Direttiva NIS 2, la guida completa: applicazioni, sanzioni e recepimento in Italia
NIS è l’acronimo di Network and Information System.
La NIS 1 (Direttiva UE 2016/1148) è stato il primo strumento normativo creato con la finalità di definire un sistema di Cybersecurity tra i diversi Stati membri dell’Unione Europea, ma la sua attuazione è stata fino ad oggi eterogenea dato il livello di discrezionalità conferito agli Stati membri.
La Direttiva NIS 2 (Direttiva Ue 2022/2555) arricchisce e amplia la portata rispetto alla precedente, allargando il perimetro di azione ed introducendo una serie di attività e vincoli in capo ai destinatari, con l’obiettivo di creare un comune livello di cybersicurezza in tutti gli Stati membri dell’Unione europea, sulla base di tre pilastri:
- sistemi e infrastrutture di sicurezza
- gestione degli incidenti
- gestione della continuità aziendale.
Si applica agli stati membri dell’Unione Europea (e le loro agenzie di Cybersecurity locali) ed agli operatori essenziali/ importanti in molti settori.
La Direttiva è entrata in vigore il 17 gennaio 2023, ma gli Stati membri avevano l’obbligo di pubblicare gli atti normativi per recepirla entro e non oltre il 17 ottobre 2024.
L’Italia ha recepito tale Direttiva attraverso il Decreto Legislativo n. 138 del 04/09/2024, pubblicato in Gazzetta ufficiale il 01/10/2024.
Direttiva NIS 2: a chi si applica
La nuova Direttiva NIS2 si applica a due categorie di settori: settori altamente critici e settori critici.
Tra i settori altamente critici (soggetti essenziali) troviamo: energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servici ICT, Pubblica Amministrazione, spazio.
Tra i settori critici (soggetti importanti) troviamo: fornitori di servizi postali (compresi i servizi di corriere); gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; manifatture; fornitori di servizi digitali; ricerca.
Rispetto alla Direttiva NIS 1, la NIS 2 amplia l’ambito di applicazione, chiarendo i livelli di criticità e aggiungendo parametri specifici per individuare i soggetti obbligati, tra cui dimensioni aziendali, fatturato e bilancio annuo, per distinguere medie e grandi imprese.
Tutte le aziende europee di dimensioni medie e grandi, operanti nei settori sopra elencati, sono tenute al rispetto dei requisiti della Direttiva NIS 2.
Cosa prevede la Norma
La Direttiva NIS 2 richiede che ogni Stato membro dell’UE sviluppi una Strategia Nazionale per la Cybersecurity entro tre mesi dall’adozione della normativa. Questa strategia deve includere:
- Obiettivi e priorità in materia di Cybersecurity per i settori “altamente critici” e “critici”;
- Un quadro di governance con ruoli e responsabilità definiti per gli stakeholder a livello nazionale;
- un quadro strategico per il coordinamento tra le autorità nazionali e quelle previste dalla Direttiva NIS 2 dell’UE
- Un progetto per aumentare il livello generale di consapevolezza dei cittadini in materia di Cybersecurity.
Inoltre, gli Stati membri devono garantire che i soggetti essenziali e importanti notifichino tempestivamente qualsiasi incidente significativo al proprio CSIRT o all’autorità competente, entro 24 ore dall’individuazione dell’incidente. In Italia, il ruolo di autorità nazionale competente NIS 2 è stato assegnato all’Agenzia per la Cybersicurezza Nazionale (ACN), che funge anche da punto di contatto unico e da Gruppo di intervento nazionale (CSIRT Italia) per la sicurezza informatica.
Requisiti della Direttiva NIS 2
I requisiti della Direttiva NIS 2 si articolano in cinque aree principali:
- Gestione dei rischi: le aziende devono adottare un sistema di analisi e gestione dei rischi, implementando misure di sicurezza per proteggere i sistemi informatici e monitorando regolarmente l’efficacia di tali misure.
- Continuità operativa: l’obiettivo è garantire la continuità delle attività aziendali, anche in caso di incidenti o emergenze, minimizzando le interruzioni.
- Gestione degli incidenti: le aziende devono avere processi per identificare, gestire e segnalare tempestivamente gli incidenti e un piano di risposta e gestione delle crisi.
- Governance: le organizzazioni devono adottare modelli per una governance efficace della Cybersecurity, includendo la responsabilizzazione della dirigenza e programmi di formazione per tutti i dipendenti.
