Direttiva NIS 2: cosa cambia per la cyber security aziendale?

La sicurezza informatica è sempre più al centro delle strategie aziendali, soprattutto alla luce delle nuove normative europee. Tra queste c’è la Direttiva NIS 2 che rappresenta un passo fondamentale per rafforzare la protezione delle reti e dei sistemi informativi in Europa. Con scadenze di adeguamento ormai imminenti, le imprese devono, infatti, prepararsi a rispettare i nuovi obblighi per evitare sanzioni e vulnerabilità.

Ma cos’è esattamente la Direttiva NIS 2?

La Direttiva NIS 2 (Network and Information Security Directive) è un aggiornamento della precedente Direttiva NIS del 2016, introdotta per garantire un livello elevato di sicurezza informatica negli Stati membri dell’Unione Europea. Questa nuova versione amplia il numero di settori coinvolti e impone requisiti più stringenti in termini di gestione del rischio e segnalazione degli incidenti.

Chi è coinvolto?

A differenza della precedente normativa, che si applicava solo a un numero limitato di settori critici, la Direttiva NIS 2 estende l’ambito di applicazione a un maggior numero di aziende, includendo:

• Settori critici come energia, trasporti, sanità e finanza
• Servizi digitali e infrastrutture ICT
• Pubbliche amministrazioni e fornitori di servizi essenziali

Ogni azienda che rientra in queste categorie sarà obbligata ad adottare misure di sicurezza adeguate per proteggere le proprie reti e i propri dati.

Quali sono gli obblighi principali?

Le aziende soggette alla Direttiva NIS 2 devono:

• Implementare misure di gestione del rischio: strategie di prevenzione, protezione e risposta agli attacchi informatici
• Migliorare la governance della cyber security: nomina di un responsabile della sicurezza IT e definizione di piani di gestione degli incidenti
• Segnalare tempestivamente gli attacchi informatici: obbligo di notifica entro 24 ore dall’identificazione di una violazione
• Sostenere controlli e audit periodici: per verificare la conformità ai nuovi standard

In particolare, le misure di sicurezza richieste includono, in maniera analitica, i seguenti punti: 

1. Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, inclusa la gestione e la divulgazione delle vulnerabilità.
2. Gestione degli incidenti, con procedure e strumenti per le notifiche obbligatorie.
3. Continuità operativa, gestione dei backup, ripristino in caso di disastro e gestione delle crisi.
4. Sicurezza della catena di approvvigionamento, incluse le relazioni con fornitori e fornitori di servizi.
5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi IT.
6. Valutazione dell'efficacia delle misure di gestione del rischio per la sicurezza informatica.
7. Pratiche di igiene informatica e formazione per il personale.
8. Uso della crittografia e cifratura dove necessario.
9. Affidabilità del personale e controllo degli accessi.
10. Autenticazione a più fattori e sistemi di comunicazione di emergenza.
11. Valutazione delle vulnerabilità dei fornitori e della qualità dei loro prodotti e pratiche di sicurezza.
12. Obbligo di notifica degli incidenti significativi al CSIRT Italia entro 24 ore.

Quali sono le scadenze per l’adeguamento?

Gli Stati membri dell’UE dovranno recepire la Direttiva NIS 2 nel proprio ordinamento nazionale entro il 17 ottobre 2024.

Le scadenze riguardanti la registrazione sulla piattaforma ACN sono:

• entro il 17 gennaio 2025, per i fornitori di servizi DNS, registri e registrazione di domini, cloud computing, data center, CDN, servizi IT e sicurezza gestiti, nonché marketplace online, motori di ricerca e piattaforme social rientranti nel decreto.
• entro il 28 febbraio 2025 per tutti gli altri soggetti che rientrano nell'ambito di applicazione del decreto. 

Questo significa che le imprese devono agire rapidamente per implementare le misure richieste ed evitare il rischio di sanzioni.

Perché è importante adeguarsi?

L’adeguamento alla Direttiva NIS 2 non è solo un obbligo normativo, ma rappresenta un’opportunità per le aziende di rafforzare la propria resilienza contro le minacce informatiche. In un contesto in cui gli attacchi ransomware e le violazioni dei dati sono sempre più frequenti, investire nella cyber security significa proteggere il business, la reputazione e la fiducia dei clienti.

L’arrivo della Direttiva NIS 2 segna un cambiamento significativo nel panorama della sicurezza informatica. Le aziende devono affrontare questa sfida con consapevolezza e strategia, adottando misure concrete per garantire la protezione dei propri sistemi IT.