Da recepire entro il 17 ottobre 2024 da tutti gli Stati membri dell’Unione Europea, la direttiva NIS 2 rappresenta un insieme di norme mirate a garantire un livello comune di sicurezza informatica all’interno dell’UE. L’obiettivo è modernizzare il quadro giuridico esistente per adeguarlo alla crescente digitalizzazione delle imprese e, contemporaneamente, a un panorama in continua evoluzione delle minacce alla cyber security.
NIS 2: requisiti per le imprese
La direttiva NIS2 stabilisce una serie di requisiti minimi di sicurezza per le imprese per migliorare la resilienza della sicurezza informatica dei settori critici in tutta l’UE:
- Gestione del rischio e misure di sicurezza
Le organizzazioni devono implementare una politica completa sulla sicurezza delle informazioni che delinei obiettivi, ruoli e responsabilità di sicurezza. È necessario un quadro di gestione dei rischi per identificare, valutare e mitigare i rischi per la sicurezza informatica, con l’approvazione della direzione dei risultati della valutazione dei rischi e dei piani di mitigazione.
- Segnalazione e gestione delle violazioni
Occorre avere una politica formalizzata sulla gestione degli incidenti. Ciò dovrebbe includere la categorizzazione delle violazioni, protocolli di comunicazione ed escalation, e assegnazione dei ruoli per il rilevamento e la risposta. La policy deve essere integrata con i piani di continuità aziendale e le azioni di risposta devono essere registrate, con la conservazione delle prove forensi per l’analisi post-incidente.
- Sicurezza della catena di approvvigionamento
La direttiva NIS2 sottolinea la necessità di gestire i rischi per la sicurezza informatica nelle relazioni con terze parti. Le entità devono valutare i rischi posti dai loro fornitori e garantire che i requisiti di sicurezza siano integrati nei contratti della catena di fornitura.
- Audit regolari e conformità
Sono richiesti un monitoraggio regolare e audit interni per garantire la conformità alle politiche di sicurezza. Deve essere in atto un sistema di reporting sulla conformità per tracciare e verificare l’aderenza a queste policy e l’efficacia delle misure di sicurezza deve essere periodicamente rivista.
- Formazione e sensibilizzazione sulla cybersecurity per dipendenti e dirigenti
Le organizzazioni devono fornire formazione regolare per i dipendenti e la leadership su temi come l’identificazione dei rischi informatici, la gestione degli incidenti e l’applicazione di politiche di sicurezza interne. In aggiunta, la direttiva richiede attività di sensibilizzazione per promuovere la consapevolezza generale sulla cybersecurity. Ad esempio, come riconoscere email di phishing o applicare pratiche di sicurezza nelle operazioni quotidiane. Questo aiuta a creare una cultura della sicurezza, riducendo il rischio di errori umani e migliorando la risposta agli incidenti.
Settori e campi di applicazione della NIS 2
Le normative previste dalla direttiva NIS2 non si applicano esclusivamente a grandi e medie imprese, ma anche, in alcuni casi, a piccole e microaziende operanti all’interno dell’Unione Europea. Questa estensione è parte di un impegno più ampio da parte dell’UE per garantire una maggiore resilienza e protezione contro le minacce informatiche, in un contesto sempre più interconnesso e vulnerabile agli attacchi.
La normativa copre un ampio spettro di settori critici, tra cui energia, trasporti, servizi bancari, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione dei servizi TIC (Tecnologie dell’Informazione e della Comunicazione), pubblica amministrazione e settore spaziale. Inoltre, i servizi essenziali comprendono anche servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, alimenti, dispositivi medici, prodotti elettronici e ottici, apparecchiature elettriche, veicoli, servizi digitali e ricerca. Le imprese operanti in questi ambiti devono adottare misure adeguate a proteggere i loro sistemi e dati, garantendo la continuità dei servizi essenziali per la sicurezza e il benessere della società.