Dal 17 ottobre 2024 entrerà in vigore la Direttiva Europea NIS 2 sulla sicurezza informatica, che richiederà alle aziende di settori specifici, con particolari requisiti, di adottare nuove misure di gestione dei rischi di cybersicurezza.
La Direttiva NIS 2 (Network and Information Security) approvata dal Parlamento UE, introduce nuovi obblighi di cyber security per potenziare le misure di protezione contro le minacce informatiche.
Questo aggiornamento della precedente Direttiva NIS del 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrato in vigore il 16 gennaio 2023.
Con un periodo di implementazione di 21 mesi, le organizzazioni dovranno essere conformi alla Direttiva NIS 2 entro il 17 ottobre 2024.
A chi si applica la Direttiva NIS 2?
Tutte le aziende con +50 dipendenti o un fatturato di >10milioni appartenenti a 18 settori:
Settori ad alta criticità:
- Energia
- Trasporti
- Settore bancario
- Infrastrutture dei mercati finanziari
- Settore sanitario
- Acqua potabile
- Acque reflue
- Insfrastrutture digitali
- Gestione dei servizi TIC (business to business)
- Pubblica Amministrazione
- Spazio
Altri settori critici:
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione
- Fornitori di servizi digitali
- Ricerca
Articolo 21
Misura di gestione dei rischi di cybersicurezza
in vigore dal 16/01/2023
Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
2. Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun
soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e
la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali
protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
3. Gli Stati membri provvedono affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo, siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Gli Stati membri provvedono inoltre affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), siano adeguate, i soggetti siano tenuti a tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22, paragrafo 1.
4. Gli Stati membri provvedono affinché, qualora un soggetto constati di non essere conforme alle misure di cui al paragrafo 2, esso adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate.
5. Entro il 17 ottobre 2024, la Commissione adotta atti di esecuzione che stabiliscono i requisiti tecnici e metodologici delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari.
La Commissione può adottare atti di esecuzione che stabiliscono i requisiti tecnici e metodologici, nonché, se necessario, i requisiti settoriali relativi alle misure di cui al paragrafo 2 per quanto riguarda i soggetti essenziali e importanti diversi da quelli di cui al primo comma del presente paragrafo.
Nell’elaborare gli atti di esecuzione di cui al primo e secondo comma del presente paragrafo, la Commissione segue, nella misura del possibile, le norme europee e internazionali, nonché le pertinenti specifiche tecniche. La Commissione scambia pareri e coopera con il gruppo di cooperazione e con l’ENISA in merito ai progetti di atto di esecuzione conformemente all’articolo 14, paragrafo 4, lettera e).
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 39, paragrafo 2
Articolo 23
Obblighi di segnalazione
in vigore dal 16/01/2023
1. I soggetti essenziali e importanti devono notificare senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Tali soggetti devono comunicare, tra l’altro, qualunque informazione che consenta al CSIRT o, se opportuno, all’autorità competente di determinare l’eventuale impatto transfrontaliero dell’incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità.
2. Se opportuno, i soggetti essenziali e importanti devono comunicare senza indebito ritardo ai destinatari dei loro servizi, potenzialmente interessati da una minaccia informatica significativa, qualsiasi
misura o azione correttiva che tali destinatari sono in grado di adottare in risposta a tale minaccia. Se opportuno, i soggetti informano tali destinatari anche della minaccia informatica significativa stessa.
3. Un incidente è considerato significativo se:
a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
4. I soggetti interessati devono trasmettere al CSIRT o, se opportuno, all’autorità competente:
a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, un preallarme che indichi se l’incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una
notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale
dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di
compromissione;
c) su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti
aggiornamenti della situazione;
d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda:
i) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto;
ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente;
iii) le misure di attenuazione adottate e in corso;
iv) se opportuno, l’impatto transfrontaliero dell’incidente;
e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell’incidente.
In deroga al primo comma, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, informa il CSIRT o, se opportuno, l’autorità competente senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo.
Per maggiori informazioni, consulta la Direttiva NIS 2. Clicca qui.
Sei pronto ad adeguarti alla Direttiva NIS 2?
NetcoADV, in quanto partner del Network Overlux®, può supportarti con OverRISK Suite.
Contattaci per una call gratuita e senza impegno: webmarketing@netcoadv.it