Quali sono le principali differenze tra le Direttive NIS1 e NIS2?

NIS2 Frequently Asked Questions

La Direttiva NIS2 rappresenta un’evoluzione significativa rispetto alla Direttiva NIS1, mirando a superare le sue limitazioni e ad adattarsi al panorama in continua evoluzione della cybersecurity.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Ecco un’analisi dettagliata delle principali differenze:

Ambito Espanso e Soglie Basate sulla Dimensione

  • NIS1: Si concentrava su sette settori critici: energia, trasporti, banche, infrastrutture dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali. Solo le entità designate come “operatori di servizi essenziali” (OES) all’interno di questi settori rientravano nell’ambito della direttiva.
  • NIS2: Espande significativamente l’ambito includendo settori aggiuntivi cruciali per l’economia e la società, basandosi sul loro livello di digitalizzazione e interconnessione. Questi includono:
  • Settori di alta criticità: energia (espanso per includere riscaldamento e raffreddamento distrettuale, petrolio, gas e idrogeno), trasporti (coprendo aria, ferrovia, acqua e strada), banche, infrastrutture dei mercati finanziari, sanità (inclusa la produzione farmaceutica, compresi i vaccini), acqua potabile, acque reflue, infrastrutture digitali (ampliato per includere punti di interscambio internet, fornitori di servizi DNS, registri di nomi TLD, fornitori di cloud computing, fornitori di data center, reti di distribuzione dei contenuti, fornitori di servizi fiduciari, fornitori di reti di comunicazione elettronica pubbliche e servizi di comunicazione elettronica accessibili al pubblico), gestione dei servizi ICT (inclusi fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), pubblica amministrazione e spazio.
  • Altri settori critici: servizi postali e di corriere, gestione dei rifiuti, prodotti chimici, alimentari, produzione di dispositivi medici, computer, elettronica, macchinari, veicoli a motore, rimorchi e altre attrezzature di trasporto, fornitori digitali (inclusi mercati online, motori di ricerca online e piattaforme di social networking), e organizzazioni di ricerca.
  • Soglie Basate sulla Dimensione: La NIS2 introduce una regola basata sulla dimensione, includendo automaticamente tutte le aziende di medie e grandi dimensioni nei settori selezionati. Concede anche agli Stati Membri la flessibilità di designare entità più piccole con profili di alto rischio che dovrebbero rientrare negli obblighi della direttiva. Questo rappresenta un allontanamento dall’approccio più mirato della NIS1, che si basava sugli Stati Membri per identificare entità specifiche.

Classificazione delle Entità: Da OES e DSP a Essenziali e Importanti

  • NIS1: Distinguiva tra “operatori di servizi essenziali” (OES) e “fornitori di servizi digitali” (DSP), applicando requisiti normativi differenti a ciascuna categoria.
  • NIS2: Elimina questa distinzione, classificando invece le entità come “essenziali” o “importanti” in base alla loro importanza. Questa classificazione semplificata mira a fornire maggiore chiarezza e coerenza tra i settori.

