Close
Cerca

Direttiva NIS 2 cybersecurity, cos’è e come mettersi in regola

Due imprenditori si informano su cosa è la direttiva NIS 2 e come mettersi in regola con i suoi obblighi.
Tempo di lettura: 4 minuti

Indice dei contenuti

La NIS2 è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. Entrata in vigore il 17 gennaio 2023, la direttiva dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.

Cosa significa NIS 2

NIS 2 è l’abbreviazione con cui viene chiamata la nuova direttiva europea sulla cybersecurity, la cui denominazione ufficiale è Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione.

NIS è l’acronimo di “Network and Information Systems”, in quanto il provvedimento contiene misure pensate per aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea.

La direttiva NIS 2 ha aggiornato la precedente NIS 1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia.

Perché l’UE ha approvato una nuova direttiva NIS

La nuova direttiva europea sulla cybersecurity NIS 2 si è resa necessaria per porre rimedio ai limiti della NIS 1. Limiti apparsi praticamente sin dalla sua introduzione, a causa di un generalizzato aumento del tasso di digitalizzazione in tutti i Paesi membri, che ha ampliato la cosiddetta superficie di attacco informatico.

Si tratta di un indicatore che esprime delle relazioni dirette molto semplici, ma importanti: più ampia è la superficie di attacco, più elevato è il rischio che eventuali attacchi vadano a buon fine, quindi maggiori sono i danni che si possono subire, ma allora deve essere innalzato il livello di protezione dei sistemi.

Il processo di obsolescenza della direttiva NIS 1 era stato poi accentuato dal Covid-19, che ha dato una spinta inattesa alla diffusione dei sistemi e delle tecnologie digitali, senza che tuttavia ci fosse una crescita altrettanto spinta nelle misure e nei sistemi di sicurezza adottati.

Direttiva NIS 2, chi deve rispettarla

Per stabilire quali aziende devono rispettare gli obblighi previsti, la direttiva NIS 2 indica tre criteri: settore di appartenenza, dimensione e ruolo che le aziende hanno nel loro settore.

I settori a cui si applica la NIS 2 si dividono in settori ad alta criticità e settori critici:

  • settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
  • altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sotto settori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitale; ricerca.

All’interno di questi settori la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni.

Indipendentemente dalla loro dimensione, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.

NIS 2, quando non si applica e quando decidono gli Stati

Per alcune categorie di soggetti la NIS 2 non si applica oppure la decisione se sottoporle o meno alla direttiva è lasciata alla libertà del singolo Stato.

La NIS 2 non si applica a: Pubbliche Amministrazioni che si occupano di sicurezza nazionale, pubblica sicurezza, difesa e contrasto dei reati; soggetti del settore giudiziario; parlamenti; banche centrali.

La direttiva NIS2 si applica a discrezione del singolo Stato membro nel caso di Pubbliche Amministrazioni locali e istituti d’istruzione con funzioni di ricerca.

Oltre a questi casi, i singoli Stati possono escludere dalla direttiva anche altri soggetti.

Cosa prevede la direttiva NIS 2

La direttiva NIS 2 stabilisce delle norme minime che tutti gli Stati membri devono rispettare per avere una maggiore armonizzazione a livello UE di legislazioni e procedure di cibersicurezza. Tuttavia, i singoli Stati sono liberi di approvare norme nazionali ancora più severe, decidendo di innalzare ulteriormente il loro livello di cibersicurezza nazionale.

Con la direttiva NIS 2 vengono inoltre previsti dei meccanismi di cooperazione tra le autorità nazionali di cybersecurity e viene introdotta una rete europea per le crisi informatiche (EU-CyCLONe) che prevede la gestione coordinata degli incidenti e delle crisi di cibersicurezza.

Tutti gli Stati e le imprese interessate hanno l’obbligo di condividere le informazioni importanti per la cybersecurity.

La direttiva prevede poi una serie di azioni per innalzare il livello di cibersicurezza nel mercato europeo, divise tra azioni che devono essere compiute dai singoli Stati e azioni rivolte alle imprese.

Gli Stati membri devono adottare strategie di cybersecurity nazionali, creare autorità nazionali di cibersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (i cosiddetti CSIRT); rispettare obblighi di vigilanza ed esecuzione.

Le imprese devono rispettare gli obblighi di gestione dei rischi di cibersicurezza e di segnalazione. Tra gli obblighi che le aziende devono rispettare in base alla direttiva NIS 2 c’è anche l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua.

SafeAccess, l’autenticazione multi fattore di Namirial per rispettare la NIS 2

Per aziende private e PA, la gestione delle identità è uno degli aspetti fondamentali per adempiere ai nuovi obblighi previsti dalla NIS2. In particolare, la direttiva NIS 2 impone l’uso dell’autenticazione multi fattore per l’accesso di dipendenti e utenti ai sistemi informatici aziendali.

Per questo specifico obbligo una soluzione arriva da Namirial, che mette a disposizione delle aziende e delle Pubbliche Amministrazioni SafeAccess, una suite che garantisce piena compliance. Implementando SafeAccess è possibile proteggere la propria organizzazione, con un meccanismo che prevede l’accesso sicuro dei dipendenti a tutti i sistemi aziendali (postazioni Pc, server e singole applicazioni) e degli utenti ai propri applicativi tramite soluzioni cloud.

TAG

Ascolta l'articolo

Ascolta l'articolo

Articoli più recenti

Condividi articolo