La direttiva NIS 2 (Direttiva UE 2022/2555), entrata in vigore il 17 gennaio 2023, rappresenta un aggiornamento cruciale nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni. Ha l’obiettivo di rafforzare il livello di sicurezza informatica all’interno dell’Unione Europea.
La direttiva (UE) 2022/2555, meglio nota come Direttiva NIS2, è stata recepita dall’Italia (con pubblicazione in Gazzetta Ufficiale il primo ottobre 2024).
A chi si applica?
La NIS2 si applica a qualsiasi azienda che opera nell’UE, compresi “tutti gli enti pubblici e privati nel mercato interno, che svolgono funzioni importanti per l’economia e la società nel suo insieme”, che “sono tenuti ad adottare adeguate misure di sicurezza informatica”.
Esempi di ciascun tipo di entità includono:
Entità che operano nei seguenti settori possono essere considerate essenziali (EE):
- Trasporto
- Energia
- Banking
- SanitÃ
- Servizi idrici
Entità che operano nei seguenti settori possono essere considerate importanti (IE):
- Servizi postali e di spedizione
- Gestione dei rifiuti
- Produzione e trattamenti chimici
- Alimenti
- Fornitori di servizi digitali (motori di ricerca, piattaforme di social network, ecc.)
Esempi di tre settori interessati da NIS2 sono:
- Sanità – L’assistenza sanitaria è un servizio essenziale nell’ambito della NIS2; pertanto, un’entità sanitaria deve aderire ai rigorosi requisiti normativi NIS2
- Retailer – La NIS2 identifica esplicitamente “produzione, trasformazione e distribuzione alimentare” e “fornitori di mercati online”” come “servizi importanti”. Pertanto, molte operazioni di vendita al dettaglio rientreranno nell’ambito della conformità NIS2
- Fornitori e provider di servizi di terze parti – La NIS2 richiede un approccio proattivo alla gestione del rischio della supply chain, compresa la valutazione della qualità delle pratiche di cybersicurezza dei propri fornitori.
Le sanzioni in caso di non conformitÃ
La mancata osservanza degli obblighi della NIS 2 comporta sanzioni che variano in base all’appartenenza al servizio importante o essenziale.
Le sanzioni per le imprese dei servizi importanti possono arrivare fino a 7.000.000 euro o all’1,4% del fatturato annuo complessivo, mentre per le entità essenziali possono raggiungere i 10.000.000 euro o il 2% del fatturato annuo complessivo, a seconda di quale importo sia maggiore.
Benefici della NIS 2 per le aziende
La direttiva NIS2 offre numerosi benefici concreti per le aziende, promuovendo un ambiente digitale più sicuro e resiliente. Innanzitutto, adottare strategie di cyber resilience basate sui requisiti della NIS2 può contribuire a migliorare l’igiene digitale e la postura di sicurezza di un’organizzazione, con l’obiettivo di ridurre il rischio di incidenti informatici, rafforzare la resilienza informatica e favorire la continuità operativa.
Come prepararsi all’implementazione
Per prepararsi all’implementazione della NIS2, le aziende devono iniziare con una valutazione del rischio per pianificare le misure appropriate. È fondamentale stabilire un solido quadro di governance per identificare e documentare ruoli e responsabilità delle principali parti interessate.
Un altro aspetto chiave è la formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di cura digitale. Implementare un piano completo di cybersecurity e cyber resilience, con il supporto di un team qualificato
Conclusioni
CSConsulting è in grado di affiancare e supportare le aziende nell’ integrazione della direttiva NIS2 e ci rendiamo disponibili con le nostre risorse.
Per maggiori informazioni info@csconsulting-vr.it