Direttiva NIS2: la Cybersecurity passa dal Reparto IT al Top Management

Il Parlamento europeo e il Consiglio a dicembre 2022 hanno adottato la direttiva (UE) 2022/2555 sulla sicurezza delle reti e delle informazioni (direttiva NIS2 - Network and Information Security 2) che estende gli ambiti e i requisiti prima stabiliti dalla NIS1, identificando il 17 ottobre 2024 come scadenza per il recepimento da parte degli Stati membri. 

La direttiva nasce per creare una solida strategia cyber capace di garantire la sicurezza dei servizi digitali in Europa. 

Il suo obiettivo principale è quello di rafforzare le misure di sicurezza informatica a livello europeo, prevenendo gli attacchi informatici e garantendo la continuità dei servizi digitali, soprattutto in settori critici come energia, trasporti e servizi finanziari. 

Questa nuova direttiva prevede anche l'adozione di misure innovative e di coordinamento tra tutti gli Stati membri, al fine di garantire la continuità dei servizi digitali in caso di incidenti di sicurezza. 

La direttiva NIS2 allarga il perimetro di applicabilità introducendo nuove categorie di soggetti che dovranno rispettare standard elevati per quanto riguarda la cybersecurity. Inoltre, gli Stati membri dovranno sviluppare piani nazionali per la cybersecurity e creare team specializzati per l'implementazione dela direttiva. 

L'impatto della direttiva NIS2 sulle organizzazioni sarà significativo, poichè saranno obbligate ad adottare misure di sicurezza informatica più rigorose e soprattutto saranno chiamate a migliorare la sicurezza della supply chain.

La direttiva NIS2 divide i soggetti, pubblici e privati, che rientrano nel perimetro di applicazione in due categorie: ESSENZIALI e IMPORTANTI. Questa suddivisione è basata su diversi criteri, come ad esempio il settore in cui operano e la dimensione dell'organizzazione. 

Soggetti essenziali

Tutti i soggetti dei settori ad alta criticità definiti nell'Allegato 1, dalla dimensione di media impresa in su o che superano i massimali di fatturato e numero dipendenti. 

1. ENERGIA
2. TRASPORTI
3. SETTORE BANCARIO
4. INFRASTRUTTURE DEI MERCATI FINANZIARI
5. SETTORE SANITARIO
6. ACQUA POTABILE
7. ACQUE REFLUE
8. INFRASTRUTTURE DIGITALI
9. GESTIONE DEI SERVIZI TIC (BUSINESS-TO-BUSINESS)
10. PUBBLICA AMMINISTRAZIONE
11. SPAZIO

Soggetti importanti 

Tutti i soggetti degli altri settori ad alta criticità definiti nell'Allegato 2, dalla dimensione di media impresa in su o che superano i massimali di fatturato e numero dipendenti.

1. SERVIZI POSTALI E DI CORRIERE
2. GESTIONE DEI RIFIUTI
3. FABBRICAZIONE, PRODUZIONE E DISTRIBUZIONE DI SOSTANZE CHIMICHE
4. PRODUZIONE, TRASFORMAZIONE E DISTRIBUZIONE DI ALIMENTI
5. FABBRICAZIONE
6. FORNITORI DI SERVIZI DIGITALI
7. RICERCA

In ambito pubblico l'art.2 stabilisce l'applicazione alle pubbliche amministrazioni: 

• dell'amministrazione centrale
• a livello regionale che forniscono servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche

La direttiva lascia una certa discrezionalità agli Stati membri per l'inserimento "in perimetro" di amministrazioni locali e istituti di istruzione. Restano esplicitamente esclusi i settori pubblici della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, le indagini, l'accertamento e il perseguimento dei reati. 

La definizione di media e grande organizzazione viene ripresa dall'allegato alla raccomandazione 2003/361/CE: 

• Grandi organizzazioni: occupano più di 250 dipendenti oppure hanno un fatturato annuo superiore a 50 milioni di euro
• Medie organizzazioni: occupano tra 50 e 250 dipendenti e hanno un fatturato annuo compreso tra i 10 e i 50 milioni

La volontà del legislatore europeo è di spostare la gestione della cybersecurity da un tema meramente tecnico, attribuito ai reparti IT, ad uno d'interesse del top management delle imprese e delle PA considerate "in perimetro". 

La cybersecurity diventa una responsabilità diretta dell'organo di gestione aziendale. 

L'art.20 attribuisce agli organi di gestione lo svolgimento di ruoli cruciali, tra cui: 

• l'approvazione delle misure per la gestione dei rischi legati alla cybersecurity previsti dall'art.21
• la supervisione sull'implementazione di tali misure (potranno essere ritenuti responsabili di qualsiasi violazione dell'art.21)
• La partecipazione a formazioni specifiche per acquisire conoscenze e competenze in ambito cybersecurity al fine di individuare i rischi e valutare l'efficacia e l'adeguatezza delle misure di sicurezza adottate. La formazione deve essere estesa a tutti i collaboratori

Il nuovo approccio della NIS2 richiede un impegno condiviso e una gestione puntuale a tutti i livelli aziendali per garantire la sicurezza delle informazioni e la resilienza dei sistemi di fronte alle minacce informatiche.

L'art.21 sopra citato prevede un approccio multirischio nell'adozione delle misure tecniche, operative e organizzative per la gestione dei rischi. E' fondamentale che queste misure siano regolarmente riviste e aggiornate per riflettere l'evoluzione del panorama delle minacce cyber. E' necessario, quindi, implementare un monitoraggio costante ed attuare misure correttive in modo tempestivo. 

In caso di mancato adeguamento alla direttiva NIS2 le sanzioni saranno ingenti sia per i soggetti essenziali che per quelli importanti!

Nelle prossime settimane approfondiremo sempre più l'argomento analizzando, tra le altre cose, i settori specifici di interesse, i requisiti fondamentali e le possibili sanzioni. 

Contattaci per scoprire se anche tu rientri nel perimetro di applicazione della Direttiva!