.svg)
NIS2 cos’è e quando è entrata in vigore
Entrata in vigore il 17 gennaio 2023 e pienamente recepita dai singoli Stati membri dell’Unione Europea entro il 17 ottobre dello scorso anno, la Direttiva NIS2 succede direttamente alla NIS (Directive on the Security of Network and Information Systems) introdotta nel 2016, che rappresentava il primo passo significativo dell'UE verso un quadro normativo comune per la sicurezza cibernetica. Tuttavia, l'accelerazione nell’implementazione di servizi, soluzioni e strumenti digitali ha reso evidente l'inadeguatezza della direttiva primigenia nel rispondere alle sfide emergenti.
Nella nuova impostazione, di fatto, la direttiva NIS2 impone requisiti di cybersicurezza più stringenti per un'ampia gamma di entità operative in settori strategici per il tessuto sociale ed economico europeo.
Il nuovo quadro normativo introduce obblighi aggiuntivi e responsabilità per le organizzazioni operanti in settori strategici per il funzionamento della società e dell’economia.
L’idea che ha guidato gli estensori della direttiva è quella di dar vita a un approccio comune alla cybersecurity tra i paesi membri dell’Unione, incoraggiando la cooperazione e la condivisione delle informazioni per una maggiore sicurezza dei dati e dei sistemi IT.
La direttiva impone alle organizzazioni una serie di requisiti mirati a prevenire e minimizzare l’impatto degli incidenti cyber. Tra questi figurano l’adozione di misure tecniche e organizzative per la gestione dei rischi, l’elaborazione di piani di incident response, l’esecuzione di audit regolari dei rischi, così da garantire confidenzialità, integrità e disponibilità dei sistemi e delle reti.
La NIS2 si applica a settori cruciali come energia, trasporti, banche, sanità e infrastrutture digitali, vale a dire a tutti quegli ambiti e quei contesti per i quali le interruzioni di servizio potrebbero avere gravi impatti e conseguenze. Tra i settori inclusi (complessivamente 18) figurano così energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, amministrazioni pubbliche e spazio.
Rispetto alla precedente direttiva, NIS2 supera la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), introducendo al loro posto le categorie di “Soggetti Essenziali” e “Soggetti Importanti”, distinti in base a criteri di dimensione e fatturato.
Questo approccio mira a proporzionare le misure di sicurezza alla scala e all’impatto potenziale delle organizzazioni interessate. Tutte le grandi aziende che operano nei settori sopra citati rientrano automaticamente nell’ambito della NIS2. Si tratta di imprese con più di 250 dipendenti o un fatturato superiore ai 50 milioni di euro. Anche le imprese di medie dimensioni, con un numero di dipendenti compreso tra 50 e 250 e un fatturato o un bilancio tra 10 e 50 milioni di euro, possono essere incluse. Per le Pubbliche Amministrazioni, i criteri di inclusione variano, offrendo agli Stati Membri maggiore flessibilità nell’applicazione della direttiva.
Obiettivi, impatti, scenario security
La direttiva NIS2 si inserisce in un contesto di crescente allarme per i rischi cyber, dettato dalla crescita esponenziale sia del numero, sia della gravità degli attacchi informatici.
Già lo scorso anno, il rapporto Clusit evidenziava come negli ultimi cinque anni il volume globale degli attacchi fosse aumentato del 60%, ma i dati relativi al 2024 sono ancora più preoccupanti. Secondo il rapporto, infatti, nel primo semestre dello scorso anno sono stati registrati 1.637 attacchi informatici a livello globale, con una media di 273 al mese, con un incremento del 23% rispetto al semestre precedente e confermando un trend di crescita costante. L'81% degli attacchi, prosegue l’analisi, ha avuto impatti gravi, con una redistribuzione della gravità: gli eventi critici sono diminuiti dal 38% al 31%, mentre quelli di alta severità sono aumentati dal 42% al 50%.
Non è solo una questione tecnologica: le ripercussioni si riflettono sull’economia, la società e, sempre più spesso, sulla sicurezza nazionale. La digitalizzazione pervasiva ha reso infrastrutture critiche, istituzioni pubbliche e aziende private, vulnerabili a cyber attacchi.
