NIS 2 (Network and Information Syste) è la Direttiva dell’Unione Europea 2022/2555 che sostituisce ed aggiorna, aumentando il livello della cybersicurezza, la Direttiva NIS (introdotta nel 2016).

Entrata in vigore il 17 gennaio 2023.

L’aggiornamento della Direttiva NIS si è reso necessario a causa dell’evoluzione repentina che hanno avuto i sistemi informatici durante la pandemia COVID-19. Parallelamente si è avuta una crescita esponenziale degli attacchi informatici che hanno dimostrato i limiti della NIS e delle misure di sicurezza informatica implementate.

Da qui la risposta dell’Europa che, facendo tesoro della prima esperienza, ha emanato la nuova norma in tema di cybersecurity. La Direttiva NIS 2 definisce una serie di misure e requisiti di sicurezza informatica, sia tecniche che organizzative, adeguate ai tempi ed alle nuove tecnologie, che le organizzazioni devono implementare al fine di raggiungere un livello elevato di resilienza e di protezione delle reti e dei sistemi informativi critici nell’UE.

Chi deve adeguarsi?

La NIS 2 amplia il suo campo di applicazione ed impone ad un numero maggiore di imprese ed organizzazioni di adottare misure di sicurezza informatiche con l’obiettivo di migliorare la cybersecurity in tutta l’UE.  Devono adeguarsi le aziende appartenenti alle categorie critiche individuate dall’Allegato I della Direttiva stessa, che superano i parametri della media impresa (> 50 dipendenti o fatturato annuo o totale di bilancio annuo € 10.000.000).

Tuttavia, rispetto a questi limiti, ci sono alcuni casi particolari che coinvolgono anche piccole e micro imprese.

È doveroso evidenziare una novità importante rispetto alla NIS, in base alla nuova Direttiva NIS 2, le imprese che dovranno adeguarsi devono considerare anche l’intera catena di approvvigionamento.

I settori critici individuati nell’Allegato I sono suddivisi in due categorie: settori essenziali e settori importanti.

Settori essenziali

  • Settore energetico: elettrico, oil and gas, riscaldamento, idrogeno.
  • Settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico.
  • Trasporti: aereo, nautico, ferroviario e stradale.
  • Acque e acque di scarico.
  • Infrastrutture digitali.
  • Settore spaziale.
  • Pubblica amministrazione.

Settori importanti

  • Settore postale e più in generale di spedizione.
  • Gestione/Trattamento dei rifiuti.
  • Settore chimico: produzione e distribuzione.
  • Settore alimentare: approvvigionamento, inclusa anche la grande distribuzione.
  • Industrie tecnologiche e ingegneristiche.
  • Servizi digitali: social network e servizi di data center.
  • Ricerca scientifica.

Cosa fare per adeguarsi alla direttiva NIS2?

La direttiva NIS2 stabilisce una serie di misure che le aziende devono implementare al fine di raggiungere un elevato livello di sicurezza informatica. Alcuni di questi:

  • Definire politiche di analisi dei rischi sui dati informatici.
  • Definire ed implementare procedure di gestione degli incidenti.
  • Definire ed implementare procedure di Business Continuity per garantire la continuità operativa dell’azienda.
  • Implementare procedure per la valutazione della catena di approvvigionamento.
  • Implementare procedure per garantire sicurezza nell’acquisto e nella gestione dei sistemi informatici.
  • Procedure per valutare l’efficacia delle misure di cybersicurezza implementate.
  • Sarà necessario implementare percorsi di formazione continua e di consapevolezza sulla cybersicurezza.
  • Autenticazione a due fattori.

Come adeguare l’azienda alla NIS2

Dall’entrata in vigire della Direttiva NIS 2 nel mercato si sono diffuse centinaia di soluzioni per adeguarsi alla norma. Quello che di certo possiamo affermare è che il processo di adeguamento alla NIS 2 non si esurisce con un nuovo software in azienda o con la redazione di una serie di documenti.

La maggior parte delle soluzioni che abbiamo conosciuto ed alcune anche testate, si rivolgono ad aziende di grandi dimensioni ed a volte sono sproporzionate per le più piccole.

Siamo convinti che le imprese più piccole, rientranti nel perimetro della NIS 2, possono sfruttare questo nuovo obbligo per adeguare i sistemi informatici senza investimenti sproporzionati.