Disimballaggio2NIS: in che modo influisce sulla tua attività?

La Commissione europea ha introdotto una direttiva riveduta sulla sicurezza delle reti e dell'informazione (NIS2) che entrerà in vigore il 17ottobre 2024. Si basa sul quadro normativo originario in materia di cibersicurezza delle1 NIS e interessa sia le imprese del settore pubblico che quelle private nel settore delle infrastrutture e/o dei servizi critici (KRITIS).

In questo articolo, gli esperti di Nitro forniscono una panoramica completa delle2 NIS e informazioni utili sui requisiti di conformità per questo regolamento in sospeso. Questo articolo non intende costituire una consulenza legale.

Per ottenere una forte comprensione della2NIS, è importante comprendere le disposizioni della1NIS. Secondo la Commissione europea, la1 NIS – nota anche come direttiva NIS – è stato "il primo strumento orizzontale del mercato interno volto a migliorare la resilienza delle reti e dei sistemi informativi nell'Unione [europea] contro i rischi di sicurezza informatica". Con l'aumento della digitalizzazione, la Commissione ha individuato alcune carenze dei1 della sicurezza delle reti e delle reti e dei dati e ha successivamente sviluppato2della sicurezza delle reti e dell'informazione.

NIS2 si applica alle aziende KRITIS che hanno più di 50 dipendenti o un fatturato annuo di10 milioni di euro. Poiché NIS2 amplia l'ambito delle entità incluse nel regolamento, altre organizzazioni possono essere soggette alle nuove regole anche se non hanno tali dimensioni o qualifiche di reddito. Anche le entità all'interno della catena di approvvigionamento di un'organizzazione coperta possono rientrare nell'ambito di applicazione della2NIS. Inoltre, gli Stati membri dell'UE possono emettere le proprie proroghe della sentenza.

Con l'introduzione della2NIS, le organizzazioni sono tenute a implementare una serie di misure di sicurezza e procedure di segnalazione, tra cui la gestione del rischio, la sicurezza della catena di approvvigionamento e un'adeguata risposta agli incidenti. I suoi obiettivi sono migliorare la resilienza e le capacità di risposta agli incidenti dei settori pubblico e privato, delle autorità competenti e dell'UE.

Si stima che2 100000 organizzazioni in tutta l'UE, oltre a quelle che già rientrano nella1dei NIS. L'ambito dei settori è passato da sette a 18e comprende:

• Trasporto 
• Settore bancario 
• Mercati finanziari 
• Acqua potabile 
• Infrastruttura digitale 
• Energia 
• Salute 
• Servizi postali e di corriere 
• Produzione di prodotti critici 
• Acque reflue e gestione dei rifiuti 
• Pubblica amministrazione 
• Spazio 
• Ricerca 
• Servizi digitali 
• Produzione, lavorazione e distribuzione alimentare 
• Telecomunicazioni 
• Produzione, produzione e distribuzione di sostanze chimiche 
• Fornitori di servizi digitali 

Di seguito sono riportati i nuovi requisiti e obblighi per le organizzazioni che rientrano nell'ambito di applicazione della2NIS.

La direttiva presenta un elenco minimo di misure di sicurezza che le entità devono adottare per ridurre al minimo il rischio informatico, tra cui, a titolo esemplificativo ma non esaustivo, la gestione degli incidenti, la sicurezza della catena di approvvigionamento, la crittografia, la continuità aziendale e le politiche di analisi dei rischi. In particolare, le2 NIS richiedono alle organizzazioni di disporre di piani che entrino in vigore durante e dopo un incidente, come le misure di backup, la garanzia dell'accesso ai propri sistemi IT, il ripristino di dati e sistemi, la procedura per un team di risposta alle crisi e altro ancora.

