Capitolo 1
Le novità della NIS2
La nuova Direttiva include nell'ambito più settori e si concentra sulla fornitura di linee guida per garantire una trasposizione uniforme tra gli Stati membri dell'UE
Estensione dell'ambito
La NIS2 definisce due categorie di entità nel suo ambito: importanti ed essenziali. Le entità di entrambe le categorie dovranno soddisfare gli stessi requisiti. Tuttavia, la distinzione sarà nelle misure di supervisione e nelle sanzioni. Le entità essenziali dovranno soddisfare i requisiti di supervisione a partire dall'introduzione della NIS2, mentre le entità importanti saranno soggette a supervisione ex post, il che significa che in caso le autorità ricevano prove di non conformità, verranno prese azioni. La NIS2 ha semplificato l'esercizio di delimitazione che le autorità competenti devono compiere. È stata definita una lista di settori e una regola base secondo la quale:
- grandi imprese (con oltre 250 dipendenti o con un fatturato superiore ai 50 milioni di euro)
- piccole-medie imprese (con oltre 50 dipendenti o con un fatturato superiore ai 10 milioni di euro), appartenenti a quei settori in scope, saranno direttamente incluse nell'ambito.
Tuttavia, le piccole o micro-organizzazioni non sono necessariamente escluse; gli Stati membri possono estendere questi requisiti se un'impresa soddisfa criteri specifici che indicano un ruolo chiave per la società, l'economia o per particolari settori o tipi di servizi.
Registrazione delle entità essenziali e importanti
Entro il 17 aprile 2025, gli Stati membri devono identificare le entità essenziali e importanti nell'ambito della Direttiva NIS2. Gli Stati membri possono consentire alle entità di registrarsi autonomamente. Pertanto, le entità dovranno determinare se i loro servizi rientrano nell'ambito della NIS2, identificare l'elenco degli Stati membri in cui forniscono servizi "in ambito" e registrarsi entro la scadenza in ogni Stato membro.
La registrazione richiederà alle entità di fornire almeno le seguenti informazioni:
- Il loro nome, indirizzo e numero di registrazione
- Il settore o sottosettore nell'ambito della NIS2 a cui appartengono
- I loro dettagli di contatto aggiornati
- Gli Stati membri in cui operano
- L'elenco dei loro indirizzi IP assegnati
Il processo di registrazione finale e l'elenco delle informazioni richieste saranno definiti come parte del recepimento della Direttiva nella legislazione.
Migliore cooperazione (piattaforma CSIRT)
Un altro elemento importante della nuova Direttiva è l'intenzione di migliorare la cooperazione degli Stati membri dell'UE riguardo agli incidenti e alle minacce informatiche. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) avrà il mandato di stabilire un database europeo di divulgazione delle vulnerabilità per facilitare la condivisione delle conoscenze tra gli Stati membri.
Segnalazione degli incidenti
Come già stabilito per la NIS1, ogni Stato membro avrà un punto di contatto centrale per la conformità alla Direttiva e un CSIRT (Computer Security Incident Response Teams) coordinatore per la segnalazione degli incidenti o un'autorità competente. In Italia, ad esempio, questo sarà il ruolo di ACN (Agenzia per la Cybersicurezza Nazionale).
La NIS2 ha progettato un nuovo cronoprogramma per la segnalazione degli incidenti. Ogni incidente con impatto significativo deve essere notificato dalle entità essenziali e importanti senza indebito ritardo. Entro 24 ore, un avviso preliminare deve essere comunicato, così come alcune prime ipotesi riguardo al tipo di incidente all'autorità competente o al CSIRT. Dopo 72 ore, deve essere comunicato un rapporto di notifica completo, contenente la valutazione dell'incidente, la gravità e l'impatto e gli indicatori di compromissione. Dopo 1 mese, deve essere comunicato un rapporto finale.
