La Commissione europea ha introdotto una direttiva riveduta sulla sicurezza delle reti e dell'informazione (NIS2) che entrerà in vigore il 17ottobre 2024. Si basa sul quadro normativo originario in materia di cibersicurezza delle1 NIS e interessa sia le imprese del settore pubblico che quelle private nel settore delle infrastrutture e/o dei servizi critici (KRITIS).
In questo articolo, gli esperti di Nitro forniscono una panoramica completa delle2 NIS e informazioni utili sui requisiti di conformità per questo regolamento in sospeso. Questo articolo non intende costituire una consulenza legale.
Che cos'è NIS2?
Per ottenere una forte comprensione della2NIS, è importante comprendere le disposizioni della1NIS. Secondo la Commissione europea, la1 NIS – nota anche come direttiva NIS – è stato "il primo strumento orizzontale del mercato interno volto a migliorare la resilienza delle reti e dei sistemi informativi nell'Unione [europea] contro i rischi di sicurezza informatica". Con l'aumento della digitalizzazione, la Commissione ha individuato alcune carenze dei1 della sicurezza delle reti e delle reti e dei dati e ha successivamente sviluppato2della sicurezza delle reti e dell'informazione.
NIS2 si applica alle aziende KRITIS che hanno più di 50 dipendenti o un fatturato annuo di10 milioni di euro. Poiché NIS2 amplia l'ambito delle entità incluse nel regolamento, altre organizzazioni possono essere soggette alle nuove regole anche se non hanno tali dimensioni o qualifiche di reddito. Anche le entità all'interno della catena di approvvigionamento di un'organizzazione coperta possono rientrare nell'ambito di applicazione della2NIS. Inoltre, gli Stati membri dell'UE possono emettere le proprie proroghe della sentenza.
Con l'introduzione della2NIS, le organizzazioni sono tenute a implementare una serie di misure di sicurezza e procedure di segnalazione, tra cui la gestione del rischio, la sicurezza della catena di approvvigionamento e un'adeguata risposta agli incidenti. I suoi obiettivi sono migliorare la resilienza e le capacità di risposta agli incidenti dei settori pubblico e privato, delle autorità competenti e dell'UE.
Chi è interessato dalla2NIS?
Si stima che2 100000 organizzazioni in tutta l'UE, oltre a quelle che già rientrano nella1dei NIS. L'ambito dei settori è passato da sette a 18e comprende:
- Trasporto
- Settore bancario
- Mercati finanziari
- Acqua potabile
- Infrastruttura digitale
- Energia
- Salute
- Servizi postali e di corriere
- Produzione di prodotti critici
- Acque reflue e gestione dei rifiuti
- Pubblica amministrazione
- Spazio
- Ricerca
- Servizi digitali
- Produzione, lavorazione e distribuzione alimentare
- Telecomunicazioni
- Produzione, produzione e distribuzione di sostanze chimiche
- Fornitori di servizi digitali
Cosa richiede2 NIS?
Di seguito sono riportati i nuovi requisiti e obblighi per le organizzazioni che rientrano nell'ambito di applicazione della2NIS.
Gestione del rischio più forte
La direttiva presenta un elenco minimo di misure di sicurezza che le entità devono adottare per ridurre al minimo il rischio informatico, tra cui, a titolo esemplificativo ma non esaustivo, la gestione degli incidenti, la sicurezza della catena di approvvigionamento, la crittografia, la continuità aziendale e le politiche di analisi dei rischi. In particolare, le2 NIS richiedono alle organizzazioni di disporre di piani che entrino in vigore durante e dopo un incidente, come le misure di backup, la garanzia dell'accesso ai propri sistemi IT, il ripristino di dati e sistemi, la procedura per un team di risposta alle crisi e altro ancora.
Processi di reporting più rigorosi
La2 della sicurezza delle reti e delle reti intensifica gli obblighi di segnalazione dei soggetti che subiscono un incidente di sicurezza. Le organizzazioni possono avere diversi organismi a cui devono segnalare un incidente, inclusi i clienti. Alcuni incidenti possono rientrare in una categoria di violazioni che richiedono il rispetto di scadenze di notifica di 24ore.
