Quali sono gli elementi chiave della Direttiva NIS2?

La Direttiva NIS2 mira a rafforzare la postura di cibersicurezza dell’Unione Europea affrontando le limitazioni della precedente legislazione e adattandosi al panorama delle minacce in evoluzione. Essa amplia l’ambito di applicazione delle normative sulla cibersicurezza, impone requisiti di sicurezza e di segnalazione più rigorosi e rafforza i meccanismi di supervisione e applicazione.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Ecco alcuni degli elementi chiave della Direttiva NIS2:

1. Ambito di Applicazione Espanso: La direttiva estende la gamma di settori ed entità soggetti agli obblighi di cibersicurezza. Introduce una soglia basata sulla dimensione, richiedendo che tutte le aziende medie e grandi nei settori selezionati rispettino le disposizioni della direttiva. Questo rappresenta un cambiamento significativo rispetto alla precedente Direttiva NIS, che si concentrava su settori critici specifici e lasciava agli Stati membri l’identificazione delle entità “essenziali”.

• La Direttiva NIS2 identifica due principali categorie di settori: “settori di alta criticità” e “altri settori critici”, elencati negli Allegati I e II della direttiva. L’inclusione di nuovi settori, come lo spazio, la gestione dei rifiuti e l’alimentare, riflette l’interconnessione crescente e la digitalizzazione dei servizi essenziali, nonché il potenziale ampliato per gli attacchi informatici di interrompere funzioni sociali critiche.
• Gli Stati membri mantengono una certa discrezionalità nell’identificare entità più piccole con profili di alto rischio che dovrebbero rientrare nell’ambito della Direttiva NIS2, consentendo un’implementazione su misura basata sui contesti nazionali e sulle valutazioni dei rischi specifici del settore.

1. Approccio alla Gestione del Rischio: La direttiva promuove un quadro basato sulla gestione del rischio piuttosto che un approccio puramente conformativo. Le entità rientranti nell’ambito della direttiva devono implementare misure che affrontino vari aspetti della cibersicurezza, tra cui:

• Gestione degli incidenti
• Sicurezza della catena di approvvigionamento
• Gestione e divulgazione delle vulnerabilità
• Uso della crittografia e della cifratura

1. Requisiti di Sicurezza e Segnalazione Standardizzati: Per garantire una maggiore coerenza nell’implementazione e ridurre l’onere per le aziende che operano in più Stati membri dell’UE, la direttiva stabilisce disposizioni più precise riguardo ai requisiti di sicurezza e alla segnalazione degli incidenti.

• Misure Minime di Cibersicurezza: La direttiva delinea una lista di dieci elementi chiave che tutte le entità coperte devono affrontare nelle loro politiche di gestione del rischio di cibersicurezza. Ciò include misure come l’analisi del rischio, la pianificazione della risposta agli incidenti, la continuità operativa e la sicurezza della catena di approvvigionamento.
• Segnalazione degli Incidenti: Vengono forniti orientamenti più chiari sui processi di segnalazione degli incidenti, sul contenuto e sulle tempistiche. La direttiva richiede alle entità di inviare un’allerta preliminare al CSIRT o all’autorità competente entro 24 ore dal momento in cui diventano consapevoli di un incidente significativo, seguita da una notifica più dettagliata entro 72 ore e un rapporto finale entro un mese.

1. Supervisione ed Esecuzione Rafforzate: La direttiva introduce misure di supervisione più rigorose per le autorità nazionali e stabilisce requisiti di applicazione più severi.

• Misure di Supervisione: Le autorità competenti dispongono di una gamma più ampia di strumenti per supervisionare sia le entità essenziali che quelle importanti, tra cui audit regolari e mirati, controlli in loco e a distanza, richieste di informazioni e accesso alla documentazione rilevante.
• Sanzioni Armonizzate: Per affrontare la precedente riluttanza tra alcuni Stati membri a imporre sanzioni per la non conformità, la direttiva armonizza il regime sanzionatorio in tutta l’UE. Stabilisce una lista minima di sanzioni amministrative, tra cui istruzioni vincolanti, audit di sicurezza obbligatori e multe. La direttiva differenzia tra entità essenziali e importanti riguardo al livello delle multe amministrative per le violazioni.
• Responsabilità: Viene rafforzata la responsabilità per le misure di cibersicurezza introducendo disposizioni sulla responsabilità degli individui in ruoli di alta dirigenza all’interno delle entità essenziali e importanti.

1. Cooperazione e Condivisione delle Informazioni Potenziate: La direttiva mira a migliorare la cooperazione e la condivisione delle informazioni tra gli Stati membri, le autorità competenti e le entità.

• Gruppo di Cooperazione: Viene rafforzato il ruolo del Gruppo di Cooperazione esistente, composto dalle autorità nazionali di cibersicurezza, nel plasmare decisioni politiche strategiche e nel coordinare le risposte alle sfide di cibersicurezza a livello dell’UE.
• Rete CSIRT: La direttiva migliora la cooperazione operativa all’interno della rete CSIRT esistente, incoraggiando lo scambio rapido ed efficiente di informazioni e migliori pratiche tra i CSIRT nazionali per rafforzare le capacità di risposta agli incidenti.
• EU-CyCLONe: La direttiva istituisce una rete europea di collegamento per le crisi cibernetiche (EU-CyCLONe), incaricata di supportare la gestione coordinata di incidenti e crisi di cibersicurezza su larga scala, garantendo una risposta rapida e unificata a livello dell’UE.

1. Divulgazione Coordinata delle Vulnerabilità: Viene introdotto un quadro per la divulgazione coordinata delle vulnerabilità, mirato a creare un approccio più strutturato e sicuro alla gestione delle nuove vulnerabilità scoperte nei prodotti e servizi ICT. Questo quadro incoraggia la segnalazione responsabile delle vulnerabilità ai fornitori e promuove la collaborazione tra ricercatori di sicurezza, fornitori e autorità per mitigare efficacemente i rischi.
2. Database delle Vulnerabilità dell’UE: La direttiva prevede la creazione di un database delle vulnerabilità a livello europeo, mantenuto da ENISA, che fungerà da repository centrale per le vulnerabilità pubblicamente note nei prodotti e servizi ICT. Questo database sarà una risorsa preziosa per le entità per rimanere informate sulle potenziali minacce, applicare gli aggiornamenti di sicurezza necessari e migliorare la loro postura complessiva di cibersicurezza.

In sintesi, la Direttiva NIS2 introduce cambiamenti significativi progettati per rafforzare il quadro di cibersicurezza dell’UE. Ampliando il suo ambito di applicazione, rafforzando i requisiti di sicurezza e di segnalazione e migliorando i meccanismi di supervisione ed esecuzione, la direttiva mira a creare un ambiente più resiliente dal punto di vista cibernetico per i servizi essenziali e le infrastrutture critiche in tutta l’Unione Europea.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.