A tal riguardo, la Direttiva incoraggia gli Stati membri a semplificare il processo di segnalazione degli incidenti implementando un punto di accesso unico per ridurre l'onere amministrativo, anche per gli incidenti transfrontalieri. Il CSIRT, o se applicabile l'autorità competente, deve riferire ad ENISA gli incidenti ogni tre mesi, utilizzando informazioni anonime. Con tutte queste informazioni, ENISA a sua volta riferirà ogni sei mesi sugli incidenti nell'UE. Questa segnalazione aiuterà le organizzazioni e gli Stati membri a imparare da altri incidenti ed è un cambiamento cruciale nella nuova Direttiva NIS2.
Focus sulle catene di approvvigionamento chiave
Gli incidenti recenti in tutto il mondo hanno dimostrato l'importanza della continuità all'interno delle catene di approvvigionamento critiche, motivo per cui la NIS2 l'ha introdotta come uno dei punti focali chiave. Le singole imprese saranno responsabili di affrontare i rischi di cybersecurity nelle proprie catene di approvvigionamento, così come nei rapporti con i fornitori.
Questo requisito potrebbe influenzare indirettamente molti fornitori che non rientrano nell'ambito della nuova Direttiva NIS2, ma che potrebbero fornire servizi o prodotti a un'entità nell'ambito della NIS2. Pertanto, il loro cliente potrebbe imporre una maturità minima in materia di cybersecurity al fornitore. Il fornitore non sarà supervisionato dalle autorità nazionali riguardo alla NIS2, ma dal cliente. Quindi, anche se l’organizzazione non è nell'ambito, potrebbe comunque essere influenzata a seconda dei servizi e del settore.
Responsabilità della gestione
Un'altra importante aggiunta alla NIS1 è la responsabilità che la nuova Direttiva assegna alla gestione delle organizzazioni nell'ambito. Sarà obbligatorio per la gestione assumersi la responsabilità riguardo alla propria maturità in materia di cybersecurity. Questo includerà la conduzione di valutazione del rischio e l'approvazione dei piani di risk management da implementare, tra altri compiti. Per svolgere queste azioni, la gestione dovrà seguire una formazione in cybersecurity. La Direttiva suggerisce anche di formare non solo la gestione, ma anche i dipendenti, per una conoscenza più approfondita della cybersecurity.
Complessità giurisdizionale
Secondo la Direttiva NIS2, le entità essenziali e importanti sono considerate sotto la giurisdizione dello Stato membro in cui forniscono i loro servizi.Se l'entità fornisce servizi in più di uno Stato membro, essa dovrebbe ricadere sotto la giurisdizione di ciascuno di questi Stati membri. Per le entità in cui il servizio è fornito o dipende da operazioni al di fuori dell'UE, esse devono garantire la continuità dei loro servizi nell'UE in caso di interruzione delle loro operazioni extra-UE.
Sanzioni
La NIS1 prevedeva sanzioni per la non conformità da parte degli OES e dei DSP, mentre la NIS2 introduce sanzioni più severe per la non conformità, inclusi multe fino al 10% del fatturato annuale di un'entità. Per le entità essenziali: sanzioni amministrative fino a €10.000.000 o almeno il 2% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità essenziale, a seconda di quale importo sia superiore. Per le entità importanti: sanzioni amministrative fino a €7.000.000 o almeno l'1,4% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità importante, a seconda di quale importo sia superiore. r.
Capitolo 2
Come preparare la tua organizzazione per la NIS2?
Sulla base delle lezioni apprese dalla NIS, scopri gli aspetti chiave che la tua organizzazione dovrebbe considerare per essere sulla strada giusta per la conformità alla NIS2
Anticipa e inizia a prepararti
Una preparazione tempestiva è un elemento chiave nel percorso di un'organizzazione verso la conformità. Ottenere il sostegno della dirigenza, l'adesione degli interessati e il budget e le risorse necessarie richiederà tempo. Prevedi i ritardi e impegna te stesso in una pianificazione rigorosa con scadenze ferree. Inoltre, l'implementazione di alcuni dei nuovi requisiti può essere considerata come successi rapidi e predisposta in anticipo, come il processo di escalation degli incidenti e di segnalazione alle autorità competenti.
