La Direttiva NIS2 sulla sicurezza delle reti e delle informazioni è una misura normativa volta a stabilire un livello comune più elevato di sicurezza informatica per le organizzazioni che operano nell’UE.

La NIS2 si basa sui precedenti requisiti di sicurezza informatica della NIS, rispetto a questa oltre ad aumentare le sanzioni, amplia i controlli di sicurezza della catena di approvvigionamento, la valutazione e la revisione dei rischi, la segnalazione degli incidenti e altri controlli chiave.

In sostanza, le aziende devono adottare misure per garantire un livello adeguato di protezione della sicurezza informatica, tenendo conto del settore, delle dimensioni, del fatturato e del livello di esposizione agli attacchi informatici.

Garantire la conformità a questi requisiti ampliati può sembrare un’impresa titanica, ma non è così.

Misure di sicurezza informatica di base

La direttiva NIS 2 impone misure di sicurezza informatica di base per le entità Essenziali e Importanti di vari settori. Queste misure si concentrano su un approccio di gestione del rischio, che richiede alle entità di condurre valutazioni periodiche dei rischi, implementare operazioni di salvaguardia tecniche e organizzative (come firewall e controlli degli accessi) e stabilire procedure per rilevare, segnalare e rispondere agli incidenti di sicurezza.

La direttiva NIS 2 impone agli Stati membri dell’UE di garantire che le entità Essenziali e Importanti adottino misure di sicurezza informatica appropriate. Queste misure devono essere adattate ai rischi specifici della rete e dei sistemi informatici dell’entità. Ad esempio, misure per prevenire incidenti, ridurre al minimo il loro impatto sui destinatari del servizio e su altri servizi e, infine, mantenere un livello di sicurezza in linea con i potenziali rischi.

Fattori come i progressi tecnologici, gli standard di sicurezza europei e internazionali e i costi di implementazione devono essere presi in considerazione al fine di stabilire le misure appropriate. Inoltre, la proporzionalità di queste misure deve essere valutata in base alle dimensioni dell’entità, alla probabilità e alla gravità di potenziali incidenti (compresi gli impatti sociali ed economici) e all’esposizione complessiva dell’entità alle minacce informatiche.

Fra le misure di base delineate nella direttiva NIS 2 figurano:

  • Policy di analisi dei rischi e di sicurezza dei sistemi informatici
  • Gestione degli incidenti
  • Un piano di continuità operativa che includa gestione del backup, disaster recovery e gestione delle crisi
  • Policy e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica
  • Prassi di educazione informatica di base e formazione in materia di sicurezza informatica
  • Policy e procedure relative all’uso della crittografia e, se del caso, della codifica
  • Sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse
  • Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascuna entità e i suoi diretti fornitori o fornitori di servizi Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità

Sanzioni per le violazioni della direttiva NIS 2

La NIS 2 impone pesanti sanzioni in caso di non conformità, la cui gravità dipende dalla classificazione dell’entità (Essenziale o Importante) e dallo Stato membro che applica la direttiva. Sono definite ammende massime e l’effettiva sanzione inflitta sarà determinata dall’autorità competente in ciascuno Stato membro dell’UE, in base alla gravità della non conformità.

È importante tenere presente che le sanzioni pecuniarie non sono l’unica conseguenza della non conformità, che può infatti causare anche un danno reputazionale significativo, ragione per cui le entità Essenziali e Importanti non possono sottovalutare la direttiva e devono attuare tutte le necessarie misure di sicurezza informatica.

I requisiti di conformità della direttiva NIS 2

La direttiva NIS 2 classifica le entità in due gruppi, in base alla criticità dei loro servizi: “Essenziali” e “Importanti”. Le entità sono identificate all’interno degli Allegati I e II della direttiva.

Entità Importante

  • Minimo 50 dipendenti
  • Fatturato minimo di 10 milioni di euro o bilancio annuale di 10 milioni di euro

Entità Essenziale

  • Minimo 250 dipendenti
  • Fatturato minimo di 50 milioni di euro o bilancio annuale di 43 milioni di euro

Allegato I (Importanti e Essenziali)

  • Energia: elettricità, teleriscaldamento e raffrescamento, petrolio, gas, idrogeno
  • Trasporti: aerei, ferroviari, via acqua, su strada Gestione dei rifiuti
  • Banche
  • Infrastrutture del mercato finanziario
  • Salute
  • Acqua potabile
  • Acque reflue
  • Infrastruttura digitale
  • Gestione dei servizi con tecnologie di informazione e comunicazione
  • Pubblica amministrazione
  • Aerospazio

Allegato II (SOLO Importanti)

  • Servizi postali e corrieri
  • Fabbricazione, produzione e distribuzione di prodotti chimici
  • Produzione, lavorazione e distribuzione di alimenti
  • Fornitori digitali
  • Ricerca
  • Attività manifatturiera: dispositivi medici, prodotti informatici/elettronici/ottici, apparecchiature elettriche, macchinari, veicoli a motore, rimorchi, semirimorchi

Jump Computer può semplificare la conformità alle normative NIS 2 offrendo un’unica piattaforma per gestire vari servizi di sicurezza, tra cui la prevenzione delle intrusioni, la protezione degli endpoint e l’autenticazione a più fattori.

Questo consolidamento semplifica il reporting, il rilevamento delle minacce e la protezione generale, facendo in modo che sia più facile per le entità soddisfare i severi requisiti per la sicurezza informatica della direttiva.

Con noi potrai tracciare la giusta rotta per raggiungere la conformità NIS2

CONTATTACI