Direttiva NIS2
Direttiva sulla sicurezza delle reti e dei sistemi informativi
Panoramica
NIS2 sostituisce ed espande significativamente la direttiva NIS originale, stabilendo un alto livello comune di cybersicurezza in tutta l'UE. Si applica a una gamma molto più ampia di settori ed entità, introduce misure di supervisione più rigorose e armonizza le sanzioni tra gli Stati membri.[1]
In quanto direttiva, NIS2 richiedeva la trasposizione nel diritto nazionale entro il 17 ottobre 2024. L'attuazione varia a seconda dello Stato membro.
Ambito di applicazione: Entità essenziali vs entità importanti
Entità essenziali (Maggiore controllo)[2]
| Settore | Esempi |
|---|---|
| Energia | Elettricità, petrolio, gas, idrogeno, teleriscaldamento |
| Trasporti | Aereo, ferroviario, marittimo, stradale |
| Bancario | Istituti di credito |
| Mercati finanziari | Luoghi di negoziazione, controparti centrali |
| Sanità | Fornitori di assistenza sanitaria, laboratori, farmaceutica, dispositivi medici |
| Acqua potabile | Fornitori di acqua |
| Acque reflue | Trattamento delle acque reflue |
| Infrastrutture digitali | IXP, DNS, registri TLD, cloud, data center, CDN, TSP |
| Gestione servizi ICT | Fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti |
| Pubblica amministrazione | Enti governativi centrali |
| Spazio | Operatori di infrastrutture terrestri |
Entità importanti (Controllo meno rigoroso)
| Settore | Esempi |
|---|---|
| Servizi postali | Servizi postali e corrieri |
| Gestione rifiuti | Raccolta e trattamento dei rifiuti |
| Chimica | Produzione e distribuzione |
| Alimentare | Produzione e distribuzione |
| Manifatturiero | Dispositivi medici, elettronica, macchinari, veicoli |
| Fornitori digitali | Marketplace online, motori di ricerca, social network |
| Ricerca | Organizzazioni di ricerca |
Soglie dimensionali
NIS2 si applica generalmente ad entità di medie e grandi dimensioni:
- Medie: 50+ dipendenti O fatturato/bilancio ≥ 10 milioni di €
- Grandi: 250+ dipendenti O fatturato ≥ 50 milioni di € O bilancio ≥ 43 milioni di €
Alcune entità si applicano indipendentemente dalla dimensione (DNS, registri TLD, fornitori cloud, data center, ecc.).
Requisiti chiave
Misure di gestione del rischio (Articolo 21)[3]
Le entità devono implementare misure tecniche, operative e organizzative appropriate:
- Politiche: Analisi del rischio e politiche di sicurezza dei sistemi informativi
- Gestione degli incidenti: Procedure di rilevamento, risposta e recupero
- Continuità operativa: Backup, disaster recovery, gestione delle crisi
- Sicurezza della catena di fornitura: Requisiti di sicurezza per i fornitori
- Sicurezza della rete: Sicurezza nell'acquisizione, sviluppo e manutenzione
- Valutazione dell'efficacia: Politiche per valutare l'efficacia delle misure di sicurezza
- Igiene informatica di base: Programmi di formazione e sensibilizzazione
- Crittografia: Politiche sui controlli crittografici e la cifratura
- Risorse umane: Sicurezza del personale e controlli di accesso
- Autenticazione multifattoriale: MFA e sistemi di comunicazione sicuri
Segnalazione degli incidenti (Articolo 23)[4]
| Tempistica | Requisito |
|---|---|
| 24 ore | Allerta precoce al CSIRT/autorità competente |
| 72 ore | Notifica dell'incidente con valutazione iniziale |
| 1 mese | Rapporto finale con causa principale e mitigazione |
Gli incidenti significativi devono essere segnalati se causano o possono causare gravi interruzioni operative o perdite finanziarie, o influenzano altre persone fisiche o giuridiche.
Responsabilità della direzione
Gli organi di gestione devono:
- Approvare le misure di gestione del rischio di cybersicurezza
- Supervisionare l'attuazione delle misure di sicurezza
- Essere personalmente responsabili per la non conformità
- Partecipare a formazione sulla cybersicurezza
Sanzioni
- Entità essenziali: Fino a 10 milioni di € o il 2% del fatturato globale
- Entità importanti: Fino a 7 milioni di € o l'1,4% del fatturato globale[5]
Gli Stati membri possono imporre sanzioni aggiuntive, inclusi divieti temporanei di gestione.
Obblighi per sviluppatori e fornitori di servizi ICT
Se fornite servizi o prodotti ICT:
- Fornitori di servizi gestiti: Direttamente nel campo di applicazione come entità essenziali
- Fornitori cloud: Direttamente nel campo di applicazione come entità essenziali
- Sviluppatori software: Obblighi nella catena di fornitura dalle entità clienti
- Fornitori di sicurezza: Possono essere designati come entità importanti