La Direttiva NIS2 (Network and Information System Security), approvata dal Parlamento dell’Unione Europea, introduce nuove norme per le aziende che forniscono servizi essenziali o critici per la società.
La scadenza per mettersi in regola è il 18 ottobre 2024 e non manca molto.

Cosa cambia rispetto alla Direttiva NIS originale e quali sono i requisiti minimi di sicurezza dei dati, reti e sistemi?

Cosa prevede la Direttiva NIS2

La Direttiva NIS2 rappresenta il primo tentativo di rafforzare il livello globale di ”cyber sicurezza” tra i 27 Stati membri dell’Unione Europea. Si concentra principalmente sugli Operatori dei Servizi Essenziali (OSE), ovvero aziende che forniscono servizi essenziali la cui interruzione avrebbe un impatto significativo sull’economia o sulla società.
La Direttiva NIS2 stabilisce una norma comune di difesa contro le minacce informatiche all’interno dell’UE.

A chi è rivolta la Direttiva NIS2?

La Direttiva NIS2 si applica a organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, ad esempio:

  • società di produzione e distribuzione energia
  • servizi sanitari
  • trasporti
  • infrastrutture di comunicazione elettronica
  • servizi bancari e finanziari

Inoltre, coinvolge anche i fornitori di servizi digitali che includono le piattaforme online di:

  • e-commerce
  • motori di ricerca
  • cloud computing
  • gestione dei servizi ICT e della pubblica amministrazione

Le principali novità della Direttiva NIS2

  1. Ampliamento delle responsabilità: la NIS2 impone maggiori responsabilità alle aziende che forniscono
    servizi essenziali o critici. Questi soggetti devono adottare misure adeguate per proteggere i loro
    sistemi e reti da minacce informatiche.
  2. Requisiti minimi: la NIS2 definisce norme minime comuni per la sicurezza dei dati, delle reti e dei
    sistemi. Questi requisiti includono la notifica di incidenti di sicurezza, la gestione dei rischi e la
    collaborazione tra gli Stati membri.

Quali sono gli obblighi per le diverse categorie di soggetti coinvolti?

  1. Operatori dei Servizi Essenziali (OSE):
    Identificazione e notifica degli incidenti: devono identificare e notificare gli incidenti di sicurezza informatica alle autorità competenti.
    Adozione di misure di sicurezza: devono implementare misure adeguate per proteggere i loro sistemi e reti da minacce informatiche.
    Collaborazione con gli Stati membri: devono collaborare con gli Stati membri e con altri OSE per affrontare le minacce informatiche.
  2. Fornitori di servizi digitali (DSP):
    Gestione dei rischi: devono valutare e gestire i rischi per la sicurezza dei loro servizi digitali.
    Notifica degli incidenti: devono notificare gli incidenti di sicurezza
    alle autorità competenti.
    Adozione di misure di sicurezza: devono implementare
    misure di sicurezza adeguate per proteggere i loro servizi digitali.

Le sanzioni in caso di mancato adeguamento

Gli operatori essenziali potranno essere sottoposti a sanzioni pari a un massimo di 10 mln di
euro o il 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7
mln
di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
Sarà obbligatorio per tutte le organizzazioni pubblicare sui propri canali la violazione subita.

Abbiamo tempo fino al 18 ottobre 2024!

Condividi