FAQ NIS2

Cos’è la Direttiva NIS2?

La NIS2 è una direttiva dell’Unione Europea, adottata nel dicembre 2022, che introduce requisiti di sicurezza informatica uniformi per le entità critiche e importanti. L’obiettivo è migliorare la resilienza e la sicurezza dei servizi essenziali contro le minacce informatiche.

A chi si applica la NIS2?

La direttiva si applica a due categorie principali:

• Entità critiche: settori come energia, sanità, trasporti, infrastrutture digitali e servizi finanziari.
• Entità importanti: aziende che operano in settori rilevanti, come fornitori di servizi cloud o gestori di infrastrutture di rete.

Include anche le aziende nella supply chain di queste entità, se le loro attività possono influire sulla sicurezza dei servizi critici.

Ulteriori informazioni sono disponibili al nostro approndimento nel sito ROSSI TEAM.

Come capire se la propria organizzazione è soggetta alla NIS2?

Il primo passo per l’adeguamento è valutare se si rientra tra i soggetti essenziali o importanti. Per farlo:

• Verifica se la tua organizzazione opera in uno dei settori elencati dalla direttiva (energia, sanità, trasporti, infrastrutture digitali, ecc.).
• Considera la dimensione dell’organizzazione: in generale, le grandi imprese (oltre 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro) sono incluse automaticamente.
• Identifica se sei parte della supply chain di un soggetto essenziale o importante.

Quali sono gli obblighi principali previsti dalla NIS2?

Le entità soggette devono:

• Implementare misure di gestione del rischio proporzionate.
• Notificare gli incidenti significativi entro 24 ore e fornire un rapporto entro 72 ore.
• Garantire la continuità operativa dei servizi essenziali.
• Effettuare valutazioni e controlli sulla supply chain.
• Collaborare con le autorità competenti e i CSIRT (Computer Security Incident Response Team).

Poi nella direttiva sussitono altri obblighi importanti.

Quali sono le scadenze principali per adeguarsi alla NIS2?

Le prossime scadenze sono:

Entro il 17 gennaio 2025: i soggetti essenziali devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Entro il 28 febbraio 2025: i soggetti importanti devono completare la registrazione sulla piattaforma ACN.

Entro il 31 marzo 2025: l’ACN completerà l’elenco dei soggetti essenziali e importanti.

Tra il 1° e il 15 aprile 2025: l’ACN comunicherà ufficialmente ai soggetti la loro classificazione.

Entro il 1° gennaio 2026: adeguamento all’articolo 25 (implementazione del processo per la gestione degli incidenti) e all’articolo 30 (aggiornamento annuale delle informazioni sulla piattaforma ACN).

Entro il 1° ottobre 2026: adeguamento agli articoli 23 (obblighi per gli organi di amministrazione e direttivi), 24 (implementazione di misure di sicurezza e gestione del rischio) e 29 (gestione della banca dati dei nomi di dominio).

Come possiamo vedere, è concesso un orizzonte temporale di 20 mesi per adeguarsi completamente a NIS2; evidenziamo come 20 mesi appaiano sufficienti per l’adeguamento, ma noi riteniamo che in molte organizzazione l’adeguamento sarà complesso e rivestirà molte unità organizzative e funzioni aziendali.

Perchè si specificano espressamente gli artt. 23. 24 e 29?

Articolo 23: Obblighi per gli organi di amministrazione e direttivi

• Gli organi di amministrazione (es. consigli di amministrazione) devono assumere la responsabilità diretta per garantire che le misure di sicurezza informatica siano implementate e rispettate.
• Devono ricevere formazione specifica in materia di gestione del rischio e sicurezza informatica per comprendere e supervisionare le attività connesse.
• La direttiva sottolinea la necessità che la sicurezza informatica sia considerata una priorità strategica.

Questo articolo richiede che il management sia impegnato a garantire il rispetto della Direttiva NIS2.

Articolo 24: Implementazione di misure di sicurezza e gestione del rischio

Le entità soggette devono adottare misure di sicurezza proporzionate ai rischi associati ai servizi e alle attività svolte. Queste misure devono includere:

Valutazione dei rischi: identificare e analizzare i potenziali impatti.

Controlli tecnici e organizzativi: es. firewall, sistemi di rilevazione intrusioni, piani di risposta agli incidenti.

Protezione della supply chain: garantire che i fornitori e i partner rispettino standard di sicurezza adeguati.

Piani di resilienza operativa: per garantire la continuità dei servizi in caso di incidenti significativi.

Le basi della compliance a questo articolo sono certamente ISO 27001 e ISO 22301, ma come abbiamo detto non sono bastanti.

Articolo 29: Gestione della banca dati dei nomi di dominio

• Questo obbligo si applica alle entità coinvolte nella gestione dei nomi di dominio (es. registri, registrars o fornitori DNS).
• Richiede la creazione e la manutenzione di una banca dati completa dei nomi di dominio, contenente informazioni affidabili e accurate su:
  • Il nome del registrante.
  • Informazioni di contatto.
  • Altri dettagli necessari per garantire la trasparenza e facilitare la mitigazione delle minacce.

Una certificazione ISO 27001 garantisce la conformità alla NIS2?

No. Sebbene l’ISO 27001 sia una base solida per la sicurezza delle informazioni, non copre tutti i requisiti della NIS2, come:

• Notifica degli incidenti a enti esterni.
• Verifica della supply chain.
• Collaborazione obbligatoria con autorità e CSIRT.

Come gestire la sicurezza della supply chain secondo la NIS2?

La direttiva richiede di:

• Valutare i rischi legati ai fornitori.
• Assicurarsi che i fornitori adottino misure di sicurezza adeguate.
• Inserire nei contratti clausole che disciplinano la gestione della sicurezza e la notifica degli incidenti.

Quali sanzioni sono previste per il mancato rispetto della NIS2?

Le sanzioni variano in base alla legislazione nazionale, ma possono includere:

• Multe fino a 10 milioni di euro o il 2% del fatturato globale.
• Sanzioni non pecuniarie, come la limitazione o la sospensione di attività.

Qual è la differenza tra NIS2 e GDPR?

• GDPR: si concentra sulla protezione dei dati personali e sulla privacy.
• NIS2: si focalizza sulla resilienza e sicurezza delle infrastrutture critiche e dei servizi essenziali.

Esse possono sovrapporsi, ad esempio in caso di violazione di dati personali a seguito di un attacco informatico.

Quali settori operativi sono inclusi nella NIS2?

I settori coperti includono:

• Energia, acqua, sanità.
• Trasporti, finanza.
• Infrastrutture digitali (cloud, data center, reti di comunicazione).
• Fornitori di servizi gestiti (MSP).
• Pubblica amministrazione centrale e regionale.

Come iniziare il processo di adeguamento alla NIS2?

·  Comprendere se si è soggetti alla direttiva.

·  Effettuare un GAP analysis dello stato attuale rispetto alle richieste della Direttiva NIS2.

·  Registrarsi sulla piattaforma ACN nei tempi indicati.

·  Se già certificati ISO 27001, eventualmente ampliare l’ambito SGSI per coprire tutte le aree rilevanti NIS2 e valutare l’adozione di ISO 22301 – gestione della continuità operativa, eventualmente anche senza certificazione.

·  Integrare controlli specifici per notifiche di incidenti, gestione della supply chain e cooperazione.

·  Formare il personale – e rendere consapevole anche il management – sugli obblighi NIS2.

GLI ALTRI NOSTRI APPROFONDIMENTI SU NIS2 e CYBERSECURITY