La Direttiva NIS 2 (Network and Information Security) rappresenta l’aggiornamento della prima direttiva NIS, in vigore dal 2016, con l’obiettivo di rafforzare la sicurezza informatica e la risposta degli Stati membri nell’UE, rafforzando la cooperazione e lo scambio di informazioni. Approvata a gennaio 2023, la direttiva riconosce che le minacce digitali sono in continua crescita, aumentando la vulnerabilità dei settori critici includendo non solo le aziende nei settori definiti ad “alta criticità” quali energia, trasporti, finanza, salute, ma anche altri fornitori di servizi critici quali quelli digitali, postali, di gestione dei rifiuti e altri servizi essenziali. Questa direttiva introduce misure cruciali per la gestione dei rischi legati alla cybersecurity e obblighi di segnalazione degli incidenti significativi.
Cosa Cambia con la NIS 2?
A differenza della prima direttiva NIS, NIS 2 amplia il campo d’azione coinvolgendo più settori e imponendo standard di sicurezza più rigorosi, come la gestione avanzata dei rischi e notifiche obbligatorie di incidenti. Le aziende devono garantire che tutte le procedure di sicurezza rispettino le norme e mitigare i rischi con misure preventive. Ad esempio, se un’infrastruttura sanitaria subisce un attacco informatico, l’azienda deve segnalare l’evento in tempi rapidi alle autorità competenti.
Requisiti e Sanzioni
NIS 2 introduce regole precise su come le aziende devono gestire la sicurezza informatica. I dirigenti delle aziende sono tenuti ad adottare misure tecniche, organizzative e di prevenzione per proteggere i dati. Le sanzioni per il mancato rispetto sono state inasprite, con multe che possono arrivare fino al 2% del fatturato globale.
La direttiva NIS2 è entra in vigore il 17 gennaio. Entro il 17 ottobre 2024 gli Stati membri dell’Unione Europea dovranno aver emanato le normative di recepimento a livello nazionale. La mancata osservanza degli obblighi della NIS 2 comporta sanzioni che variano in base all’appartenenza al servizio importante o essenziale.
Le sanzioni per le imprese dei servizi importanti possono arrivare fino a 7.000.000 euro o all’1,4% del fatturato annuo complessivo, mentre per le entità essenziali possono raggiungere i 10.000.000 euro o il 2% del fatturato annuo complessivo, a seconda di quale importo sia maggiore.
Come Prepararsi alla NIS 2?
Per le aziende è importante:
- Implementare un programma di gestione dei rischi: includere regolari aggiornamenti dei software, firewall avanzati e una gestione sicura dei dati.
- Formazione del personale: investire nella formazione per migliorare la consapevolezza sui rischi informatici.
- Collaborazione con esperti: affidarsi a professionisti per la verifica continua della sicurezza dei sistemi.
Per ridurre i rischi e preservare l’integrità dei dati, è importante seguire pratiche di igiene informatica. Alcuni esempi includono:
- Aggiornare costantemente i sistemi software.
- Usare password di almeno 12 caratteri.
- Evitare di salvare le credenziali di accesso sui dispositivi.
- Attivare l’autenticazione a più fattori.
- Diversificare gli accessi e profilare correttamente gli utenti e le informazioni accessibili a ciascuno
Altre pratiche comuni sono:
- Disconnettere i profili personali quando non sono in uso.
- Utilizzare la crittografia per rendere i dati illeggibili in caso di perdita o furto.
- Salvataggio regolare dei dati tramite backup.
Conclusione
La Direttiva NIS 2 spinge le aziende e le infrastrutture critiche a fare della sicurezza informatica una priorità assoluta, promuovendo un sistema digitale più sicuro e resiliente in Europa.
