La Direttiva NIS2: chi è coinvolto e gli impatti sulle imprese
La Direttiva NIS2, approvata dall’Unione Europea nel 2022, rappresenta un’evoluzione della Direttiva NIS (Network and Information Security) del 2016. Cercando di semplificare, stabilisce misure rafforzate per migliorare la sicurezza delle reti e dei sistemi informativi, puntando a garantire che le infrastrutture critiche in settori strategici siano adeguatamente protetti dalle minacce informatiche.
La direttiva è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.
Rispetto alla precedente Direttiva NIS, la NIS2 amplia il suo campo d’azione coinvolgendo più settori e aziende. Le imprese coinvolte includono gli operatori di servizi essenziali o ad alta criticità (es. energia, trasporti, sanità, banche eccetera) con l’aggiunta dei fornitori di servizi digitali (es. piattaforme e-commerce, servizi cloud, motori di ricerca, servizi ICT/PA/aerospazio).
Ma non solo, sempre cercando di semplificare, la normativa ha incluso una nuova tipologia di aziende definite “altre aziende critiche” (es. settore rifiuti, servizi postali, settore alimentare, dispositivi medici, computer e prodotti elettrici, elettronica e di ottica, chimica eccetera) anche se oggi non risulta una vera e propria classificazione prevista entro il 17 aprile 2025.
Rispetto alla precedente normativa, è comunque evidente come la nuova Direttiva abbia allargato i settori e quindi i soggetti coinvolti ai quali si richiede di adottare misure di sicurezza avanzate per proteggere i loro sistemi e segnalare tempestivamente eventuali incidenti.
Una delle novità più rilevanti, e motivo di questo post, è che la NIS2 estende le sue disposizioni anche alle aziende che fanno parte della catena di fornitura dei soggetti coinvolti. Questo significa che non solo le grandi imprese, ma anche i fornitori e partner devono rispettare requisiti di sicurezza più severi, per evitare che un attacco colpisca indirettamente infrastrutture critiche.
Per quanto riguarda di fatto le PMI, la NIS2 prevede esenzioni per quelle con meno di 50 dipendenti o con fatturato inferiore a 10 milioni di euro. Tuttavia ci sono eccezioni: le PMI che svolgono un ruolo essenziale nella catena di fornitura o operano in settori critici potrebbero comunque dover rispettare la normativa.
Come si rapporta la NIS2 con il GDPR?
Guardando le due normative si notano diverse sovrapposizioni e convergenze. Innanzitutto rispetto al GDPR nella Direttiva NIS 2 vengono indicate un po’ più chiaramente le misure che possono essere adottate per risultare conformi. Certamente in caso di data breach che coinvolgono anche i dati personali delle persone, le due norme verrebbero entrambe prese in considerazione, scenario non proprio piacevole.
Ma come abbiamo avuto modo di assistere in occasione dell’entrata in vigore del GDPR, adeguarsi alla NIS2 può essere un’ulteriore occasione per adottare in azienda la cultura della sicurezza e tutte quelle buone pratiche necessarie a proteggere i dati e la resilienza dei sistemi e delle infrastrutture informatiche.
Quindi che fare?
Per le imprese che si trovano in questa situazione, e che quindi rientrano tra i soggetti obbligati all’adeguamento, la conformità alla NIS2 può rappresentare un’opportunità. Investire in misure di sicurezza informatica e sviluppare un piano di gestione del rischio non solo protegge da possibili sanzioni, ma permette di diventare un partner più affidabile per i clienti, differenziandosi nel mercato. La sicurezza informatica, ormai, non è solo una questione di conformità normativa, ma un vero e proprio vantaggio competitivo.
Se sei il titolare di un’impresa, è fondamentale valutare se e come la NIS2 si applica alla tua attività e adottare le misure necessarie che partono da un piano di assestment. Successivamente si tratterà di adottare i necessari investimenti di tipo tecnologico, strutturale e nelle procedure, per terminare con attività di formazione continua, sia preventiva sia di mantenimento.
Non solo per rispettare la normativa, ma anche per proteggere il business in un contesto sempre più esposto a minacce legate alla cybersicurezza e vincere le sfide in mercati sempre più complessi dove, anche la NIS2, potrebbe fare la differenza.