Requisiti di Sicurezza Potenziati e Razionalizzati

  • NIS1: Richiedeva agli OES di effettuare valutazioni del rischio di cybersecurity e di implementare misure di sicurezza appropriate, ma forniva indicazioni meno specifiche sulla loro attuazione.
  • NIS2: Rafforza e razionalizza i requisiti di sicurezza imponendo un approccio più esplicito alla gestione del rischio. Introduce un elenco di dieci elementi chiave di sicurezza che tutte le entità coperte devono affrontare nelle loro politiche di gestione del rischio di cybersecurity. Questi includono requisiti per:
  • Analisi del Rischio e Politiche di Sicurezza: Condurre regolari valutazioni del rischio, sviluppare e aggiornare politiche di sicurezza, e allinearle con standard riconosciuti e migliori pratiche.
  • Gestione degli Incidenti: Stabilire procedure chiare per la segnalazione, la comunicazione, l’escalation e la risposta agli incidenti, garantendo un approccio rapido e coordinato per minimizzare danni e tempi di inattività.
  • Continuità Operativa e Gestione delle Crisi: Implementare misure per garantire la resilienza operativa, come processi di backup e ripristino di emergenza, e sviluppare piani per la gestione delle crisi, incluse strategie di comunicazione.
  • Sicurezza della Catena di Fornitura: Valutare e mitigare i rischi associati a fornitori e prestatori di servizi, tenendo conto delle loro pratiche di sicurezza e postura generale di cybersecurity.
  • Sicurezza nell’Acquisizione, Sviluppo e Manutenzione di Sistemi di Rete e Informazione: Integrare considerazioni di sicurezza nell’intero ciclo di vita dei sistemi ICT, dall’approvvigionamento e sviluppo alla distribuzione, manutenzione e dismissione.
  • Politiche e Procedure per Valutare l’Efficacia delle Misure di Gestione del Rischio di Cybersecurity: Stabilire meccanismi per valutare regolarmente l’efficacia dei controlli di sicurezza implementati attraverso audit, test di penetrazione e altre forme di valutazione della sicurezza.
  • Politiche sull’Uso della Crittografia e Cifratura: Proteggere i dati sensibili sia in transito che a riposo implementando controlli crittografici appropriati, inclusi cifratura, protocolli di comunicazione sicuri e firme digitali.
  • Sicurezza delle Risorse Umane: Implementare misure di sicurezza relative alle risorse umane, inclusi controlli dei precedenti per i dipendenti in ruoli critici, formazione sulla consapevolezza della sicurezza e misure di controllo degli accessi.
  • Uso dell’Autenticazione Multi-Fattore o Autenticazione Continua: Migliorare la sicurezza degli accessi implementando meccanismi di autenticazione robusti che vadano oltre le semplici password, come l’autenticazione multi-fattore o metodi di autenticazione continua.
  • Politiche e Procedure per Garantire la Sicurezza Fisica dei Sistemi di Rete e Informazione: Affrontare i rischi di sicurezza fisica per le infrastrutture e i sistemi critici, includendo misure per controllare l’accesso a sale server, data center e altre località sensibili.

Procedure di Segnalazione degli Incidenti Più Dettagliate

  • NIS1: Richiedeva la segnalazione di “incidenti gravi” ma con indicazioni meno dettagliate sui tempi e sul contenuto della segnalazione.
  • NIS2: Introduce un processo di segnalazione degli incidenti più preciso con tempistiche chiare e requisiti di contenuto specifici. Questo include un approccio in più fasi:
  • Allarme Preliminare: Entro 24 ore dal momento in cui si viene a conoscenza di un incidente significativo, le entità devono inviare un allarme preliminare al loro CSIRT o all’autorità nazionale competente, permettendo un’intervento precoce e potenziale mitigazione.
  • Notifica dell’Incidente: Questa notifica iniziale deve essere seguita da una notifica più completa entro 72 ore, fornendo ulteriori dettagli sull’impatto dell’incidente e sulle azioni di risposta intraprese.
  • Rapporto Finale: Un rapporto finale è richiesto non oltre un mese dopo la notifica iniziale, offrendo un’analisi dettagliata dell’incidente, della sua causa radice e delle lezioni apprese per prevenire incidenti simili in futuro.

