La Direttiva NIS2 è nuova normativa che obbligherà in futuro molte aziende ad adottare specifiche misure di sicurezza e attività. Ma quali aziende saranno obbligate ad applicare la normativa? Quali sono le misure di sicurezza minime? Come fare per applicarle? Ecco la risposta a queste e altre domande.
Cos’è la Direttiva NIS2
NIS2 (o NIS 2) è l’acronimo di “Network and Information Security 2” ed è il termine con cui viene indicata la Direttiva Europea 2022/2555 pubblicata in sostituzione della Direttiva 2016/1148 (comunemente indicata come NIS) con oggetto la sicurezza delle reti e dei sistemi informatici.
L’obiettivo della normativa è di portare le aziende di tutti gli Stati Membri ad adottare specifiche misure comuni e strategiche al fine di uniformare il livello e le modalità di sicurezza in tali ambiti.
Chi dovrà implementare gli obblighi presenti nella Direttiva NIS2
La Direttiva, che verrà prossimamente recepita dallo Stato Italiano, obbligherà molte aziende ad adottare specifiche attività e misure di sicurezza. Le aziende che dovranno adottare la nuova normativa saranno individuate in due modi:
- Aziende operanti in specifici settori critici o importanti con determinati requisiti in termini di dimensioni e fatturato
- Aziende operanti in altri settori di qualsiasi dimensione/fatturato ma connesse per via di un rapporto di fornitura (diretto o indiretto) con le prime. Ciò significa che se un’azienda è fornitore di un fornitore (di un fornitore di un fornitore…) di un’azienda critica o importante, è tenuta ad applicare la normativa. Questo perché, nel caso in cui un’azienda soggetta alla Direttiva dovesse subire un incidente di sicurezza, a doverne rispondere non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri stakeholder che intervengono lungo la supply chain.
Quali sono i settori a cui si applica la Direttiva
I settori a cui si applica la Direttiva (in modo “diretto”, quindi non in virtù di un rapporto di fornitura ma perché espressamente indicate nel testo della NIS2) sono divise in due categorie: Settori ad Alta Criticità e Altri Settori Critici.
| Settori ad Alta Criticità | Altri Settori Critici |
| Energia | Fornitori di servizi digitali |
| Trasporti | Servizi postali e di corriere (nuovo) |
| Settore bancario | Gestione dei rifiuti (nuovo) |
| Infrastrutture mercati finanziari | Sostanze chimice* (nuovo) |
| Settore sanitario | Alimenti** (nuovo) |
| Acqua potabile | Fabbricazione*** (nuovo) |
| Infrastrutture Digitali | Ricerca (nuovo) |
| Pubblica amministrazione (nuovo) | |
| Acque reflue (nuovo) | |
| Gestione servizi TIC (nuovo) | |
| Spazio (nuovo) |
* Fabbricazione, produzione e distribuzione di sostanza chimiche
** Produzione, trasformazione e distribuzione di alimenti
*** Fabbricazione di: dispositivi medici, medico-diagnostici in vitro, computer e prodotti di elettronica e ottica, apparecchiature elettriche, macchinari , e apparecchiature n.c.a., autoveicoli, rimorchi, semirimorchi
e altri mezzi di trasporto
Suddivisione aziende in “Essenziali” e “Importanti”
A seconda del settore e delle dimensioni, le aziende possono essere:
- Esentate dall’applicazione della Direttiva
- Divise in “Essenziali” o “Importanti”
| Aziende Essenziali | Aziende Importanti |
| Tenute maggiormente sotto controllo e con modalità di verifica più stringenti Soggette a sanzioni più alte (fino a 10 milioni di euro) In generale rientrano in questa categoria tutte le aziende appartenenti a settori ad Alta criticità definite come “Grandi”, cioè con più di 250 o più dipendenti oppure con un fatturato superiore a 50 milioni di euro + alcune realtà medio e piccole della PA o con infrastrutture digitali | Tenute sotto controllo ma con modalità di verifica meno stringenti Soggette a sanzioni più basse (fino a 7 milioni di euro) In generale rientrano in questa categoria tutte le aziende appartenenti a settori ad Alta criticità definite come “Di Medie Dimensioni”, cioè con 50-250 dipendenti oppure con un fatturato superiore a 10 milioni di euro + tutte le aziende di Altri Settori Critici di dimensioni Medie o Grandi |
Misure minime di sicurezza introdotte dalla Direttiva NIS2
La NIS2 prevede che le entità essenziali e importanti debbano adottare misure minime di sicurezza. Tali misure (tecniche, operative e organizzative) devono essere:
- adeguate e proporzionate al rischio, alle dimensioni, ai costi, all’impatto e alla gravità degli incidenti per gestire i rischi connessi ai sistemi su cui si basano i loro servizi
- progettate per prevenire e ridurre al minimo l’impatto degli incidenti sui loro e su altri servizi.
Le misure minime elencate nella Direttiva si basano su un approccio globale che mira a proteggere la rete, i sistemi informativi e l’ambiente fisico di tali sistemi dagli incidenti. Se un’entità si rende conto di non essere in linea con tali disposizioni “dovrà adottare tutte le misure correttive necessarie senza indebito ritardo” (Art.21.4).
Ma quali sono queste misure minime di sicurezza? Possono essere soddisfatte con l’applicazione di altri standard e framework di Cyber Security? Abbiamo risposto a queste e ad altre domande durante il nostro intervento al Security Summit Milano 2024. Scarica gratuitamente le slide, complete di mappatura dei controlli NIS2 con ISO 27001:2022 e altri Framework di Cyber Security cliccando sul pulsante sottostante.
Per partecipare alla live-demo gratuita dei diversi moduli di ATENA Governance in modalità streaming non devi fare altro che effettuare la registrazione cliccando sul seguente pulsante.
Desideri il supporto dei professionisti Axsym per capire se la tua organizzazione rientra tra le aziende soggette alla Direttiva NIS2 e per svolgere il percorso di adeguamento alla normativa? Contattaci!