- Sicurezza della supply chain: garantire la sicurezza dell’intera catena di approvvigionamento e dei rapporti con i fornitori è fondamentale per evitare rischi lungo tutta la filiera.
Questi requisiti sono fondamentali per supportare le aziende nel raggiungere la conformità alla Direttiva NIS 2, promuovendo l’adozione di pratiche di sicurezza informatica avanzate. Seguendo queste linee guida, le imprese possono rafforzare sia la sicurezza dei propri sistemi sia la resilienza complessiva delle infrastrutture critiche, proteggendo così i servizi essenziali da minacce e vulnerabilità.
Implementare tali misure non solo agevola la conformità normativa, ma contribuisce anche a costruire un ambiente digitale più sicuro e stabile per tutti gli attori coinvolti, dal settore pubblico a quello privato.
Uso di schemi di Certificazione della Cybersicurezza
L’articolo 27 del Decreto attuativo italiano – che recepisce la Direttiva NIS 2 – stabilisce che l’Agenzia per la Cybersicurezza Nazionale (ACN) possa richiedere ai soggetti essenziali e importanti di adottare specifiche misure di Certificazione per garantire standard elevati di sicurezza. Tali misure includono:
- l’uso di prodotti e servizi TIC certificati nell’ambito degli schemi europei di Certificazione per la cybersicurezza, che assicura la conformità a requisiti europei condivisi;
- l’impiego di servizi fiduciari qualificati eIDAS per garantire l’affidabilità dei servizi digitali e delle transazioni elettroniche;
- la Certificazione secondo schemi di cybersicurezza riconosciuti, sia a livello nazionale che europeo, in modo da uniformare gli standard di sicurezza.
Questi requisiti di Certificazione sono stati sviluppati per rafforzare la protezione delle infrastrutture critiche e dei servizi essenziali, contribuendo a creare un ambiente digitale più sicuro e affidabile.
Scadenze
La Direttiva NIS 2 è entrata in vigore il 17 gennaio 2023. In Italia, la Direttiva è stata recepita con il Decreto Legislativo n. 138 del 4 settembre 2024, pubblicato in Gazzetta Ufficiale il 1 ottobre 2024.
Le disposizioni previste dalla Direttiva e dal Decreto attuativo sono applicabili a partire dal 16 ottobre 2024.
Sanzioni
La Direttiva NIS 2 introduce modifiche nelle condizioni per l’imposizione di sanzioni amministrative pecuniarie, applicabili ai soggetti non conformi alle normative. Il sistema di sanzioni segue una logica simile a quella di altre normative europee. Le multe per inadempienza possono arrivare fino a:
- 10.000.000 EUR o fino al 2% del fatturato mondiale annuo per le entità classificate come essenziali;
- 7.000.000 EUR o fino all’1,4% del fatturato mondiale annuo per i soggetti considerati importanti.
Queste sanzioni sono state pensate per incentivare una rapida attuazione degli obblighi previsti dalla Direttiva, garantendo elevati standard di cybersicurezza e protezione delle infrastrutture critiche.
Come Adeguarsi alla Direttiva NIS 2
Kiwa offre una serie di servizi pensati per supportare le aziende nell’adeguamento alla Direttiva NIS 2, garantendo la piena conformità e il rafforzamento della sicurezza informatica:
- Assessment di conformità: un’analisi approfondita per verificare lo stato di adeguatezza dell’attuale modello di governance della Cybersicurezza rispetto ai requisiti della Direttiva NIS 2. Durante l’assessment verranno esaminati vari aspetti, come l’adeguatezza dei contratti con i fornitori, l’efficacia dei processi di Demand Management e Incident Management, la presenza di una Business Impact Analysis (BIA) e la capacità del sistema informativo di supportare i requisiti della BIA.
- Formazione specializzata: Offriamo corsi interaziendali e corsi in-house (presso l’azienda) per formare il personale sulla gestione della Cybersicurezza e sui nuovi obblighi previsti dalla NIS 2. Nello specifico:
- Certificazione ISO: verifiche di terza parte per l’ottenimento della Certificazione ISO/IEC 27001:2022 per il sistema di gestione della sicurezza delle informazioni, la Certificazione ISO/IEC 22301 per la continuità del business, o la Certificazione ISO 28001 per la sicurezza della supply chain.
- Certificazione eIDAS: verifiche di terza parte per l’ottenimento della Certificazione come provider di servizi fiduciari qualificati, in conformità con il regolamento eIDAS, per garantire la sicurezza nelle transazioni digitali.