Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
16/08/2024
Oggi parliamo di un tema molto rilevante per le aziende e le software house: la Direttiva NIS2.
Questa normativa, che riguarda la sicurezza delle reti e dei sistemi informatici, sta per diventare una realtà che avrà un impatto significativo su molti settori. Ma di cosa si tratta esattamente? E quali sono le aziende interessate? Scopriamo insieme il campo di applicazione della Direttiva NIS2 e cosa comporta per chi opera in ambiti considerati critici per la sicurezza dell'Unione Europea.
La crescente interconnessione e digitalizzazione della società ha esposto istituzioni, imprese e cittadini a un rischio sempre maggiore di minacce informatiche. Negli ultimi cinque anni, gli attacchi cyber sono aumentati del 60%, con conseguenze sempre più gravi.
Per rispondere a queste sfide, nel 2016 è stata introdotta la Direttiva NIS, con l'obiettivo di raggiungere un elevato livello di cybersicurezza tra gli Stati Membri dell'Unione Europea. Tuttavia, la revisione del 2020 ha messo in luce diverse carenze nella norma, specialmente in termini di uniformità e perimetro di applicazione. Per affrontare queste lacune, è stata pubblicata la Direttiva NIS2, entrata in vigore il 16 gennaio 2023. Questa sostituirà la precedente Direttiva NIS, abrogandola il 18 ottobre 2024, con l'obiettivo di migliorare la resilienza delle reti e dei sistemi informativi nell'UE.
Il 18 ottobre 2024 è pertanto il termine entro il quale gli Stati membri devono implementare le Direttiva NIS2 all'interno della normativa nazionale.
Una delle principali novità della NIS2 è l'ampliamento dei settori merceologici coinvolti.
La nuova direttiva introduce una classificazione che distingue tra Soggetti Essenziali e Soggetti Importanti, includendo tutti i soggetti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici.
Tra i nuovi settori, viene inclusa anche la Pubblica Amministrazione, riconoscendo l'importanza delle infrastrutture pubbliche per la sicurezza e la resilienza della società.
La Direttiva NIS2 stabilisce criteri specifici che determinano l'inclusione delle entità nel suo perimetro di applicazione.
Ci sono numerosi criteri di applicazione. In questa guida affrontiamo il tema dal punto di vista delle aziende digitali.
L'articolo 2 della Direttiva NIS 2 prevede quanto segue:
La presente direttiva si applica ai soggetti pubblici o privati delle tipologie di cui all'allegato I o II che sono considerati medie imprese ai sensi all'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività
all'interno dell'Unione.
Quindi, il primo criterio per verificare se l'azienda è assoggettata alla NIS2 è quello di verificare se rientra in una delle tipologie di aziende indicate negli allegati I e II alla Direttiva stessa.
Tra le tipologie di aziende troviamo:
Allegato I: settori ad alta criticità
In questo allegato, sempre con riferimento al mondo digitale, figurano i seguenti ambiti di attività:
NOTA BENE: definizione di "servizio di comunicazione elettronica accessibili al pubblico".
Con questo termine non si intendono i siti internet o ecommerce.
Il termine "servizio di comunicazione elettronica" nella normativa europea è definito principalmente dalla Direttiva (UE) 2018/1972, che istituisce il Codice europeo delle comunicazioni elettroniche.
Secondo questa direttiva, per "servizio di comunicazione elettronica" si intende un servizio fornito di norma a pagamento, che consiste interamente o principalmente nella trasmissione di segnali tramite reti di comunicazione elettronica, inclusi:
Servizi di accesso a Internet: Che offrono agli utenti finali la possibilità di accedere a Internet e di comunicare con altri utenti.
Servizi di comunicazione interpersonale: Che permettono la comunicazione diretta tra due o più persone tramite reti di comunicazione elettronica (come telefonia e messaggistica). Questi possono essere:
Servizi consistenti interamente o principalmente nella trasmissione di segnali: Questa categoria comprende vari servizi che trasmettono dati, ma che non rientrano nelle categorie precedenti. Può includere servizi utilizzati per la trasmissione di contenuti radiotelevisivi o altri segnali, come il controllo remoto di dispositivi.
Questi servizi sono regolamentati a livello europeo per garantire una serie di diritti e obblighi, sia per i fornitori che per i consumatori, e per assicurare la sicurezza e l'affidabilità delle reti di comunicazione elettronica.
Allegato II: altri settori critici
Tra i settori presenti in questo allegato figurano i "Fornitori di servizi digitali", vale a dire:
Per "fornitori di mercati online" si intendono le piattaforme CMS (es. PrestaShop o Wordpress).
Per essere assoggetti alla Direttiva NIS2, però, una volta che si è appurato che l'azienda rientra nel campo di applicazione sopra descritto deve presentare anche una determinata dimensione economica.
Vale a dire che l'azienda deve essere considerata una "media impresa" ai sensi dell'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE, vale a dire le PMI: imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni di euro.
Parimenti, la Direttiva NIS2 si applica alle imprese che rientrano nelle categorie sopra indicate e che superano questi massimali.
Ciò posto, il comma II dell'articolo 2 della Direttiva NIS2 precisa che la legge si applica, a prescindere dal settore di attività, quando l'azienda permette la registrazione dei nomi di dominio di primo livello e fornisce servizi di sistema dei nomi di dominio.
In questo contesto, l'articolo include anche altri campi di applicazione, che non approfondiamo in questa guida, poiché l'obiettivo principale è concentrarsi sull'ambito digitale.
Le aziende soggette alla NIS2 dovranno rispettare requisiti che spaziano dalla governance della cybersicurezza alla gestione dei rischi, inclusa la sicurezza della catena di fornitura e la gestione della continuità operativa.
La NIS2 richiede che gli organi di gestione approvino le misure di gestione dei rischi, seguano una formazione periodica sulla cybersicurezza e la estendano ai dipendenti.
Le organizzazioni devono valutare i rischi e attuare misure tecniche e organizzative, come l'autenticazione a più fattori, la crittografia e la sicurezza della catena di fornitura.
È fondamentale garantire la continuità operativa attraverso backup, ripristino e gestione delle crisi.
Le organizzazioni devono monitorare le vulnerabilità dei propri fornitori e la qualità delle loro pratiche di cybersicurezza, considerando i rischi che potrebbero influire sulla continuità dei servizi.
Non ci sono differenze nei requisiti di cybersicurezza tra Soggetti Essenziali e Importanti, ma le misure di vigilanza e le sanzioni differiscono.
Le Entità Essenziali sono soggette a controlli più rigorosi e sanzioni più severe. Le sanzioni per le entità essenziali possono raggiungere 10 milioni di euro o il 2% del fatturato mondiale annuo, mentre per i Soggetti Importanti il massimo è 7 milioni di euro o l'1,4% del fatturato. Nei casi più gravi, è prevista la sospensione temporanea delle funzioni dirigenziali.
Recentemente, il Consiglio dei Ministri italiano ha approvato il decreto per il recepimento della NIS2. Questo passaggio segna un momento cruciale per l'Italia, confermando l'impegno nell'adeguarsi agli standard europei in materia di sicurezza informatica e resilienza. Le organizzazioni italiane devono quindi ora prepararsi per rispettare i nuovi requisiti normativi.