Cos’è la Direttiva NIS2: soggetti coinvolti e obblighi per le aziende

2 Novembre 2023 in Information & Cyber Security

La Direttiva NIS2, entrata in vigore il 16 gennaio 2023, ha introdotto nuovi obblighi di cybersicurezza per grandi e medie imprese in settori come l’alimentare, la manifattura e la pubblica amministrazione. Con il recepimento della Direttiva da parte degli Stati Membri, atteso entro il 17 ottobre 2024, le organizzazioni saranno obbligate a rispettare stringenti requisiti in materia di governance, continuità operativa, presidio della catena di fornitura, segnalazione degli incidenti e, in generale, di gestione dei rischi per la cybersicurezza.

Chi sono i soggetti coinvolti nella Direttiva NIS2

La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, significativamente più esteso rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti. Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”.

Per stabilire se un’organizzazione rientri in una di queste categorie, viene ridotto il margine di discrezionalità in capo agli Stati Membri, introducendo un duplice criterio basato su dimensione e settore di appartenenza: sono in perimetro le grandi e le medie imprese attive nei settori merceologici e aventi le caratteristiche indicate negli allegati I e II alla Direttiva.

Vuoi scoprire se la tua impresa è tra quelle coinvolte dalla Direttiva NIS2?

Rispondi a questo breve questionario:

Scopri se la tua impresa è tra quelle coinvolte dalla direttiva NIS2

Direttiva NIS2: I principali obblighi per le Organizzazioni

Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:

  1. Governo della cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti;
  2. Gestione dei rischi: i soggetti sono tenuti a adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi;
  3. Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi;
  4. Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza;
  5. Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri serviziai rispettivi CSIRT o autorità nazionali competenti (preallarme entro 24 ore e notifica completa/integrativa entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo).

Come le organizzazioni devono prepararsi alla nuova Direttiva NIS2

Alcuni obblighi specifici saranno definiti puntualmente dagli Stati Membri in fase di recepimento della NIS2. Nel frattempo, le organizzazioni possono attivarsi per valutare l’applicabilità della Direttiva alla propria realtà e avviare l’implementazione degli adempimenti più onerosi in termini di tempo o sui quali ritengono vi sia maggiore impreparazione.

NIS2 - Guida ai nuovi obblighi di cybersicurezza per aziende e PA

Direttiva NIS2