COSA E' LA DIRETTIVA NIS2
Il Parlamento europeo e il Consiglio a dicembre 2022 hanno adottato la direttiva (UE) 2022/2555 sulla sicurezza delle reti e delle informazioni (direttiva NIS2 - Network and Information Security 2) che estende gli ambiti e i requisiti prima stabiliti dalla NIS1, identificando il 17 ottobre 2024 come scadenza per il recepimento da parte degli Stati membri.
La direttiva nasce per creare una solida strategia cyber capace di garantire la sicurezza dei servizi digitali in Europa.
Il suo obiettivo principale è quello di rafforzare le misure di sicurezza informatica a livello europeo, prevenendo gli attacchi informatici e garantendo la continuità dei servizi digitali, soprattutto in settori critici come energia, trasporti e servizi finanziari.
Questa nuova direttiva prevede anche l'adozione di misure innovative e di coordinamento tra tutti gli Stati membri, al fine di garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.
La direttiva NIS2 allarga il perimetro di applicabilità introducendo nuove categorie di soggetti che dovranno rispettare standard elevati per quanto riguarda la cybersecurity. Inoltre, gli Stati membri dovranno sviluppare piani nazionali per la cybersecurity e creare team specializzati per l'implementazione dela direttiva.
L'impatto della direttiva NIS2 sulle organizzazioni sarà significativo, poichè saranno obbligate ad adottare misure di sicurezza informatica più rigorose e soprattutto saranno chiamate a migliorare la sicurezza della supply chain.
AMBITO DI APPLICAZIONE
La direttiva NIS2 divide i soggetti, pubblici e privati, che rientrano nel perimetro di applicazione in due categorie: ESSENZIALI e IMPORTANTI. Questa suddivisione è basata su diversi criteri, come ad esempio il settore in cui operano e la dimensione dell'organizzazione.
Soggetti essenziali
Tutti i soggetti dei settori ad alta criticità definiti nell'Allegato 1, dalla dimensione di media impresa in su o che superano i massimali di fatturato e numero dipendenti.
Soggetti importanti
Tutti i soggetti degli altri settori ad alta criticità definiti nell'Allegato 2, dalla dimensione di media impresa in su o che superano i massimali di fatturato e numero dipendenti.
In ambito pubblico l'art.2 stabilisce l'applicazione alle pubbliche amministrazioni:
La direttiva lascia una certa discrezionalità agli Stati membri per l'inserimento "in perimetro" di amministrazioni locali e istituti di istruzione. Restano esplicitamente esclusi i settori pubblici della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, le indagini, l'accertamento e il perseguimento dei reati.
La definizione di media e grande organizzazione viene ripresa dall'allegato alla raccomandazione 2003/361/CE:
LA CYBERSECURITY DAL TECNICO AL TOP MANAGEMENT
La volontà del legislatore europeo è di spostare la gestione della cybersecurity da un tema meramente tecnico, attribuito ai reparti IT, ad uno d'interesse del top management delle imprese e delle PA considerate "in perimetro".
La cybersecurity diventa una responsabilità diretta dell'organo di gestione aziendale.
L'art.20 attribuisce agli organi di gestione lo svolgimento di ruoli cruciali, tra cui:
Il nuovo approccio della NIS2 richiede un impegno condiviso e una gestione puntuale a tutti i livelli aziendali per garantire la sicurezza delle informazioni e la resilienza dei sistemi di fronte alle minacce informatiche.
L'art.21 sopra citato prevede un approccio multirischio nell'adozione delle misure tecniche, operative e organizzative per la gestione dei rischi. E' fondamentale che queste misure siano regolarmente riviste e aggiornate per riflettere l'evoluzione del panorama delle minacce cyber. E' necessario, quindi, implementare un monitoraggio costante ed attuare misure correttive in modo tempestivo.
In caso di mancato adeguamento alla direttiva NIS2 le sanzioni saranno ingenti sia per i soggetti essenziali che per quelli importanti!
Nelle prossime settimane approfondiremo sempre più l'argomento analizzando, tra le altre cose, i settori specifici di interesse, i requisiti fondamentali e le possibili sanzioni.
Contattaci per scoprire se anche tu rientri nel perimetro di applicazione della Direttiva!
06.09.2024
NIS2: recepimento Direttiva e sanzioni
La Direttiva NIS2 è stata recentemente recepita dal CDM...
scopri di più30.07.2024
Sinapsi ottiene il punteggio massimo nel Rating di Legalità!
AGCM assegna il punteggio massimo di 3 stelle a Sinapsi...
scopri di più10.07.2024
Data Center Nextegy, conformità requisiti DNSH & PNRR
Nextegy ha scelto di installare le propri infrastrutture digita...
scopri di più02.07.2024
Evento Exclusive Partner Summit: Focus sulla NIS2
Il 26 luglio Sinapsi ha partecipato all'evento Exclusive tenuto...
scopri di più16.05.2024
Evento Hyperconvergence & Hybrid Multicloud
Il 19 aprile Sinapsi, con la collaborazione di Nutanix e Comput...
scopri di più09.05.2024
Nextegy ottiene le qualifiche QI2 e QC2 da parte dell'ACN
Il 29 aprile l'Agenzia per la Cybersicurezza Nazionale ha attri...
scopri di più