NIS2 – La regolamentazione per un futuro più sicuro
La NIS2 è la cosiddetta direttiva sulla sicurezza informatica a livello europeo, entrata in vigore a ottobre 2024. Rispetto alla NIS1, la NIS2 introduce cambiamenti significativi, che imporranno obblighi di sicurezza informatica più rigorosi a un maggior numero di organizzazioni. Gli Stati membri dovranno adottare nuove disposizioni contenenti queste misure di controllo e applicazione più severe per garantire la conformità alla direttiva. La NIS2 sostituisce la direttiva NIS1, con diverse differenze significative rispetto alla NIS1: la NIS2 estende il campo di applicazione a entità più grandi, come i produttori di sostanze chimiche e di dispositivi medici, i produttori di generi alimentari e i provider di social network, che in precedenza non erano coperti dalla NIS1. La NIS2 sostituisce la distinzione tra “operatore di servizi essenziali” e “fornitore di servizi digitali” con “entità essenziali” ed “entità critiche” in base, tra l’altro, a dimensioni e settore. Sebbene entrambi abbiano obblighi simili, le entità essenziali sono soggette a misure di applicazione e controllo più severe. L’autorità di vigilanza del settore deve essere responsabile delle misure di controllo.
La NIS2 impone nuovi obblighi di sicurezza informatica alle entità “essenziali” e “critiche”, tra cui la gestione del rischio e della catena di approvvigionamento, la segnalazione di incidenti informatici e la condivisione delle informazioni. La conformità a questi requisiti richiederà ai soggetti interessati di sviluppare e implementare nuove politiche e procedure. La NIS2 richiede agli Stati membri dell’UE di migliorare le proprie strategie nazionali in materia di sicurezza informatica e di rispondere alle minacce digitali che si trovano ad affrontare. È importante che le organizzazioni si tengano aggiornate sulle future iniziative degli Stati membri in questo settore.
Requisiti di sicurezza rafforzati
La NIS2 migliorerà i requisiti di sicurezza delle imprese introducendo una metodologia di gestione del rischio e un elenco minimo di elementi di sicurezza di base. La direttiva contiene anche disposizioni molto più dettagliate sulla segnalazione degli incidenti, inclusi, ad esempio, il contenuto e la tempistica delle segnalazioni. Secondo la direttiva, la notifica deve essere effettuata entro 24 ore dal verificarsi dell’incidente e deve includere un processo di segnalazione più dettagliato. La NIS2 richiede anche di affrontare la sicurezza della catena di approvvigionamento. Ciò include anche i rischi posti dalle relazioni di co-misurazione. La NIS2 sottolinea anche la responsabilità del management in materia di sicurezza informatica dell’organizzazione e attribuisce la responsabilità individuale agli organi di governo, come i consigli di amministrazione e la direzione, per garantire l’effettiva attuazione dei requisiti di sicurezza informatica. Le organizzazioni possono essere soggette a vari ordini di esecuzione e la mancata conformità può comportare sanzioni elevate.