Identifica i processi critici della tua organizzazione
Il punto di partenza nel percorso di conformità è identificare i servizi, i processi e gli asset critici dell'organizzazione che forniscono il servizio essenziale come definito nel NIS2. Un metodo per raggiungere ciò è una valutazione dell'impatto aziendale a livello di organizzazione per evidenziare i processi critici dell'organizzazione e la loro dipendenza dai sistemi di rete e informatici. Un elemento critico per l'esercizio di definizione del campo di applicazione è la definizione dei criteri di impatto aziendale che renderanno un processo, un sito o un asset oggetto di interesse.
Implementa un sistema di gestione dei rischi e della sicurezza delle informazioni
Le aziende oggetto della Direttiva NIS2 dovranno gestire i rischi per la sicurezza delle informazioni. Per soddisfare tale requisito, deve essere implementato un sistema di gestione dei rischi e della sicurezza delle informazioni. Tale sistema di gestione della sicurezza delle informazioni mira a identificare, trattare e monitorare i rischi per la sicurezza delle informazioni dell'azienda e ad assicurare che le responsabilità siano definite e che i processi chiave siano operativi, come:
- Politiche di gestione dei rischi e della sicurezza delle informazioni
- Gestione degli incidenti
- Continuità aziendale e gestione delle crisi (backup, disaster management)
- Sicurezza della catena di approvvigionamento
- Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi di rete e informatici, inclusa la gestione e la divulgazione delle vulnerabilità
- Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi informatici
- Crittografia e multifactor authentication
- Persone, consapevolezza e formazione
Avvia il processo di gestione della sicurezza della catena di approvvigionamento IT
Dai un'occhiata ai tuoi fornitori IT, specialmente quelli che sono fondamentali per la continuità delle tue operazioni. Comprendendo le debolezze della tua catena di approvvigionamento IT e le lacune nella sicurezza dei tuoi fornitori, puoi iniziare il lungo processo di rimediare alle tue vulnerabilità contrattuali, operative o tecniche.
Instaura una cultura orientata alla cybersecurity
Uno degli elementi più citati, ma difficile da implementare in molte organizzazioni, è avere una cultura orientata alla cybersecurity e un livello di consapevolezza della sicurezza delle informazioni maturo tra i dipendenti. I dipendenti dovrebbero essere consapevoli dei loro ruoli e delle loro responsabilità riguardo all'ecosistema della sicurezza delle informazioni. I dipendenti IT dovrebbero avere le conoscenze necessarie per applicare i controlli richiesti. E, ultimo ma non meno importante, la dirigenza dovrebbe abbracciare la cybersecurity come elemento chiave della sopravvivenza dell'organizzazione in questa era digitale.
Cerca la guida e l'assistenza appropriate nel tuo percorso
Il nostro gruppo di esperti ha conquistato la NIS1 ed è qui per guidarti e assisterti nel tuo percorso verso la NIS2. EY può aiutarti a valutare la tua preparazione, definire il tuo percorso verso la conformità, identificare il tuo campo di applicazione, impostare e implementare i tuoi quadri di gestione dei rischi e della sicurezza, proteggere la tua catena di approvvigionamento IT e ottimizzare il tuo programma di consapevolezza della cybersecurity.
In conclusione
La direttiva NIS2 mira a potenziare la cybersecurity e la resilienza nelle organizzazioni dell'Unione Europea. Questa direttiva amplia il suo campo di applicazione per includere più settori e si concentra sulla necessità di un'attuazione coerente in tutti gli Stati membri dell'UE. Pertanto, le organizzazioni dovrebbero iniziare a prepararsi per la conformità creando una roadmap e aumentando la consapevolezza della cybersecurity.
Summary
Esplora le modifiche principali introdotte con la seconda edizione della direttiva europea relativa alle reti e ai sistemi informativi, e scopri come la tua organizzazione può adeguarsi in previsione dell'implementazione a livello nazionale
