NIS 2: tutto sulle nuove regole e come prepararsi
Il 10 novembre 2022, il Parlamento Europeo ha approvato la direttiva sulla sicurezza delle reti e dell’informazione, meglio conosciuta come “NIS 2”.
Una mossa che migliora e specifica ulteriormente le indicazioni della NIS, la prima legislazione dell’UE sulla cybersicurezza, adottata nel 2016.
L’obiettivo della NIS 2 è coprire una quota maggiore di casi d’uso in Europa e implementare altri requisiti di sicurezza assenti nella prima direttiva, conformando ad essa tutti gli Stati dell’Unione Europea.
Dall’approvazione, gli Stati membri hanno 21 mesi per recepire la NIS 2 nella legislazione nazionale una volta pubblicata nella Gazzetta ufficiale, il che porta il tempo massimo di applicazione alla fine del 2024.
Dalla Nis 1 alla Nis 2
La NIS 2 abroga e sostituisce la direttiva sulle reti e sui sistemi informativi 2016/1148 (NIS 1), che mirava a raggiungere un livello comune elevato di sicurezza informatica in tutta l’UE, con particolare attenzione alla protezione delle infrastrutture critiche.
NIS 2 si basa sul framework NIS 1 per imporre obblighi di gestione del rischio informatico, segnalazione degli incidenti e condivisione delle informazioni a determinati tipi di organizzazioni in una serie di settori.
Una legge introdotta perché l’Unione Europea ha riconosciuto che l’implementazione di NIS 1 presenta oramai dei limiti.
Nel luglio 2020, la Commissione Europea ha avviato una consultazione sulla potenziale riforma, rilevando che erano necessari aggiornamenti a seguito del rapido ritmo della digitalizzazione, della crescente interconnessione dei settori e dell’aumento dei rischi informatici.
Le carenze individuate delle NIS 1 includevano un campo di applicazione limitato, la mancanza di armonizzazione tra gli Stati membri, livelli incoerenti di resilienza informatica e assenza di meccanismi congiunti di risposta alle crisi.
Il NIS 1 includeva requisiti per l’adozione di misure tecniche e organizzative adeguate e proporzionate per gestire i rischi di sicurezza informatica.
Questi sono stati rafforzati in NIS 2 per tutte le entità al fine di adottare politiche uniche di base.
Queste includono (tra le altre):
– analisi dei rischi e risposta agli incidenti;
– cifratura e crittografia;
– divulgazione di vulnerabilità;
– formazione sulla sicurezza informatica e sicurezza della catena di fornitura ICT.
L’enfasi della NIS 2 sull’affrontare i rischi nelle catene di fornitura ICT implica che anche le imprese teoricamente al di fuori dall’ambito di applicazione diretto della norma possono esserne influenzate.
Nel valutare le politiche di sicurezza, le entità coinvolte dovranno tenere conto delle vulnerabilità di ciascun fornitore diretto e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica.
Tali soggetti sono incoraggiati a incorporare misure di gestione del rischio di sicurezza nei loro accordi contrattuali e ad esercitare una maggiore attenzione nella selezione dei loro fornitori di servizi di sicurezza gestiti.
La NIS 2 prevede che le aziende intraprendano una valutazione del rischio per determinare le misure appropriate alle loro particolari condizioni.
La cronologia del passaggio alla Nis 2
- 6 luglio 2016: NIS 1 entra in vigore
- 9 maggio 2018: termine entro il quale gli Stati membri devono recepire la norma NIS 1 nel diritto nazionale
- 7 luglio 2020: la Commissione Europea avvia la consultazione sulla riforma dei NIS
- 16 dicembre 2020 1: la Commissione Europea pubblica la proposta per la NIS 2
- 22 novembre 2021: il Parlamento Europeo adotta la sua posizione negoziale
- 3 dicembre 2021: il Consiglio europeo accetta la proposta
- 13 gennaio 2022: primo ciclo di negoziati
- 16 febbraio 2022: secondo ciclo di negoziati
- 13 maggio 2022: raggiunto l’accordo politico
- 10 novembre 2022: il Parlamento europeo vota per l’adozione della NIS 2
- 28 novembre 2022: NIS 2 approvata dal Consiglio dell’UE
- 27 dicembre 2022: NIS 2 viene pubblicata nella Gazzetta ufficiale
- Autunno 2024: termine entro il quale gli Stati membri devono recepire la NIS 2 nel diritto nazionale
Gli ambiti di applicazione della direttiva NIS 2
La norma NIS 2 si applica a tutti i soggetti che forniscono i propri servizi o svolgono le proprie attività nell’UE.
C’è poi la definizione di “entità”, con cui la specifica i soggetti di particolare rilevanza nell’ambito della sua applicazione. Alcune eccezioni riguardano le dimensioni di un’azienda, il che significa che le piccole imprese e le microimprese sono escluse.
