Sicurezza delle Reti e dell’Informazione: Cosa cambia con la NIS2
NIS2: la direttiva sulla sicurezza informatica più estesa d’Europa fino ad oggi
La direttiva NIS2 è la direttiva europea sulla sicurezza informatica più completa finora.
Con requisiti più rigorosi per la gestione dei rischi e la segnalazione degli incidenti, una più ampia copertura dei settori e sanzioni più severe in caso di inosservanza, centinaia di migliaia di organizzazioni dell’UE dovranno
Settori interessati dalla direttiva NIS2
La direttiva NIS2 amplia la copertura rispetto ai 7 settori originari previsti dalla direttiva NIS, aggiungendone altri 8, per un totale di 15 settori.
A chi si applica
La NIS 2 amplia il numero di soggetti coinvolti. Si applica a entità pubbliche e private che operano in settori considerati essenziali o importanti, tra cui:
Energia
Trasporti
Banche e finanza
Sanità
Infrastrutture digitali (come DNS, cloud, data center)
Pubblica Amministrazione
Servizi postali e digitali (es. e-commerce)
Include aziende medie e grandi (più di 50 dipendenti e/o 10 milioni di euro di fatturato), ma in certi casi anche più piccole se ritenute critiche.
Obblighi principali
- Valutazione e gestione dei rischi
- Misure tecniche e organizzative di sicurezza
- Piani di continuità operativa e risposta agli incidenti
- Notifica obbligatoria degli incidenti gravi entro 24 ore
- Formazione continua del personale
- Responsabilità della direzione: il management può essere ritenuto responsabile in caso di negligenza
Sanzioni
La NIS 2 prevede sanzioni severe, simili al GDPR, con multe fino a 10 milioni di euro o il 2% del fatturato annuo mondiale, in caso di mancata conformità.
In sintesi
La NIS 2 non è solo una legge tecnica, ma rappresenta un cambio di cultura sulla sicurezza informatica: tutte le organizzazioni devono considerare la cybersecurity come parte integrante della governance aziendale.
Di piu? Link: “Network and information security directive 2“
OLD – la NIS 1
La Direttiva NIS (Network and Information Security), conosciuta anche come Direttiva (UE) 2016/1148, è stata la prima normativa europea sulla sicurezza delle reti e dei sistemi informativi, entrata in vigore nel 2016.
L’obiettivo era quello di rafforzare la cybersicurezza a livello europeo, promuovendo un approccio comune tra gli Stati membri.
Obiettivi principali della NIS 1
Aumentare il livello di sicurezza informatica nei settori critici.
Migliorare la cooperazione tra Stati membri contro gli attacchi informatici.
Obbligare alcuni operatori a notificare incidenti di sicurezza gravi.
A chi si applicava
La NIS 1 era limitata a due categorie di soggetti:
Operatori di servizi essenziali (OSE)
Es. energia, trasporti, banche, salute, fornitura di acqua potabile, infrastrutture digitali.
→ Soggetti strategici per la società e l’economia.
Fornitori di servizi digitali (FSD)
Es. motori di ricerca, servizi cloud, piattaforme online.
→ Ma con obblighi più leggeri rispetto agli OSE.
Obblighi principali (semplificati)
Adozione di misure tecniche e organizzative per gestire i rischi informatici.
Notifica obbligatoria degli incidenti significativi al CSIRT nazionale (Computer Security Incident Response Team).
Collaborazione con le autorità nazionali competenti.
Limiti della NIS 1
Applicava obblighi solo a pochi settori e soggetti.
Alcuni Paesi l’hanno recepita in modo non uniforme, creando disomogeneità.
Non prevedeva sanzioni forti.
Mancava un meccanismo solido di controllo e responsabilità.
Perché è arrivata la NIS 2?
La NIS 2 nasce per:
Colmare le lacune della NIS 1.
Adattarsi all’aumento delle minacce informatiche.
Coprire più settori e aziende (es. pubblica amministrazione, manifattura, e-commerce).
Introdurre sanzioni più severe e regole uniformi in tutta l’UE.
In sintesi
Confronto NIS 1 NIS 2
In vigore 2016 2023 (con obbligo dal 2024)
Settori coperti Limitati Molto più ampi
Sanzioni Più leggere Fino a 10 milioni € / 2% fatt.
Soglie aziendali Non sempre chiare Più chiare e severe
Di piu? Link: “Network and information security directive 2“
