Approvata la Direttiva NIS2: nuovi obblighi di cyber sicurezza per le aziende

Approvata la Direttiva NIS2: nuovi obblighi di cyber sicurezza per le aziende

16/01/2023

Il Parlamento e il Consiglio Europeo hanno approvato definitivamente la nuova direttiva Nis 2, in sostituzione della precedente in atto dal 2018, che introduce nuovi obblighi di cyber security per le aziende in materia di sicurezza dei dati e maggiori responsabilità per i soggetti interessati. Tra gli obiettivi, quello di adeguare le disposizioni in materia per rispondere ai flussi digitali post pandemia Covid-19, che hanno visto un considerevole aumento di traffico nella rete e delle relative superfici di attacco.

La novità principale è senza dubbio l'ambito di applicazione: le nuove disposizioni normative oltre ad essere applicabili ai settori già previsti dalla Direttiva NIS1 (energia, telecomunicazioni, trasporti, bancario e dei mercati finanziari, sanitario, ecc.) interesseranno anche:

  • servizi digitali (piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica);
  • servizi sanitari, (quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider); 
  • servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione

Relativamente alle dimensioni delle società, rientrano nel campo di applicazione le società operanti nei settori sopra elencati che siano di medie e grandi dimensioni. La normativa potrebbero interessare anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.

Gli Stati Membri avranno il compito di fare in modo che le società che ricadono nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.

Entro 21 mesi dall’entrata in vigore della Direttiva, la Commissione europea dovrà definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market place, motori di ricerca e social network. Gli Stati membri avranno un periodo massimo di 21 mesi per poter procedere al recepimento della normativa a livello nazionale. A quel punto le norme diventeranno vincolanti per le imprese e le norme di attuazione della direttiva NIS1 saranno abrogate.

I requisiti minimi previsti dalla Direttiva NIS2

Secondo la direttiva queste misure tecniche, operative ed organizzative devono comprendere almeno quanto segue:

  • policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
  • sistemi di gestione degli incidenti;
  • sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
  • misure di gestione della sicurezza della supply chain;
  • la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
  • policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
  • pratiche di igiene informatica di base (i.e., regole fondamentali per garantire la cybersecurity) e formazione in materia di sicurezza informatica;
  • policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
  • misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
  • l’uso di soluzioni di autenticazione a più fattori (i.e., la c.d. multi-factor authentication) o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2. Questo rappresenta un argomento di notevole rilievo già attualmente per le aziende che sono fornitrici delle società rientranti nel perimetro di sicurezza nazionale perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.

Come previsto dalla precedente, l'attuale Direttiva NIS2 stabilisce l'obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. La notifica deve essere indirizzata anche a beneficio dei destinatari del servizio impattato dal cyber attacco, indicando le misure che detti destinatari sono in grado di adottare per reagire all’attacco. Le tempistiche di notifica sono ulteriormente specificate: la prima notifica deve avvenire entro 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza. Ciò concide con quanto esplicato dalla normativa italiana sul perimetro di sicurezza cybernetica.

Per approndimenti consultare la Gazzetta ufficiale dell’UE 333/80 del 27 dicembre 2022

 

 

 

 

Confindustria Sardegna Meridionale

© 2024 Confindustria Sardegna Meridionale
Cagliari, Viale Colombo 2
Tel. 070 604281   Fax 070 659964
Email assindca@assindca.it - PEC assindca@pec.it
CF 80001750928
Informativa sulla Privacy

 
Realizzazione: Micro srl