Gli Stati membri possono concedere esenzioni a soggetti specifici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.
I settori pertinenti in cui alcune imprese possono qualificarsi come entità essenziali o importanti includono:
banche
– infrastrutture del mercato finanziario
– fornitori digitali (ovvero mercati online, motori di ricerca – online e piattaforme di social networking)
– infrastrutture digitali (compresi i fornitori di reti e servizi – pubblici di comunicazione elettronica, fornitori di servizi cloud e data center)
– gestione dei servizi ICT business-to-business,
– energia
– trasporti
– salute
– alcuni tipi di produzione (inclusi macchinari, computer ed elettronica, autoveicoli e altri mezzi di trasporto)
– produzione e distribuzione (ad esempio di cibo)
– utilities.
Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi:
- i servizi postali e di corriere;
- la gestione dei rifiuti;
- la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- la produzione, la trasformazione e la distribuzione di alimenti;
- la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- la fabbricazione di computer e prodotti di elettronica e ottica;
- la fabbricazione di apparecchiature elettriche;
- la fabbricazione di macchinari e apparecchiature n.c.a.;
- la fabbricazione di autoveicoli, rimorchi e semirimorchi;
- la fabbricazione di altri specifici mezzi di trasporto;
- i fornitori di servizi digitali;
- le organizzazioni di ricerca.
Adempimenti, obblighi e regole della NIS 2
La norma NIS 2 si applicherà parallelamente e senza pregiudicare alcune normative dell’UE esistenti, come il regolamento generale sulla protezione dei dati (GDPR).
In particolare, qualora le autorità competenti vengano a conoscenza di violazioni delle disposizioni NIS 2 sulla gestione del rischio informatico o sulla segnalazione degli incidenti che possono comportare una violazione dei dati personali ai sensi del GDPR, sono tenute a informare le autorità competenti per la protezione dei dati.
Nell’elaborazione del NIS 2 sono state prese in considerazione varie normative settoriali specifiche dell’UE. In particolare:
- La norma NIS 2 prevede che, laddove la legislazione settoriale specifica dell’UE imponga requisiti equivalenti affinché entità essenziali o importanti adottino misure o notifichino incidenti significativi, le pertinenti disposizioni NIS (e la relativa vigilanza e applicazione) non si applicheranno.
- Le disposizioni NIS 2 si applicheranno a tutte le entità individuate dalla direttiva sulla resilienza delle entità critiche, che si concentra sulla resilienza contro il rischio fisico in molti dei settori che rientrano nell’ambito di applicazione della NIS 2.
- La NIS 2 prevede che qualsiasi sovrapposizione con il regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) sarà affrontata dalla DORA stessa, essendo considerata come lex specialis (ovvero una legge più specifica che prevarrà sulle disposizioni più generali della NIS 2).
Come prepararsi alla NIS 2
Le aziende devono considerare se rientrano nell’ambito di applicazione della NIS 2 e, in tal caso, se vengono considerate entità importanti o essenziali.
Bisognerà quindi pianificare costi potenzialmente significativi associati al rispetto dei nuovi requisiti.
Secondo la valutazione d’impatto dell’UE per il NIS 2, le aziende che rientravano nel campo di applicazione del NIS 1 dovrebbero prevedere un aumento fino al 12% della loro spesa per ICT per gli anni immediatamente successivi all’attuazione. Per le aziende che non erano soggette a NIS 1, la stima è del 22%.
Le entità che rientrano nell’ambito dovranno rivedere i processi di gestione dei rischi di sicurezza informatica (come l’insieme principale delle politiche relative) e di segnalazione degli incidenti, e considerare quali modifiche devono essere apportate alle politiche e procedure esistenti.
La NSI 2 dovrebbe portare a una maggiore coerenza nell’attuazione delle misure di cybersicurezza in tutta l’UE.
Le organizzazioni dovrebbero prepararsi alla conformità in modo olistico, ossia tenendo conto anche degli obblighi pertinenti previsti da altre leggi.
Ad esempio, le politiche di sicurezza informatica e le procedure di gestione degli incidenti delle entità che rientrano nell’ambito di NIS 2 dovranno considerare tutti i requisiti pertinenti delle leggi applicabili, inclusi i requisiti del GDPR per la segnalazione degli incidenti e per le misure tecniche e organizzative appropriate.
Questo perché un processo di risposta agli incidenti conforme al GDPR non sarà sufficiente per adempiere gli scopi della NIS 2, in particolare alla luce dei tempi di segnalazione più ristretti.
Ultimi post
- Intranet aziendale
- Sprint Execution
- Network Access Control
- Container as a Service
- Red team e Blue team
Categorie
Tag