18.10.2024 Icon

Today is the day: entra in vigore la direttiva NIS2

La Direttiva NIS2 (Network and Information Systems Directive 2), adottata dal Parlamento Europeo nel dicembre 2022, è entrata ufficialmente in vigore in data 17 ottobre 2024. Essa rappresenta un aggiornamento della direttiva NIS originale, con l’obiettivo di rafforzare ulteriormente la resilienza e la sicurezza delle reti e dei sistemi informativi in tutta l’Unione Europea. Le aziende operanti nei settori essenziali sono chiamate a conformarsi a un insieme più ampio e più stringente di requisiti, pena severe sanzioni.

Uno dei cambiamenti più rilevanti introdotti da NIS2 è l’ampliamento del campo di applicazione. Se la direttiva NIS si concentrava principalmente su settori critici come i servizi finanziari, l’energia e la sanità, la NIS2 estende le sue disposizioni anche a nuove categorie di soggetti. Gli operatori essenziali (essential entities) e rilevanti (important entities) ora includono anche:

  • Pubblica Amministrazione;
  • Fornitori di reti e servizi per la comunicazione elettronica pubblica;
  • Gestione rifiuti;
  • Aerospace;
  • Prodotti critici (es. farmaci, dispositivi medicali, prodotti chimici, ecc.);
  • Servizi postali;
  • Filiera agro-alimentare;
  • Ulteriori piattaforme di servizi digitali (es. data center e social network)

Ciò ovviamente implica che un numero maggiore di imprese è tenuto a rispettare i requisiti della direttiva. È quindi fondamentale per gli operatori identificare il loro status all’interno di questi gruppi, poiché le sanzioni per la non conformità dipendono dalla classificazione come entità essenziale o rilevante. Gli operatori essenziali, infatti, saranno soggetti a una vigilanza più rigorosa e proattiva da parte delle autorità competenti, mentre gli operatori rilevanti riceveranno una supervisione reattiva, cioè le autorità interverranno solo in caso di segnalazione di non conformità

Un aspetto ulteriore e non trascurabile della direttiva NIS2 riguarda l’introduzione di responsabilità personali per le figure apicali delle aziende. I dirigenti potrebbero essere ritenuti direttamente responsabili, il che rappresenta un cambiamento radicale rispetto al passato, quando la responsabilità era perlopiù attribuita all’organizzazione in sé.

Le sanzioni previste sono significative: fino a 10 milioni di euro o il 2% del fatturato annuo globale, a seconda di quale cifra sia più alta. Tale previsione rende chiaro che l’Unione Europea intende adottare un approccio molto severo nella gestione del rischio cibernetico.

Con la deadline fissata al 17 ottobre 2024, le aziende devono agire tempestivamente per essere compliant con la NIS2, in particolare devono:

  • Effettuare una valutazione completa del rischio per identificare vulnerabilità e minacce potenziali.
  • Adottare tecnologie avanzate di sicurezza come intrusion detection systems (IDS), security information and event management (SIEM), e monitoraggio continuo dei rischi.
  • Garantire la segnalazione tempestiva degli incidenti e predisporre piani di risposta che includano notifiche ai Computer Security Incident Response Teams (CSIRT) competenti. È inoltre previsto l’obbligo di notifica alle autorità competenti entro 24 ore dall’identificazione dell’incidente, seguito da una relazione dettagliata entro 72 ore.
  • Integrare misure di sicurezza lungo tutta la catena di approvvigionamento, monitorando fornitori e partner per eventuali falle di sicurezza.
  • Formare i dipendenti: devono garantire che tutto il personale sia adeguatamente formato in materia di cybersicurezza e che le procedure siano costantemente aggiornate.
  • Implementare misure di crittografia e autenticazione: per garantire che i dati sensibili siano protetti da accessi non autorizzati. È obbligatorio adottare procedure di gestione degli asset, che includano l’uso di autenticazione multifattoriale e il monitoraggio costante delle risorse digitali per prevenire violazioni.

Conclusioni

La direttiva NIS2 introduce una serie di requisiti rigorosi per migliorare la resilienza cibernetica delle organizzazioni all’interno dell’Unione Europea. L’introduzione della responsabilità personale, l’ampliamento del campo di applicazione e l’aumento delle sanzioni rendono fondamentale per le aziende l’adozione di un approccio proattivo. Prepararsi per tempo e implementare le misure necessarie sarà essenziale per evitare sanzioni e garantire la continuità operativa nel nuovo panorama normativo.

Autore Gaia Anna Lenoci

Stage

Milano

g.lenoci@lascalaw.com

Desideri approfondire il tema Information Technology ?

Contattaci subito