Ovviamente il consiglio rimane quello di rivolgersi ad organizzazioni specializzate su queste tematiche che avranno modo di fornire la necessaria consulenza e supporto.
La direttiva è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.
Rispetto alla precedente Direttiva NIS, la NIS2 amplia il suo campo d’azione coinvolgendo più settori e aziende. Le imprese coinvolte includono gli operatori di servizi essenziali o ad alta criticità (es. energia, trasporti, sanità, banche eccetera) con l’aggiunta dei fornitori di servizi digitali (es. piattaforme e-commerce, servizi cloud, motori di ricerca, servizi ICT/PA/aerospazio).
Ma non solo, sempre cercando di semplificare, la normativa ha incluso una nuova tipologia di aziende definite “altre aziende critiche” (es. settore rifiuti, servizi postali, settore alimentare, dispositivi medici, computer e prodotti elettrici, elettronica e di ottica, chimica eccetera) anche se oggi non risulta una vera e propria classificazione prevista entro il 17 aprile 2025.
Rispetto alla precedente normativa, è comunque evidente come la nuova Direttiva abbia allargato i settori e quindi i soggetti coinvolti ai quali si richiede di adottare misure di sicurezza avanzate per proteggere i loro sistemi e segnalare tempestivamente eventuali incidenti.
Una delle novità più rilevanti, e motivo di questo post, è che la NIS2 estende le sue disposizioni anche alle aziende che fanno parte della catena di fornitura dei soggetti coinvolti. Questo significa che non solo le grandi imprese, ma anche i fornitori e partner devono rispettare requisiti di sicurezza più severi, per evitare che un attacco colpisca indirettamente infrastrutture critiche.
Per quanto riguarda di fatto le PMI, la NIS2 prevede esenzioni per quelle con meno di 50 dipendenti o con fatturato inferiore a 10 milioni di euro. Tuttavia ci sono eccezioni: le PMI che svolgono un ruolo essenziale nella catena di fornitura o operano in settori critici potrebbero comunque dover rispettare la normativa.
Come si rapporta la NIS2 con il GDPR?
Guardando le due normative si notano diverse sovrapposizioni e convergenze. Innanzitutto rispetto al GDPR nella Direttiva NIS 2 vengono indicate un po’ più chiaramente le misure che possono essere adottate per risultare conformi. Certamente in caso di data breach che coinvolgono anche i dati personali delle persone, le due norme verrebbero entrambe prese in considerazione, scenario non proprio piacevole.
Ma come abbiamo avuto modo di assistere in occasione dell’entrata in vigore del GDPR, adeguarsi alla NIS2 può essere un’ulteriore occasione per adottare in azienda la cultura della sicurezza e tutte quelle buone pratiche necessarie a proteggere i dati e la resilienza dei sistemi e delle infrastrutture informatiche.
Quindi che fare?
Per le imprese che si trovano in questa situazione, e che quindi rientrano tra i soggetti obbligati all’adeguamento, la conformità alla NIS2 può rappresentare un’opportunità. Investire in misure di sicurezza informatica e sviluppare un piano di gestione del rischio non solo protegge da possibili sanzioni, ma permette di diventare un partner più affidabile per i clienti, differenziandosi nel mercato. La sicurezza informatica, ormai, non è solo una questione di conformità normativa, ma un vero e proprio vantaggio competitivo.
Se sei il titolare di un’impresa, è fondamentale valutare se e come la NIS2 si applica alla tua attività e adottare le misure necessarie che partono da un piano di assestment. Successivamente si tratterà di adottare i necessari investimenti di tipo tecnologico, strutturale e nelle procedure, per terminare con attività di formazione continua, sia preventiva sia di mantenimento.
Non solo per rispettare la normativa, ma anche per proteggere il business in un contesto sempre più esposto a minacce legate alla cybersicurezza e vincere le sfide in mercati sempre più complessi dove, anche la NIS2, potrebbe fare la differenza.
Ovviamente il consiglio rimane quello di rivolgersi ad organizzazioni specializzate su queste tematiche che avranno modo di fornire la necessaria consulenza e supporto.
Letture: 59 | Allegati: 0
Aggiornato il 21-09-2024