Come differisce la Direttiva NIS2 dalla Direttiva NIS1?

NIS2 Frequently Asked Questions

La Direttiva NIS2 rappresenta un’evoluzione significativa rispetto alla Direttiva NIS1.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Ecco un’analisi delle principali differenze:

Ambito di applicazione ampliato e soglie dimensionali

  • La Direttiva NIS2 amplia notevolmente il numero di settori ed enti soggetti alle sue normative in materia di cybersecurity. Mentre la NIS1 si concentrava su sette settori critici, la NIS2 estende la copertura a undici settori considerati “altamente critici” e aggiunge altri sette “settori critici”. Questo ampliamento riflette la crescente digitalizzazione e interconnessione di vari settori e il loro impatto sull’economia e la società dell’UE.
  • Inoltre, la NIS2 introduce una soglia dimensionale, imponendo che tutte le aziende di medie e grandi dimensioni nei settori designati debbano rispettare le sue normative. Questo cambiamento assicura un approccio più completo alla cybersecurity, riconoscendo che le minacce possono emergere da entità di qualsiasi dimensione. Tuttavia, gli Stati membri mantengono la flessibilità di identificare e includere anche entità più piccole con profili di rischio potenzialmente elevati.

Classificazione delle entità e regimi di supervisione

  • La NIS2 abbandona la precedente distinzione tra “operatori di servizi essenziali” e “fornitori di servizi digitali”. Invece, implementa un sistema di classificazione più snello basato sull’importanza dell’entità: “entità essenziali” ed “entità importanti”. Questa categorizzazione consente regimi di supervisione più mirati e appropriati, allineando la vigilanza regolatoria all’impatto potenziale degli incidenti di cybersecurity.

Requisiti di sicurezza e di segnalazione rafforzati e semplificati

  • La NIS2 promuove una maggiore coerenza e rigore nelle misure di sicurezza e nella segnalazione degli incidenti tra gli Stati membri, affrontando una limitazione significativa della Direttiva NIS1. La Direttiva impone un approccio alla gestione del rischio che definisce una base minima di elementi di sicurezza fondamentali che tutte le aziende devono adottare. Questi includono la gestione degli incidenti, la sicurezza della supply chain, la gestione e divulgazione delle vulnerabilità e l’uso della crittografia (e della cifratura, ove applicabile).
  • La Direttiva introduce un approccio multi-fase alla segnalazione degli incidenti, trovando un equilibrio tra la segnalazione tempestiva e un’analisi approfondita. Le aziende hanno ora 24 ore di tempo per presentare un “avviso precoce” iniziale al CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente una volta rilevato un incidente. Una notifica dettagliata deve seguire entro 72 ore, culminando in un rapporto finale presentato entro un mese dall’incidente.

Rafforzamento dell’applicazione e del regime sanzionatorio

  • Riconoscendo l’applicazione incoerente delle sanzioni prevista dalla NIS1, la NIS2 stabilisce un quadro più solido e armonizzato per le sanzioni in tutti gli Stati membri. Introduce un elenco minimo di sanzioni amministrative per la mancata conformità agli obblighi di gestione del rischio e di segnalazione, tra cui:
    • Istruzioni vincolanti
    • Implementazione obbligatoria delle raccomandazioni degli audit di sicurezza
    • Ordini di adeguamento delle misure di sicurezza ai requisiti della NIS2
    • Sanzioni amministrative

Rafforzamento della cooperazione e condivisione delle informazioni

  • La NIS2 rafforza la cooperazione strategica e operativa tra gli Stati membri, riconoscendo l’aumento dell’interconnessione delle minacce informatiche e la necessità di una risposta coordinata. Amplia il ruolo del Gruppo di Cooperazione, facilitando decisioni politiche strategiche più solide e uno scambio di informazioni tra le autorità nazionali per la cybersecurity.
  • Rafforza la rete CSIRT, migliorando la cooperazione operativa tra i CSIRT nazionali per garantire risposte rapide ed efficaci agli incidenti transfrontalieri. Inoltre, la NIS2 istituisce EU-CyCLONe (European Cyber Crisis Liaison Organisation Network), che svolge un ruolo cruciale nel coordinamento della gestione di incidenti e crisi di cybersecurity su larga scala in tutta l’UE.

Focus sulla sicurezza della supply chain

  • La NIS2 affronta un aspetto cruciale della cybersecurity spesso trascurato nelle normative precedenti: la sicurezza della supply chain. Impone che le singole aziende affrontino i rischi informatici all’interno delle loro catene di fornitura e dei rapporti con i fornitori. Inoltre, consente agli Stati membri, in collaborazione con la Commissione e l’ENISA, di condurre valutazioni coordinate dei rischi di sicurezza delle supply chain critiche a livello dell’UE, basandosi sul modello utilizzato per la cybersecurity delle reti 5G.

Divulgazione coordinata delle vulnerabilità e Database delle vulnerabilità dell’UE

  • Per promuovere un approccio più proattivo alla cybersecurity, la NIS2 istituisce un quadro per la divulgazione coordinata delle vulnerabilità, coinvolgendo i principali stakeholder in tutta l’UE. Questo quadro consente la segnalazione e la gestione responsabile delle vulnerabilità appena scoperte nei prodotti e nei servizi ICT. Inoltre, la NIS2 prevede la creazione di un database delle vulnerabilità dell’UE gestito da ENISA, centralizzando le informazioni sulle vulnerabilità pubblicamente conosciute per migliorare la consapevolezza e la preparazione complessiva in materia di cybersecurity.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In