E-time | the software company
Linkedin-in Facebook-f Instagram

La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende

Ottobre 18, 2024 by user News
La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende

È stato ufficialmente pubblicato nella Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 ed entrata ufficialmente in vigore il 16 ottobre 2024.

La Direttiva NIS2 rappresenta un importante cambiamento normativo per la sicurezza informatica delle Aziende Europee. Il suo scopo principale è migliorare la resilienza e la protezione delle reti e dei sistemi informativi e si applica ad aziende ed Enti pubblici o privati che operano nel territorio UE.

La nuova Direttiva aggiorna la precedente Direttiva NIS (Network and Information Security), adottata nel 2016 e che data la crescente complessità degli attacchi informatici andava necessariamente aggiornata.

[INDICE]

Che cos'è la Direttiva NIS 2?

La Direttiva NIS2 è una normativa dell’Unione Europea ideata con lo scopo di rafforzare la sicurezza informatica nei Paesi membri. Rispetto alla precedente NIS, la Direttiva NIS2 amplia il campo di applicazione e introduce requisiti più stringenti in termini di gestione del rischio, segnalazione degli incidenti e responsabilità aziendale.

La NIS2 obbliga le aziende a collaborare con le autorità e altre aziende a livello europeo per condividere informazioni e buone pratiche in materia di sicurezza informatica. Ciò mira a garantire una risposta coordinata e più efficace contro le minacce che travalicano i confini nazionali.

L’obiettivo principale è quello di stabilire dei riferimenti comuni all’interno dell’Unione sui temi di sicurezza informatica e opera in maniera sinergica con altre normative, come il GDPR e il Cyber Resilience Act.

NIS2 obbliga le aziende a elevare i propri standard di sicurezza e ad adottare soluzioni avanzate come il Single Sign-On (SSO) e l’Autenticazione a più fattori (MFA), fondamentali per proteggere l’accesso ai sistemi informativi.

In Italia, l’Ente designato dal governo italiano per coordinare le attività di cybersicurezza e l’attuazione della Normativa è ACN (l’Agenzia per la Cybersicurezza Nazionale).

NIS 2: a chi si rivolge

La Direttiva NIS 2 si rivolge a entità essenziali ed entità importanti che vengono distinte in base alla criticità dei servizi che offrono e alle loro dimensioni.

Chi sono le Entità essenziali

Sono considerate essenziali le imprese che operano in uno dei settori ad alta criticità elencati nell’Allegato 1 del Testo e se hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.

Chi sono le Entità importanti

Imprese di medie dimensioni, cioè con più di 50 dipendenti con un ruolo rilevante in settori strategici o critici (Allegato 1 e Allegato 2).

Tuttavia, viene precisato che anche le entità con meno di 50 dipendenti o fatturato inferiore possono essere classificate come essenziali o importanti se operano in settori critici o se la loro interruzione può avere un forte impatto sulla sicurezza o sull’economia.

Per completezza, il link al testo integrale pubblicato sulla Gazzetta Ufficiale

Gli obblighi della Direttiva NIS 2

Gestione del rischio

Le aziende devono implementare misure di sicurezza adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informatici.

Notifica degli incidenti

È obbligatorio notificare gli incidenti di sicurezza alle autorità competenti comunicando l’allarme preventivo entro 24 ore al CSIRT (Computer Security Incident Response Teams), e facendo pervenire la notifica ufficiale entro 72 ore dal verificarsi dell’incidente informatico.

Valutazione della sicurezza e Business Continuity

Le aziende devono condurre valutazioni regolari dei rischi e adottare le opportune misure di mitigazione, oltre a definire dei piani per garantire la continuità operativa dei servizi critici anche in caso di incidenti significativi.

Formazione e sensibilizzazione

È richiesto che le aziende forniscano formazione continua ai dipendenti sulla sicurezza informatica. Inoltre, viene introdotta una maggiore responsaiblità per i Dirigenti imponendo che i membri dei consigli di amministrazione siano direttamente responsabili della conformità alle normative di sicurezza, rendendoli soggetti a sanzioni in caso di inadempienza. 

