunità.
In sintesi
- NIS2 è la nuova direttiva UE finalizzata al miglioramento della sicurezza informatica delle infrastrutture di importanza critica, che si rivolge a una platea di aziende di svariati settori più ampia rispetto alle precedenti normative NIS.
- Tutti gli stati membri dell’UE dovranno implementare questi requisiti legali minimi a livello nazionale, entro ottobre 2024.
- NIS2 esige chiari standard di cybersecurity, analisi del rischio, gestione della risposta agli incidenti e sicurezza nella catena di approvvigionamento.
Le infrastrutture critiche sono sempre più spesso il bersaglio degli hacker. Ecco perché nel 2022 l’Unione Europea ha ampliato l’ambito di applicazione delle misure definite nella
Direttiva sulla sicurezza dei sistemi informativi e delle reti (Network and Information Security, NIS) introdotta nel 2016. I nuovi regolamenti NIS2 (EU 2022/2555), concepiti per aumentare il grado di sicurezza
informatica delle “infrastrutture critiche” (critical infrastructures, CRITIS), sono entrati in vigore quest’anno.
Le precedenti versioni della Direttiva riguardavano le organizzazioni operanti nei settori dell'energia, della sanità, dei trasporti, dei servizi bancari e finanziari, delle infrastrutture
digitali, dei provider dei servizi digitali e dell'approvvigionamento di acqua. La Direttiva NIS2, invece, include un numero più ampio di imprese e istituzioni con più di 250 dipendenti, un
fatturato annuale maggiore di 50 milioni di euro (54 milioni di dollari), o asset superiori a 43 milioni di euro (46,7 milioni di dollari). Il provvedimento si rivolge a
organizzazioni operanti in ambiti ritenuti importanti o essenziali per l'economia o la società, come ad esempio le aziende di produzione, trasformazione e distribuzione dei
generi alimentari, i produttori di apparecchi elettronici, dispositivi medici e altri prodotti, servizi postali e corrieri, centri dati, aziende di gestione dei rifiuti e altre ancora.
Vi sono poi altre organizzazioni soggette alle norme NIS2 che rientrano nel campo di applicazione della Direttiva indipendentemente dalla dimensione, come ad esempio reti o
servizi di comunicazione elettronica ad uso pubblico, prestatori di servizi fiduciari, fornitori di servizi di registrazione di domini e di servizi DNS, o i prestatori unici nazionali di
servizi la cui interruzione potrebbe causare un impatto significativo sull’ordine pubblico, sulla sicurezza o sulla salute.
Quali sono i settori essenziali?
Inoltre, i seguenti settori sono attualmente considerati “essenziali” all’interno di tutto il territorio dell’Unione: energia, trasporti, banche, infrastrutture del mercato
finanziario, sanità, acqua potabile, acque di scarico, infrastrutture digitali, gestione dei servizi di tecnologia dell’informazione e della comunicazione (TIC), pubblica amministrazione e
spazio.
A livello nazionale, tutti gli stati membri dell’UE dovranno implementare i requisiti minimi statutari in materia di sicurezza informatica entro ottobre 2024. In Germania,
ad esempio, la seconda bozza della legislazione riguardante il recepimento della Direttiva è disponibile da luglio 2023 e attende solo la conferma dell’amministrazione federale.
Quali sono i nuovi requisiti?
Le aziende destinatarie della Direttiva NIS2 dovranno allinearsi a un chiaro insieme di requisiti in materia di analisi del rischio cibernetico, sicurezza informatica
(safety e security), valutazione e implementazione di misure di sicurezza, risposta
agli incidenti e reporting, gestione delle situazioni di crisi e formazione. NIS2 aumenta inoltre notevolmente l’enfasi sulla gestione del rischio e sulla sicurezza della catena di
approvvigionamento.
In un prossimo articolo del blog descriverò le misure che le aziende dovranno adottare per soddisfare i requisiti NIS2 e in che modo l’UEM può contribuire alla fase di implementazione.
Minimizzazione del rischio di phishing
Il phishing è una delle modalità più diffuse di attacco cibernetico. La nostra checklist gratuita indica una serie di accorgimenti, di facile implementazione, che possono ridurre significativamente il rischio di danni provocati dagli attacchi di phishing.