La Direttiva NIS 2 è una normativa dell'Unione Europea che ha lo scopo di migliorare la sicurezza informatica all'interno dell'UE. Si applica a tutti gli Stati membri e impone agli operatori di servizi essenziali (OSE) e agli operatori di servizi critici (OSC) l'adozione di misure di sicurezza adeguate per proteggere i propri sistemi e dati informatici.

Che cos'è la Direttiva NIS 2

La Direttiva NIS 2, entrata in vigore il 17 gennaio 2023, è una revisione della Direttiva NIS originale (pubblicata nel 2016) e introduce una serie di novità. Vediamo le principali.

Estensione della portata della normativa.. La nuova direttiva si applica a un numero maggiore di aziende, tra cui i fornitori di servizi cloud e le aziende che utilizzano grandi quantità di dati personali
Rafforzamento degli obblighi di sicurezza.. Si impone agli OSE e agli OSC l'adozione di misure di sicurezza più stringenti, tra cui l'obbligo di effettuare una valutazione del rischio e di adottare misure di risposta agli incidenti.
Maggiore coinvolgimento delle autorità di vigilanza. Si prevede un ruolo più attivo delle autorità di vigilanza, che possono imporre sanzioni alle aziende che non rispettano la normativa.

Quali aziende sono obbligate a rispettare la nuova normativa

La Direttiva NIS 2 si applica a due categorie di aziende.

Operatori di servizi essenziali (OSE):
sono le aziende che forniscono servizi essenziali per la società, come l'energia, l'acqua, i trasporti, le banche, le assicurazioni e la salute.

Operatori di servizi critici (OSC):
sono le aziende che forniscono servizi critici per l'economia, come le infrastrutture digitali, i fornitori di servizi cloud e le aziende che utilizzano grandi quantità di dati personali.

La tua azienda rientra tra quelle che devono adeguarsi al NIS 2?

Contatta il nostro team per una consulenza personalizzata.

Contattaci

Cosa fare per adeguarsi

La direttiva stabilisce che i soggetti obbligati devono adottare misure di sicurezza adeguate e proporzionate per gestire i rischi che minacciano i sistemi informatici e le reti che utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.

In sintesi per adeguarsi alla Direttiva NIS 2, le aziende devono seguire i seguenti passaggi.

1

Valutazione del rischio

Il primo step è valutare il rischio di sicurezza a cui è esposta l'azienda, ad esempio attraverso un vulnerability assessment.

2

Implementazione di misure di sicurezza adeguate

Sulla base della valutazione del rischio, le aziende devono adottare misure di sicurezza adeguate per mitigare i rischi identificati. Sarà quindi opportuno adottare una strategia risk-based o multirischio.

3

Sviluppo di un piano di gestione degli incidenti

i soggetti devono creare un piano di risposta agli incidenti informatici (Data Breach Recovery Plan), che definisca in modo dettagliato le procedure da seguire in caso di incidente.

3

Formazione del personale

Il personale dell'azienda deve essere formato sulla sicurezza informatica, al fine di comprendere i rischi e le misure di sicurezza da adottare.

3

Monitoraggio e aggiornamento continui

Le aziende hanno la responsabilità di verificare costantemente il livello di sicurezza dei propri sistema ed essere pronte ad adeguarli in tempi brevi in caso di necessità.

Sanzioni per il mancato adeguamento

Le sanzioni previste per le aziende che non rispettano la Direttiva NIS 2 variano in base alla gravità dell'infrazione e possono essere pecuniarie, interdittive o di altro tipo. In Italia vengono applicate dall'Autorità Garante per la Protezione dei Dati Personali (AGPD) e prevedono:

multe fino a 10 milioni di euro o fino al 2% del fatturato globale annuo dell'azienda, se superiore a 10 milioni di euro;
sanzioni interdittive, come il divieto di operare in un determinato settore o di fornire determinati servizi.

Le sanzioni interdittive possono essere applicate nei casi di violazione grave o reiterata degli obblighi previsti dalla normativa, ad esempio:

non effettuare una valutazione del rischio di sicurezza;
non adottare misure di sicurezza adeguate;
non comunicare agli enti di notifica un incidente informatico che ha un impatto significativo;
non fornire informazioni o documentazione richieste dall'AGPD.

Principali ostacoli all'implementazione efficace

La Direttiva NIS 2 ha avuto un notevole impatto sul panorama della sicurezza informatica. Obbligando le aziende a confrontarsi con questa tematica infatti ha portato a nuovi ragionamenti e ad un necessario aumento della consapevolezza verso una tematica sempre più fondamentale. Non si tratta però di una normativa semplice. Vediamo quindi i principali ostacoli all'implementazione efficace.

La complessità della normativa.
Si tratta di una normativa complessa, che richiede alle aziende e alle organizzazioni una revisione dei processi aziendali e un radicale cambiamento di mentalità.
La mancanza di risorse.
L'implementazione richiede l'investimento di risorse economiche e umane. Questo può rappresentare un ostacolo per le aziende che operano in un contesto economico difficile o che hanno difficoltà a reperire personale qualificato in materia di sicurezza informatica.
La mancanza di consapevolezza.
La sicurezza informatica è stata negli anni spesso sottostimata e vista come mero costo. La scarsa awareness sulla tematica rende spesso difficile comprendere il valore delle attività e quindi attuare nel modo corretto le direttive necessarie alla compliance.

Per superare questi ostacoli, è consigliabile affidarsi a professionisti della sicurezza informatica che possano assumere il ruolo di partner in questa importante transizione.

Soter come partner per la compliance alla NIS 2

Il team Soter affianca quotidianamente aziende operative in settori coinvolti dalla normativa, supportandole nell’introduzione dei nuovi processi con particolare attenzione all’ottimizzazione delle risorse. Oltre a possedere un profondo know-how in ambito cyber e offensive security, abbiamo una vision molto chiara del nostro ruolo di professionisti. Siamo infatti guidati dalla forte convinzione che sia necessario sviluppare una vera e propria cultura della sicurezza informatica nelle aziende. Per questo oltre ad una vasta gamma di servizi operativi, offriamo attività di formazione per i dipendenti e supporto consulenziale ai responsabili aziendali.

L'adeguamento alla Direttiva NIS 2 è un processo complesso che richiede un impegno da parte dell'azienda. Tuttavia, è un investimento necessario per proteggere i dati e i sistemi informatici.