Chi sono i soggetti obbligati ad adottare la NIS 2

NIS2 si applica obbligatoriamente a un ampio gruppo di imprese sia nel settore pubblico che privato che come già riportato nel paragrafo precedente rientrano nelle categorie di Entità essenziali o Importanti. In particolare, vengono considerati settori ad alta criticità:

  • Energia (elettricità, gas, petrolio)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Sanità (ospedali, laboratori, centri di assistenza sanitaria)
  • Pubblica Amministrazione
  • Infrastrutture digitali (reti di telecomunicazioni, data center)
  • Servizi finanziari (banche, operatori del mercato finanziario)
  • Servizi postali
  • Servizi di approvvigionamento idrico e gestione delle acque reflue
  • Fornitori di servizi digitali (cloud, piattaforme online, motori di ricerca)
  • Fornitori di infrastrutture critiche (comprese le imprese che supportano i settori essenziali, come le telecomunicazioni)

Oltre a questi elencati all’interno dell’Allegato 2 sono menzionati anche altri settori critici, come:

  • Alimentare (aziende che producono e distribuiscono alimenti, soprattutto quelli coinvolti nella fornitura su larga scala.)
  • Gestione dei rifiuti (raccolta, trattamento e smaltimento)
  • Manifatturiero (Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici)
  • Chimico (produzione e fornitura di prodotti chimici)
  • Spazio (operatori satellitari, servizi spaziali)

Anche aziende con meno di 50 dipendenti possono rientrare nell’ambito della Direttiva NIS 2 se rappresentano l’unico fornitore di un servizio essenziale in uno Stato membro o se l’interruzione del loro servizio potrebbe avere un impatto notevole sulla sicurezza o sulla salute pubblica/nazionale. 

Inoltre, le Pubbliche amministrazioni sono tutte soggette all’applicazione della Direttiva indipendentemente dalle loro dimensioni, eccezione fatta per quelle coinvolte in attività legate alla sicurezza nazionale, difesa, ordine pubblico e lotta alla criminalità.

Hai già implementato un sistema di gestione delle identità e degli accessi per i tuoi servizi o i tuoi clienti?
Scopri le soluzioni
Contattaci

Le sanzioni previste dalla Direttiva NIS 2

Le sanzioni specifiche e le procedure di enforcement possono variare a seconda delle normative nazionali adottate dai vari Stati membri in attuazione della Direttiva NIS 2. In linea generale le sanzioni previste possono essere:

  • Sanzioni amministrative: con multe di importi variabili a seconda della gravità della violazione e della dimensione dell’azienda.
  • Sanzioni pecuniarie: in aggiunta alle sanzioni amministrative, potrebbero essere imposte ulteriori sanzioni pecuniarie.
  • Sanzioni specifiche per la non conformità: Se un’azienda non rispetta i requisiti di sicurezza o non comunica le violazioni nei tempi stabiliti, può affrontare sanzioni più severe.
  • Sospensione dei servizi: sospensione temporanea dei servizi forniti dall’azienda o Ente che non risulta conforme.
  • Pubblicazione delle violazioni: in casi specifici o qualora si ritenesse opportuno, le autorità possono decidere di rendere pubbliche le violazioni.

Single Sign-On (SSO) e Autenticazione a più fattori (MFA)

La NIS2 incoraggia l’utilizzo di sistemi di Single Sign-On (SSO) per semplificare e rafforzare la gestione degli accessi e dell’autenticazione a più fattori (MFA) per garantire che l’accesso ai sistemi aziendali sia protetto da più livelli di sicurezza, riducendo il rischio di accessi non autorizzati tramite furto di credenziali.

L’SSO consente agli utenti di autenticarsi una sola volta per accedere a più servizi, migliorando la sicurezza e l’efficienza operativa.

MFA aggiunge invece un ulteriore livello di sicurezza richiedendo più forme di verifica (ad es. password più codice via telefono o biometria).

Utilizzo combinato di SSO e MFA

L’uso combinato di SSO e MFA, non viene preso in considerazione molto spesso trascurando quanto questa pratica può rafforzare la sicurezza, assicurando che anche in caso di compromissione delle credenziali utilizzate per il Single Sign-On, un attaccante debba comunque superare l’MFA. L’utilizzo combinato dei due sistemi porta con se due vantaggi:

  • Comodità dell’Single Sign-On per l’esperienza utente.
  • Ulteriore garanzia di sicurezza grazie all’autenticazione a più fattori.
Scopri le nostre soluzioni
per la gestione di Identità e Accessi
Scopri le soluzioni
Contattaci

E-time is a Software House and System Integrator specialized in IT consulting web based and mobile software development for companies, banks and insurance companies.

   

Services

Solutions

Quick Links

Facebook-f Linkedin-in Youtube Instagram

© 2024 E-time Srl. All Rights Reserved | P.IVA IT03256040233