Supervisione, Applicazione e Sanzioni armonizzate più forti

  • NIS1: Si basava fortemente sugli Stati Membri per la supervisione e l’applicazione, portando a un’applicazione incoerente delle sanzioni in tutta l’UE.
  • NIS2: Rafforza le misure di supervisione, impone un’applicazione più rigorosa e cerca di armonizzare i regimi sanzionatori in tutti gli Stati Membri.
  • Poteri di Supervisione Potenziati: Fornisce alle autorità nazionali un elenco minimo di strumenti di supervisione, inclusi audit regolari e mirati, ispezioni in loco, richieste di informazioni e accesso alla documentazione.
  • Regimi di Supervisione Differenziati: Stabilisce approcci di supervisione distinti per le entità “essenziali” e “importanti”, adattando la supervisione ai loro profili di rischio e al potenziale impatto.
  • Quadro Sanzionatorio Armonizzato: Introduce un elenco minimo di sanzioni amministrative per le violazioni dei requisiti della direttiva, inclusi istruzioni vincolanti, audit di sicurezza obbligatori e multe amministrative.
  • Multe Amministrative Significative: Per le entità “essenziali”, la NIS2 prevede multe amministrative fino a 10 milioni di euro o al 2% del fatturato annuale globale, a seconda di quale sia maggiore. Per le entità “importanti”, la multa massima è di almeno 7 milioni di euro o l’1,4% del fatturato annuale globale.
  • Responsabilità del Management Senior: Introduce disposizioni per ritenere responsabili gli individui in posizioni di senior management per le violazioni della direttiva, promuovendo una cultura di responsabilità ai massimi livelli delle organizzazioni.

Migliorata Gestione delle Crisi Cyber e Cooperazione a Livello UE

  • NIS1: Mancava di disposizioni specifiche per una gestione coordinata delle crisi cyber a livello UE.
  • NIS2: Rafforza la cooperazione a livello UE e introduce meccanismi per migliorare la prevenzione, la gestione e la risposta alle crisi cyber:
  • Autorità Nazionali di Gestione delle Crisi Cyber: Obbliga ogni Stato Membro a designare un’autorità nazionale responsabile per la gestione delle crisi cyber, garantendo linee chiare di responsabilità e coordinamento.
  • Piani Nazionali di Risposta alle Crisi Cyber: Richiede agli Stati Membri di sviluppare piani nazionali completi per rispondere a incidenti e crisi di cybersecurity su larga scala, delineando ruoli, responsabilità, protocolli di comunicazione e procedure di escalation.
  • EU-CyCLONe: Istituisce la Rete Europea delle Organizzazioni di Collegamento per le Crisi Cyber (EU-CyCLONe) per fornire supporto operativo per la gestione coordinata di incidenti e crisi di cybersecurity su larga scala tra gli Stati Membri.

Affrontare la Cybersecurity nelle Catene di Fornitura

  • NIS1: Non affrontava specificamente i rischi di cybersecurity nelle catene di fornitura.
  • NIS2: Include requisiti per le entità di affrontare i rischi di cybersecurity all’interno delle loro catene di fornitura e relazioni con i fornitori. Questo include condurre valutazioni del rischio dei fornitori critici, implementare controlli di sicurezza nei processi di approvvigionamento e promuovere la condivisione di informazioni e la cooperazione su questioni di cybersecurity in tutta la catena di fornitura.

Ruolo Potenziato del Gruppo di Cooperazione e Condivisione delle Informazioni

  • NIS1: Ha istituito il Gruppo di Cooperazione per facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati Membri.
  • NIS2: Rafforza il ruolo del Gruppo di Cooperazione nel plasmare le decisioni strategiche di politica di cybersecurity e promuove una condivisione di informazioni e una cooperazione più sistematica tra le autorità degli Stati Membri. Questo include la condivisione di informazioni su minacce, vulnerabilità, incidenti, migliori pratiche e approcci normativi.

Divulgazione Coordinata delle Vulnerabilità e Database delle Vulnerabilità UE

  • NIS1: Non includeva disposizioni per la divulgazione coordinata delle vulnerabilità.
  • NIS2: Stabilisce un quadro per la divulgazione coordinata delle vulnerabilità, delineando procedure per la segnalazione di vulnerabilità ai fornitori e coordinando pratiche di divulgazione responsabile. Obbliga anche alla creazione di un database delle vulnerabilità UE, mantenuto da ENISA, per tracciare le vulnerabilità pubblicamente note in prodotti e servizi ICT.

In sintesi, la Direttiva NIS2 si basa sulle fondamenta poste dalla NIS1, espandendo il suo ambito, rafforzando i suoi requisiti e introducendo nuovi meccanismi di cooperazione e applicazione per affrontare le sfide di cybersecurity in evoluzione che l’UE deve affrontare.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In