Sicurezza della catena di approvvigionamento
La direttiva richiede alle organizzazioni di garantire che i propri fornitori e partner lungo le loro catene di approvvigionamento conducano la gestione del rischio e aderiscano a determinate politiche. Questo cambiamento è ciò che può interessare molte entità che non rientrano direttamente nell'ambito di applicazione della2NIS, ma che operano come membri della catena di approvvigionamento di tali società.
Responsabilità del management
NIS2 mira a responsabilizzare la leadership aziendale per il proprio ruolo nella sicurezza informatica e stabilisce sanzioni in caso di mancato rispetto. La direzione deve essere formata sulle misure di sicurezza e può essere ritenuta responsabile, o addirittura rimossa dalle posizioni dirigenziali, in caso di violazioni.
Cosa fare se si è affetti da2NIS
Il primo passo per qualsiasi organizzazione che sospetti di poter rientrare nell'ambito di applicazione del NIS2è determinare se ne sono interessate.
La2 NIS cambia il modo in cui le organizzazioni vengono classificate in entità "essenziali" e "importanti". Ogni categoria è soggetta a una supervisione e a un'applicazione diverse.
Entità essenziali** (EE) | Entità importanti** (IE) |
+250 +50ME | +50 +10milioni di euro |
Energia, Trasporti, Acqua e acque reflue, Mercati finanziari, Banche, Pubblica amministrazione, Servizi ICT, Infrastrutture digitali, Sanità, Spazio | Postale, rifiuti, farmaceutico, chimico, manifatturiero, produzione alimentare, fornitori digitali, ricerca |
Sarà quindi necessario valutare le misure e le politiche di sicurezza esistenti per ottenere una comprensione di base di come è possibile rispettare le2NIS. La società di ricerca PwC raccomanda di utilizzare un framework di controlli di sicurezza informatica che mappi "controlli specifici in funzione all'interno dell'azienda a ciascuna clausola2 NIS per aiutare a informare l'utente sulle aree in cui l'organizzazione non è attualmente in grado di soddisfare i propri obblighi di2 NIS".
Nell'ambito della valutazione, ti consigliamo di considerare se il tuo Stato membro dell'UE prevede di implementare i propri requisiti di conformità. Ad esempio, la Germania prevede di implementare NIS2UmsuCG il 1ottobre 2024.
Dovresti quindi testare i tuoi strumenti e processi come la risposta agli incidenti, la gestione delle crisi, la continuità aziendale e il failover e le procedure di emergenza. In definitiva, è l'ideale testare qualsiasi processo relativo alla tua capacità di rispettare le2NIS.
È anche importante esaminare la cultura organizzativa e l'approccio alla sicurezza informatica per assicurarsi che i membri del team siano allineati sulla conformità e che la direzione stia facendo la dovuta diligenza.
Le conseguenze della2 di sicurezza delle reti e dell'informazione
In caso di violazione di determinati requisiti, i soggetti essenziali possono essere sanzionati con un'ammenda massima di almeno10000000 EUR o fino ad un massimo di almeno il 2% del fatturato mondiale totale annuo dell'esercizio finanziario precedente. Gli enti importanti possono essere multati con una multa massima di almeno7€ ,000,000 o fino a un massimo di almeno 1.4% del fatturato mondiale annuo totale dell'anno finanziario precedente.
Come mantenere la2NIS -compliant con Nitro
Nitro è un fornitore di soluzioni PDF ed eSign con un'impronta globale, specializzato nel supporto della sicurezza e della conformità dei documenti per le organizzazioni con sede nell'UE. Offriamo soluzioni documentali avanzate che garantiscono la sicurezza e l'integrità dei documenti digitali sia per la tua organizzazione che per i partner lungo tutta la tua supply chain.
Con Nitro, le aziende possono implementare rigorosi controlli di accesso, crittografia, oscuramento dei dati e firme digitali , tutti elementi essenziali per mantenere la conformità con gli obblighi avanzati di gestione del rischio e segnalazione degli incidenti di NIS2. Queste funzionalità consentono di impedire l'accesso non autorizzato e garantiscono la protezione delle informazioni sensibili. Scopri di più su come Nitro supporta la conformità NIS2 in questo blog.
Mettiti in contatto con uno dei nostri esperti di PDF ed eSign per scoprire come possiamo aiutarti o esplora una prova gratuita di Nitro.