La Direttiva NIS 2 rivoluziona la cybersecurity per aziende e supply chain. Sei pronto ad adeguarti? Ne parliamo con Giorgio Sbaraglia, Cybersecurity Advisor, membro del Comitato Direttivo del CLUSIT (Associazione italiana per la sicurezza informatica) e DPO di Bitways Srl.
Il 17 gennaio 2023 è entrata in vigore la Direttiva (UE) 2022/2555, nota come NIS 2, che abroga la precedente direttiva NIS (UE) 2016/1148.
L’impatto che avrà sulle aziende sarà molto rilevante e saranno molte decina di migliaia le aziende ed organizzazioni che risulteranno coinvolte e che dovranno adottare quindi procedure e misure di sicurezza informatica molto stringenti, anche per non incorrere nelle sanzioni – importanti! – che la NIS 2 prevede.
Mercoledì 19 febbraio 2025 abbiamo tenuto un webinar dedicato appunto alla Direttiva NIS2 ed organizzato da Bitways S.r.l.
Abbiamo esposto quali sono le misure che dovranno adottare le aziende e le organizzazioni e quali sono gli adempimenti, alcuni imminenti, che dovranno essere fatti.
Cos’è la Direttiva NIS 2?
NIS2 è l’acronimo di “Network and Information Security 2” ed è il termine con cui viene indicata la Direttiva Europea 2022/2555 pubblicata in sostituzione della Direttiva 2016/1148 (comunemente indicata come NIS) con oggetto la sicurezza delle reti e dei sistemi informatici.
La prima Direttiva NIS fu pubblicata il 19 luglio 2016 e successivamente recepita dall’Italia con il D.Lgs. 18 maggio 2018 n.65. Quindi entrò in vigore nell’anno 2018.
Perché questa nuova Direttiva?
A distanza di oltre quattro anni la UE ha ritenuto di aggiornare NIS 1 con la NIS 2, che va a correggere i limiti che si sono riscontrati con la prima NIS.
Infatti il 25 giugno 2020, la Commissione europea ha pubblicato una roadmap per la valutazione in merito alla revisione della Direttiva NIS (previsto dall’art. 23 Direttiva NIS 1), in modo da valutare il funzionamento della Direttiva sulla base del livello di sicurezza dei sistemi di rete e di informazione negli Stati membri.
La Commissione ha sottolineato che, oltre all’obbligo previsto dall’articolo 23 della Direttiva NIS 1, la revisione era ulteriormente giustificata dall’improvviso aumento della dipendenza dalle tecnologie dell’informazione durante la crisi di Covid-19. La valutazione della Commissione ha analizzato la Direttiva NIS 1 in termini di pertinenza, coerenza, efficacia ed efficienza ed ha rilevato questi aspetti da correggere e migliorare:
- ambito di applicazione limitato in termini di settori coinvolti,
- eccessiva discrezionalità agli Stati Membri nel definire requisiti di sicurezza, notifica incidenti e valore delle sanzioni,
- regime di vigilanza e applicazione inefficace
- mancata condivisione sistematica delle informazioni
Da queste valutazioni è nata la NIS 2, che mira quindi a superare i limiti riscontrati nella NIS1, così da poter garantire un livello comune elevato di cybersicurezza all’interno dell’Unione Europea.
Quando entra in vigore la direttiva NIS 2?
NIS 2 è stata pubblicata sulla GUUE (Gazzetta Ufficiale della UE) il 27 dicembre 2022 ed è entrata in vigore il 17 gennaio 2023. Nell’art.41 la Direttiva prescrive agli stati membri di adottare le misure necessarie per conformarsi alla direttiva entro il 17 ottobre 2024, cioè entro 21 mesi dall’entrata in vigore.
Dal 18 ottobre 2024 la NIS 2 sarà applicata in tutti gli stati UE, mentre a decorrere dal 18 ottobre 2024 la direttiva (UE) 2016/1148 NIS Viene abrogata.
Qual è l’ambito di applicazione della direttiva?
La NIS 2 amplia le aziende interessate sia in senso verticale che orizzontale.
In senso orizzontale: i settori interessati diventano in totale 18.
In senso verticale: viene abbassata la soglia dimensionale delle aziende coinvolte: ora potranno essere NIS 2 tutte quelle aziende che – appartenendo ai settori elencati – abbiano più di 50 dipendenti ed un fatturato superiore a 10 milioni di euro.
Inoltre stabilisce lo scenario di riferimento per le misure di gestione dei rischi di cyber sicurezza ed i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori: questa è una novità molto importante, che estenderà l’applicazione della NIS 2 alla Supply Chain.
Nella nuova classificazione la NIS 2 dichiara (nel Considerando 6) di voler superare le carenze della differenziazione tra gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (FSD), che si è rivelata obsoleta.
Non ci sono più, quindi, gli “Operatori di servizi essenziali (OSE) ” e “Fornitori di servizi digitali (FSD)”, che erano indicati nella NIS 1.
