Direttiva NIS 2: cosa cambia e quali sono i nuovi obblighi per la cybersecurity aziendale

Con l’approvazione della Direttiva NIS 2 il Parlamento europeo ha introdotto nuovi obblighi per la sicurezza informatica aziendale.

Pubblicata lo scorso dicembre nella Gazzetta ufficiale dell’Unione Europea, la Direttiva 2022/2555 entra in vigore a partire dal 17 gennaio 2023.

A partire dalla data sopra indicata, gli Stati membri dell’Unione europea avranno 21 mesi di tempo per adottare e pubblicare gli atti necessari al recepimento della normativa a livello nazionale.

La Direttiva NIS 2 prevede un rafforzamento dei precedenti impegni della Direttiva NIS, acronimo di Network and Information Security, andando ad incrementare il perimetro di sicurezza informatico di soggetti pubblici e privati.

Direttiva NIS: che cos’è e cosa prevedeva la precedente normativa

La Direttiva NIS 2016/1148, ha permesso alla Commissione europea di porre le basi necessarie per normare e disciplinare gli aspetti essenziali in tema di cybersecurity.

In particolare, l’obiettivo di questa prima direttiva è quello di rafforzare il livello di sicurezza informatica determinando una base di garanzie destinate a sviluppare un ecosistema di fiducia.

Questo ha permesso di mettere in luce gli OSE, Operatori dei Servizi Essenziali, ovvero quelle aziende che forniscono servizi essenziali la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società.

Di conseguenza sono stati introdotti strumenti innovativi e nuovi standard di sicurezza informatica per proteggere le aziende dagli hacker.

La Commissione Europea, dato l’esponenziale aumento della cyber criminalità nell’ultimo periodo, ha dovuto ampliare il campo di applicazione della prima Direttiva NIS per preparare le aziende alle sfide attuali e future con l’introduzione della Direttiva NIS 2.

Gli obiettivi e le novità della Direttiva NIS 2

La Direttiva NIS 2 mira ad ampliare i settori di attività dove applicare i principi di cybersicurezza coinvolgendo un numero sempre maggiore di organizzazioni.

Tra i principali obiettivi e novità introdotte dalla Direttiva NIS 2 emergono:

1. l’ampliamento e rideterminazione dell’ambito in cui applicare le norme in materia di sicurezza dei dati;
2. l’aumento della condivisione delle esperienze fra stati membri dell’UE in tema di sicurezza informatica per contrastare le minacce informatiche globali e potenziare gli organi e le attività di controllo;
3. l’introduzione di procedure di notifica obbligatoria di attacchi alle reti e razionalizzazione dei requisiti minimi di sicurezza che devono adottare le organizzazioni;
4. il coinvolgimento di tutti gli stakeholder della supply chain in tema di sicurezza mettendo in chiaro i concetti di gestione del rischio informatico e di valutazione delle vulnerabilità.

I nuovi requisiti minimi per la cybersecurity aziendale

La Direttiva NIS 2 si basa sul concetto di “multirischio”, ovvero un approccio che coinvolge i soggetti interessati a adottare degli standard di sicurezza informatica che comprendano:

• analisi dei rischi e sicurezza dei sistemi informatici;
• gestione degli incidenti di tipo informatico;
• la garanzia della continuità operativa, come, ad esempio, backup e ripristino della rete in caso di attacchi hacker;
• regolamentazione dei rapporti fra gli attori della supply chain;
• la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
• politiche e le procedure su crittografia e cifratura dei dati;
• sicurezza delle risorse umane e controllo degli accessi alle reti aziendali;
• l’utilizzo di autenticazioni a più fattori o continua, comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza.

Altri elementi previsti dalla Direttiva NIS 2 sono:

• l’individuazione da parte degli Stati membri dell’UE degli organi di gestione che devono approvare, sovraintendere ed essere responsabili delle violazioni delle misure adottate in tema di cybersecurity.
• l’obbligo di segnalazione degli incidenti informatici.
• audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ispezioni in loco, vigilanza e richieste di informazioni.

Come prepararsi alla nuova Direttiva NIS 2

La Direttiva NIS 2 prevede delle pesanti sanzioni nei confronti delle imprese che non si allineano ai nuovi standard di cybersicurezza.

Le sanzioni in violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione possono arrivare a:

• un massimo di almeno 10 milioni di euro;
• il 2% del fatturato mondiale annuo per l’esercizio precedente dell’impresa a cui il soggetto appartiene.

Per prepararsi al meglio alla nuova Direttiva Europea e proteggere la propria rete aziendale secondo i nuovi standard è necessario quindi affidarsi a un partner esperto in sicurezza informatica.

Grazie al supporto di un partner tecnologico affidabile è possibile indentificare le vulnerabilità della propria rete aziendale in tempi brevi e adottare le misure efficaci per proteggersi da futuri attacchi hacker.

Non solo, grazie al supporto e alla costante formazione erogata ai dipendenti dell’organizzazione è possibile istruire i propri collaboratori per adottare le corrette procedure di sicurezza informatica.

Per ricevere maggiori informazioni in tema di sicurezza informatica per la tua rete aziendale compila il form presente in questa pagina.