La2 della sicurezza delle reti e delle reti intensifica gli obblighi di segnalazione dei soggetti che subiscono un incidente di sicurezza. Le organizzazioni possono avere diversi organismi a cui devono segnalare un incidente, inclusi i clienti. Alcuni incidenti possono rientrare in una categoria di violazioni che richiedono il rispetto di scadenze di notifica di 24ore.

La direttiva richiede alle organizzazioni di garantire che i propri fornitori e partner lungo le loro catene di approvvigionamento conducano la gestione del rischio e aderiscano a determinate politiche. Questo cambiamento è ciò che può interessare molte entità che non rientrano direttamente nell'ambito di applicazione della2NIS, ma che operano come membri della catena di approvvigionamento di tali società.

NIS2 mira a responsabilizzare la leadership aziendale per il proprio ruolo nella sicurezza informatica e stabilisce sanzioni in caso di mancato rispetto. La direzione deve essere formata sulle misure di sicurezza e può essere ritenuta responsabile, o addirittura rimossa dalle posizioni dirigenziali, in caso di violazioni.

Il primo passo per qualsiasi organizzazione che sospetti di poter rientrare nell'ambito di applicazione del NIS2è determinare se ne sono interessate.

La2 NIS cambia il modo in cui le organizzazioni vengono classificate in entità "essenziali" e "importanti". Ogni categoria è soggetta a una supervisione e a un'applicazione diverse.

Sarà quindi necessario valutare le misure e le politiche di sicurezza esistenti per ottenere una comprensione di base di come è possibile rispettare le2NIS. La società di ricerca PwC raccomanda di utilizzare un framework di controlli di sicurezza informatica che mappi "controlli specifici in funzione all'interno dell'azienda a ciascuna clausola2 NIS per aiutare a informare l'utente sulle aree in cui l'organizzazione non è attualmente in grado di soddisfare i propri obblighi di2 NIS".

Nell'ambito della valutazione, ti consigliamo di considerare se il tuo Stato membro dell'UE prevede di implementare i propri requisiti di conformità. Ad esempio, la Germania prevede di implementare NIS2UmsuCG il 1ottobre 2024.

Dovresti quindi testare i tuoi strumenti e processi come la risposta agli incidenti, la gestione delle crisi, la continuità aziendale e il failover e le procedure di emergenza. In definitiva, è l'ideale testare qualsiasi processo relativo alla tua capacità di rispettare le2NIS.

È anche importante esaminare la cultura organizzativa e l'approccio alla sicurezza informatica per assicurarsi che i membri del team siano allineati sulla conformità e che la direzione stia facendo la dovuta diligenza.

In caso di violazione di determinati requisiti, i soggetti essenziali possono essere sanzionati con un'ammenda massima di almeno10000000 EUR o fino ad un massimo di almeno il 2% del fatturato mondiale totale annuo dell'esercizio finanziario precedente. Gli enti importanti possono essere multati con una multa massima di almeno7€ ,000,000 o fino a un massimo di almeno 1.4% del fatturato mondiale annuo totale dell'anno finanziario precedente.

Nitro è un fornitore di soluzioni PDF ed eSign con un'impronta globale, specializzato nel supporto della sicurezza e della conformità dei documenti per le organizzazioni con sede nell'UE. Offriamo soluzioni documentali avanzate che garantiscono la sicurezza e l'integrità dei documenti digitali sia per la tua organizzazione che per i partner lungo tutta la tua supply chain.

Con Nitro, le aziende possono implementare rigorosi controlli di accesso, crittografia, oscuramento dei dati e firme digitali , tutti elementi essenziali per mantenere la conformità con gli obblighi avanzati di gestione del rischio e segnalazione degli incidenti di NIS2. Queste funzionalità consentono di impedire l'accesso non autorizzato e garantiscono la protezione delle informazioni sensibili. Scopri di più su come Nitro supporta la conformità NIS2 in questo blog.

Mettiti in contatto con uno dei nostri esperti di PDF ed eSign per scoprire come possiamo aiutarti o esplora una prova gratuita di Nitro.