Big Cover_Aggiornamento Direttiva NIS 2 (1)
IDEAS

Direttiva NIS 2: il nuovo approccio europeo alla gestione del rischio cyber per i settori strategici

What's new?

Cyber Security Advisory

Consulting, Design, Audit ed Education per difendere al meglio i tuoi dati, i tuoi asset e le tue persone

Scopri di più

Entrata in vigore il 17 gennaio 2023, la Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio, nota anche come “NIS 2”, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024, andando così a sostituire la precedente Direttiva NIS (Direttiva UE 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), che ha delineato la prima strategia europea in ambito cybersecurity, stabilendo obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali.

Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione.
 

Considerando 3, Direttiva (UE) 2022/2555

In tale panorama, la dipendenza del mercato europeo e nazionale da efficaci strategie di cybersecurity è innegabile. La sicurezza informatica, infatti, rappresenta, oggi più che mai, un fattore abilitante fondamentale per molti settori critici.

  • Ma quali sono i passi da seguire affinché i soggetti che rientrano nell'ambito di applicazione della nuova Direttiva siano in grado di garantire le misure di gestione dei rischi e gli obblighi di segnalazione previsti?

  • Cosa cambia rispetto alla precedente Direttiva?

La proposta europea per la direttiva NIS2 nel 2020

Quali sono le differenze tra NIS1 e NIS2?
A chi si rivolge la direttiva​​​​​​​ NIS2?

cover direttiva nis2 Vai all'ideas

Assessing the difference: direttive a confronto

La nuova Direttiva conferma la volontà del legislatore europeo di armonizzare i diversi approcci degli Stati membri alla cybersecurity, apportando modifiche strategiche, tra le quali si evidenziano:

  • l’estensione dell’ambito di applicazione, in quanto NIS 2 non solo supera la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, ma include settori nuovi, tra cui acque reflue, spazio, nonché produzione, trasformazione e distribuzione di alimenti;
  • una migliore definizione dei requisiti di cybersecurity risk-management, includendo i temi di supply chain security assessment, information sharing e vulnerability disclosure;
  • un approccio bifasico nei confronti della segnalazione degli incidenti significativi, al fine di trovare il giusto equilibrio tra rapidità e dettaglio;
  • il rafforzamento del sistema sanzionatorio e di vigilanza delle Autorità competenti, specialmente nei confronti dei soggetti essenziali.

NIS 2 essentials: le nuove previsioni normative

La Direttiva NIS 2 richiede agli Stati membri di garantire l’adozione, da parte dei soggetti essenziali e importanti, di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi cyber, nonché per prevenire o ridurre al minimo l'impatto di eventuali incidenti.

Dette misure devono basarsi su un approccio multirischio mirante a proteggere i sistemi informatici e di rete, nonché l’ambiente fisico.

Ma di quali misure si tratta?

I nuovi protagonisti della NIS 2

Mentre la Direttiva UE 2016/1148 aveva come destinatari gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD), NIS 2 classifica le entità come soggetti essenziali e soggetti importanti operanti nei settori di cui agli Allegati I e II. In particolare, NIS 2 si applica ai soggetti pubblici o privati considerati “medie imprese” ai sensi dell'articolo 2, paragrafo 1, dell'Allegato alla Raccomandazione 2003/361/CE o che superano i massimali per le medie imprese, che prestano i loro servizi o svolgono le loro attività all'interno dell'Unione europea.

L’ambito dei settori risulta ampliato, andando ora a coprire tutte le organizzazioni che svolgono funzioni importanti all’interno della società. La Direttiva NIS 2 si applica, infatti, anche a “nuovi” settori come la produzione alimentare, i servizi postali e la gestione dei rifiuti.

La Direttiva prevede dei casi in cui le sue prescrizioni si applicano indipendentemente dalla dimensione dell’impresa. I soggetti che, pur non qualificandosi nemmeno come media impresa, rientrano nell’ambito di applicazione della NIS 2 sono i seguenti:

  • fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico;
  • prestatori di servizi di fiducia;
  • fornitori di registri di nomi di dominio di primo livello e fornitori di servizi DNS;  
  • fornitori unici di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
  • soggetti la cui fornitura di servizi, se perturbata, potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità e salute pubblica, oppure potrebbe avere impatti transfrontalieri;
  • soggetti definiti “critici” ai sensi della Direttiva (UE) 2022/2557 (Direttiva CER).

Rimangono esclusi, invece, gli enti della pubblica amministrazione o i soggetti esentati dagli Stati membri operanti dall’ambito di applicazione del Regolamento (UE) 2022/2554 (Regolamento DORA).

Key Steps: Come prepararsi alla nuova Direttiva NIS 2

Data l'intensificazione e la crescente sofisticazione delle minacce informatiche, la Direttiva NIS 2 richiede agli Stati un maggiore investimento in materia di cybersecurity.

“Confrontando le organizzazioni dell’UE con le loro controparti statunitensi, i dati mostrano che le organizzazioni dell’UE allocano in media il 41% in meno alla sicurezza informatica rispetto alle loro controparti statunitensi”.

European Parliamentary Research Service, The NIS2 Directive A high common level of cybersecurity in the EU, p.5.

Per questo motivo, NIS 2 auspica di poter accrescere la consapevolezza della necessità e dell’urgenza dell’adozione di misure di cybersecurity adeguate da parte delle società operanti nei settori critici all’interno dell’UE.

Anche se NIS 2 dovrà essere recepita dagli Stati membri entro il prossimo ottobre, i soggetti interessati dovrebbero iniziare ad allinearsi alla normativa, implementando almeno i seguenti punti:

Proattivi, Preventivi, Puntuali

Come accennato, nonostante non sia ancora scaduto il termine per il recepimento della Direttiva NIS 2 da parte degli Stati membri, è fortemente consigliato intraprendere un percorso di adeguamento anticipato da parte delle società interessate (e potenzialmente interessate), iniziando a pianificare un’attività di gap analysis per identificare le misure di cybersecurity da implementare, migliorare o mantenere.

Gli adempimenti e gli obblighi posti in capo alle entità che svolgono servizi essenziali o importanti non sono volti a intralciare l’operatività aziendale, ma sono anzi diretti a rimarcare l’importanza che l’impresa ha all’interno del tessuto sociale ed economico del Paese.

Per tale ragione, è sempre consigliabile procedere ordinatamente e per gradi verso la compliance normativa, facendosi assistere da specialisti del settore.

Il Team Advisory di Lutech è pronto per affiancare i Clienti nel processo di adeguamento.

Contatta Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

ideas

Vision & Trends sulla Digital Transformation