Secondo quanto disposto dall’art. 2 della NIS 2, questa si applica quindi ai soggetti pubblici o privati delle tipologie di cui a:
Allegato I – SETTORI AD ALTA CRITICITÀ
Allegato II – ALTRI SETTORI CRITICI
che sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione.
Nell’Allegato I – SETTORI AD ALTA CRITICITÀ sono indicati i settori che erano già presenti nella NIS 1, ai quali si aggiungono nuovi settori che sono: Acque reflue, Gestione dei servizi TIC, Pubblica Amministrazione, Spazio, per un totale di 11. categorie.
Nell’Allegato II – ALTRI SETTORI CRITICI sono indicati altri settori, molti dei quali non erano presenti nella NIS 1.
Gli aspetti più importanti della Direttiva NIS 2
Punti fondamentali della NIS 2 si trovano soprattutto negli articoli 21 e 23, che – non a caso – sono i due articoli che generano le sanzioni indicate all’art.34.
In particolare, l’art. 21.2) definisce 10 misure di gestione dei rischi che devono essere applicate da tutte le organizzazioni soggette alla normativa e che obbligheranno molte aziende a modificare in modo sostanziale la propria postura di sicurezza.
L’art.23 definisce invece gli obblighi di segnalazione nel caso in cui si verifichi un incidente definito “significativo” e modifica in modo molto forte i tempi di notifica della NIS 1: entro 24 ore dalla conoscenza dell’incidente deve essere notificato il preallarme, entro 72 ore la notifica ufficiale dell’incidente, aggiornando le informazioni del preallarme. La segnalazione deve prevedere una valutazione dell’incidente, della gravità, dell’impatto e gli indicatori di compromissione ove disponibili.
Quali sono le sanzioni per il mancato rispetto della Direttiva
Infine, l’articolo 34 fissa le sanzioni amministrative pecuniarie ai soggetti essenziali e importanti che violino le disposizioni degli articoli 21 e 23. Nella NIS 1 tali sanzioni erano stabilite dagli stati membri: per l’Italia il D.Lgs. 65/2018 prevedeva sanzioni massime di 250.000 euro.
Nella NIS 2 queste vengono significativamente aumentate ed arrivano fino a 10.000.000 di euro o a un massimo di almeno il 2 % del fatturato mondiale annuo per le organizzazioni essenziali e fino a 7.000.000 di euro o a un massimo all’1,4% per le organizzazioni importanti. Sono sanzioni paragonabili a quelle applicate dal GDPR.
Il decreto legislativo 4 settembre 2024, n. 138: l’Italia ha recepito la NIS 2
Infine nel webinar abbiamo illustrato il D.Lgs. n.138/2024, con il quale l’Italia ha (puntualmente) recepito la Direttiva NIS 2.
Questo decreto stabilisce in dettaglio il percorso che le aziende sottoposte alla NIS 2 dovranno fare e che sono indicate negli art.7 e art.42 (Fase di prima applicazione):
- la registrazione dell’azienda sul portale ACN entro il 28 febbraio 2025;
- le scadenze per eseguire l’adeguamento alle misure prescritte dagli arti. 21 e 23 della Direttiva, che nel D.Lgs. n.138 sono rispettivamente gli art. 24 e 25, oltre all’art.23 (sugli obblighi degli organi di amministrazione e direttivi).
In conclusione
Nel webinar, oltre ad illustrare in dettaglio la Direttiva, abbiamo voluto porre l’attenzione sui seguenti punti importanti che NIS 2 pone al centro della sicurezza informatica di chi dovrà applicarla:
- La valutazione della supply chain sarà parte integrante e fondamentale.
- La cybersecurity non è più un problema limitato all’ambito IT, ma è una questione che riguarda l’intera organizzazione e deve essere trattata come tale: molto enfatizzato il concetto di “Governance“.
- Le misure tecniche, operative e organizzative adottate dai soggetti in perimetro dovranno pertanto essere adeguate e proporzionate ai rischi identificati.
- Le misure adottate dovrebbero mirare a proteggere i sistemi informatici e di rete da attacchi, prevenire o ridurre al minimo l’impatto degli incidenti e garantire la continuità dei servizi.
- Le misure di gestione dei rischi di cyber sicurezza di cui all’art. 21 devono essere comprensive e includere, tra l’altro, politiche di analisi dei rischi, strategie per la gestione degli incidenti, piani di continuità operativa, sicurezza della catena di approvvigionamento, e pratiche di igiene informatica.
Quindi se un’azienda è sottoposta a NIS 2 deve iniziare a mettere in programma questi interventi di cyber sicurezza, senza attendere le scadenze di legge.
Essi andrebbero applicati comunque, cioè non perché ce lo richiede una norma: la sicurezza delle reti e la sicurezza informatica devono essere considerate misure necessarie per la salute (e la sopravvivenza!) di un’organizzazione, prima ancora che per una compliance normativa.
La registrazione integrale del webinar è disponibile in questo link.
© Copyright 2025 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.