La Direttiva NIS2 (Network and Information System Security), approvata dal Parlamento dell’Unione Europea, introduce nuove norme per le aziende che forniscono servizi essenziali o critici per la società.
La scadenza per mettersi in regola è il 18 ottobre 2024 e non manca molto.
Cosa cambia rispetto alla Direttiva NIS originale e quali sono i requisiti minimi di sicurezza dei dati, reti e sistemi?
Cosa prevede la Direttiva NIS2
La Direttiva NIS2 rappresenta il primo tentativo di rafforzare il livello globale di ”cyber sicurezza” tra i 27 Stati membri dell’Unione Europea. Si concentra principalmente sugli Operatori dei Servizi Essenziali (OSE), ovvero aziende che forniscono servizi essenziali la cui interruzione avrebbe un impatto significativo sull’economia o sulla società.
La Direttiva NIS2 stabilisce una norma comune di difesa contro le minacce informatiche all’interno dell’UE.
A chi è rivolta la Direttiva NIS2?
La Direttiva NIS2 si applica a organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, ad esempio:
- società di produzione e distribuzione energia
- servizi sanitari
- trasporti
- infrastrutture di comunicazione elettronica
- servizi bancari e finanziari
Inoltre, coinvolge anche i fornitori di servizi digitali che includono le piattaforme online di:
- e-commerce
- motori di ricerca
- cloud computing
- gestione dei servizi ICT e della pubblica amministrazione
Le principali novità della Direttiva NIS2
- Ampliamento delle responsabilità: la NIS2 impone maggiori responsabilità alle aziende che forniscono
servizi essenziali o critici. Questi soggetti devono adottare misure adeguate per proteggere i loro
sistemi e reti da minacce informatiche. - Requisiti minimi: la NIS2 definisce norme minime comuni per la sicurezza dei dati, delle reti e dei
sistemi. Questi requisiti includono la notifica di incidenti di sicurezza, la gestione dei rischi e la
collaborazione tra gli Stati membri.
Quali sono gli obblighi per le diverse categorie di soggetti coinvolti?
- Operatori dei Servizi Essenziali (OSE):
Identificazione e notifica degli incidenti: devono identificare e notificare gli incidenti di sicurezza informatica alle autorità competenti.
Adozione di misure di sicurezza: devono implementare misure adeguate per proteggere i loro sistemi e reti da minacce informatiche.
Collaborazione con gli Stati membri: devono collaborare con gli Stati membri e con altri OSE per affrontare le minacce informatiche. - Fornitori di servizi digitali (DSP):
Gestione dei rischi: devono valutare e gestire i rischi per la sicurezza dei loro servizi digitali.
Notifica degli incidenti: devono notificare gli incidenti di sicurezza
alle autorità competenti.
Adozione di misure di sicurezza: devono implementare
misure di sicurezza adeguate per proteggere i loro servizi digitali.
Le sanzioni in caso di mancato adeguamento
Gli operatori essenziali potranno essere sottoposti a sanzioni pari a un massimo di 10 mln di
euro o il 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7
mln di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
Sarà obbligatorio per tutte le organizzazioni pubblicare sui propri canali la violazione subita.
Abbiamo tempo fino al 18 ottobre 2024!