La Direttiva NIS2 stabilisce una serie di requisiti fondamentali di cybersecurity per le entità che rientrano nel suo ambito di applicazione. La seguente risposta illustra alcuni di questi requisiti chiave.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Principali requisiti di cybersecurity della Direttiva NIS2
- Gestione del rischio: In base alla Direttiva NIS2, gli Stati membri devono garantire che le entità designate come “essenziali” o “importanti” adottino misure tecniche, operative e organizzative per gestire i rischi relativi alla cybersecurity dei loro sistemi informativi e di rete. Questo approccio alla gestione del rischio si applica sia alle operazioni interne delle entità sia alla fornitura dei loro servizi. Le misure di gestione del rischio per la cybersecurity devono includere, tra le altre cose:
- Analisi del rischio e politiche di sicurezza dei sistemi informativi;
- Gestione degli incidenti;
- Continuità operativa (ad es. gestione dei backup e recupero dei dati in caso di disastro) e gestione delle crisi;
- Sicurezza della catena di fornitura;
- Politiche e procedure per l’uso della crittografia (e della cifratura, dove applicabile).
- Segnalazione degli incidenti: La Direttiva NIS2 richiede alle entità di segnalare gli “incidenti significativi” al Computer Security Incident Response Team (CSIRT) nazionale o all’autorità nazionale competente “senza indebiti ritardi”. Un “incidente significativo” è definito come un evento che “ha causato o è in grado di causare un’interruzione sostanziale nella fornitura di un servizio essenziale”.
- Misure di supervisione: Le autorità competenti di ciascuno Stato membro sono incaricate di supervisionare le entità che rientrano nell’ambito della Direttiva NIS2. A tal fine, la Direttiva conferisce a tali autorità diversi strumenti di supervisione, tra cui:
- Audit regolari e mirati;
- Controlli in loco e a distanza;
- Richieste di informazioni; e
- Accesso a documenti e altre prove.
- Applicazione delle norme: La Direttiva NIS2 armonizza i regimi sanzionatori per le entità che non rispettano i propri obblighi. Essa stabilisce un elenco minimo di sanzioni amministrative per le violazioni degli obblighi di gestione del rischio e di segnalazione degli incidenti. Queste sanzioni includono:
- Istruzioni vincolanti;
- Ordini di attuazione delle raccomandazioni di un audit di sicurezza;
- Ordini di adeguamento delle misure di sicurezza ai requisiti della Direttiva NIS2; e
- Sanzioni amministrative.
Equivalenza con atti giuridici settoriali
È importante notare che la Direttiva NIS2 include un principio di “equivalenza” con gli atti giuridici settoriali dell’UE attuali e futuri che affrontano la cybersecurity.
- Secondo tale principio, le disposizioni di cybersecurity della Direttiva NIS2 non si applicano alle entità già soggette a obblighi di cybersecurity settoriali ai sensi della normativa UE, purché gli obblighi in questione siano almeno equivalenti a quelli della Direttiva NIS2.
- Per determinare se tali obblighi settoriali siano equivalenti, è necessario valutare se includono misure che garantiscono la sicurezza dei “sistemi di rete e informativi”. Tale termine, come definito nella Direttiva NIS2, è piuttosto ampio e comprende:
- Reti di comunicazione elettronica;
- Qualsiasi dispositivo o gruppo di dispositivi interconnessi o correlati, uno o più dei quali, mediante un programma, eseguono l’elaborazione automatica di dati digitali; e
- Dati digitali che vengono archiviati, elaborati, recuperati o trasmessi tramite tali reti o dispositivi per finalità di funzionamento, utilizzo, protezione e manutenzione.
- Nella determinazione dell’equivalenza, è anche importante considerare se le misure di gestione del rischio dell’atto giuridico settoriale prendano in considerazione la sicurezza fisica e ambientale dei sistemi di rete e informativi, proteggendoli da minacce quali:
- Guasti del sistema;
- Errori umani;
- Azioni dolose; o
- Fenomeni naturali.
La Commissione Europea ha pubblicato linee guida che chiariscono come si applica questo principio di equivalenza. Ad esempio, la Commissione ha dichiarato che gli obblighi di cybersecurity settoriali nel Digital Operational Resilience Act (DORA) sono equivalenti a quelli della Direttiva NIS2 e, di conseguenza, le disposizioni di cybersecurity della NIS2 non si applicano alle entità soggette a DORA. Tuttavia, gli Stati membri sono comunque tenuti ad applicare le disposizioni della Direttiva NIS2 su:
- Piani nazionali di risposta agli incidenti e alle crisi di cybersecurity;
- EU-CyCLONe; e
- Strategie nazionali di cybersecurity
alle entità che rientrano nell’ambito di applicazione di DORA.
Ambito di applicazione della Direttiva NIS2
La Direttiva NIS2 si applica sia alle entità pubbliche che private. Copre entità di un’ampia gamma di settori, tra cui:
- Energia;
- Trasporti;
- Banche;
- Infrastrutture dei mercati finanziari;
- Sanità (inclusa la produzione di farmaci);
- Acqua potabile;
- Acque reflue;
- Infrastrutture digitali;
- Gestione dei servizi ICT;
- Pubblica amministrazione;
- Spazio;
- Servizi postali e di corriere;
- Gestione dei rifiuti;
- Prodotti chimici;
- Alimentari;
- Produzione di dispositivi medici, computer, elettronica, macchinari, attrezzature, veicoli a motore, rimorchi e semirimorchi, e altre attrezzature di trasporto;
- Fornitori digitali (inclusi i marketplace online, i motori di ricerca online e i servizi di social networking); e
- Organizzazioni di ricerca.
In linea generale, solo le aziende di medie e grandi dimensioni in questi settori saranno coperte dalla Direttiva NIS2. Tuttavia, gli Stati membri hanno la facoltà di applicare gli obblighi della Direttiva anche a entità di dimensioni minori che presentano un profilo di rischio elevato.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.