L’attuale contesto geopolitico, segnato da conflitti internazionali e tensioni economiche, ha ulteriormente amplificato i rischi cyber; le minacce digitali, spesso legate a strategie di destabilizzazione geopolitica, sono diventate un’arma a basso costo ma ad alto impatto, utilizzata per colpire infrastrutture essenziali, dall’energia ai trasporti, fino alla sanità.
Ed è qui che entra in gioco la NIS2.
L’Unione Europea, infatti, attraverso la NIS2, non solo riconosce la necessità di proteggere i sistemi critici, ma mira anche a creare un ecosistema cooperativo tra gli Stati membri. La direttiva introduce misure obbligatorie di cybersecurity per le imprese e gli enti pubblici più esposti, promuovendo al contempo la condivisione di informazioni e il coordinamento per una risposta rapida ed efficace alle minacce. L’obiettivo è quello di trasformare la sicurezza informatica da una responsabilità individuale a una priorità condivisa, in grado di garantire stabilità economica e sociale anche nei momenti di maggiore instabilità geopolitica.
Le tappe della compliance e dell’adeguamento normativo
Cerchiamo allora di capire che cosa prevede la direttiva e cosa richiede.
Come già accennato, la NIS2 attribuisce ai vertici aziendali la responsabilità diretta sulla cybersecurity, richiedendo loro di garantire l’implementazione e il controllo delle misure per la gestione del rischio informatico e introduce una serie di obblighi rigorosi per i soggetti definiti "essenziali" e "importanti”. I soggetti interessati devono adottare misure tecniche, operative e organizzative proporzionate per affrontare le minacce alle reti e ai sistemi. L’approccio richiesto è multirischio, includendo sia rischi digitali sia fisici e impone un'analisi iniziale per individuare le misure necessarie, tenendo conto del contesto specifico e della dipendenza dai sistemi digitali. Tra gli obblighi principali spiccano la notifica degli incidenti, che deve rispettare scadenze precise: pre-notifica entro 24 ore dall'evento, notifica completa entro 72 ore e una relazione finale entro un mese. Inoltre, richiede l’implementazione di misure di sicurezza adeguate senza compromessi economici nei casi critici.
La conformità alla NIS2 richiede una gestione attiva dei rischi, che comprende politiche di sicurezza, piani di continuità operativa e strategie di risposta agli incidenti. Le aziende devono garantire pratiche come il backup e il ripristino dei dati, oltre a procedure strutturate per affrontare le crisi, minimizzando l’impatto delle interruzioni. L’attenzione si estende al ciclo di vita dei sistemi informatici, con monitoraggio continuo delle vulnerabilità e rispetto di standard di sicurezza elevati. Altre misure includono l’adozione della crittografia per proteggere i dati sensibili e l’autenticazione a più fattori per migliorare la protezione degli accessi interni. Fondamentale è anche la formazione del personale, per garantire un’adeguata consapevolezza sulle minacce e migliorare le pratiche di igiene informatica.
La direttiva impone anche un'attenzione particolare alla sicurezza della supply chain, obbligando le aziende a valutare i rischi derivanti dai rapporti con fornitori e partner, inclusi quelli esterni all’UE. Questo può implicare un coinvolgimento indiretto di organizzazioni non soggette alla direttiva, che devono comunque conformarsi a specifiche pratiche di sicurezza. Le misure adottate devono essere continuamente valutate per garantire che restino efficaci rispetto all’evoluzione delle minacce, variando in base alla criticità del soggetto e ai rischi specifici di ogni azienda o ente pubblico.
Con il recepimento di ottobre, scattano anche i nuovi adempimenti. Dal 1° gennaio di quest’anno è partito il processo di identificazione dei soggetti critici: le aziende devono registrarsi su una piattaforma dedicata, specificando il settore di attività e fornendo un punto di contatto entro il 28 febbraio. Entro il 31 marzo, l’Autorità Nazionale completerà l’elenco delle imprese considerate "essenziali" o "importanti", notificando loro la qualifica assegnata.
Una volta avvenuta la classificazione, entrano in vigore anche le scadenze definite per rispettare gli obblighi della normativa. In particolare, per quanto riguarda la notifica degli incidenti informatici, le aziende dovranno adeguarsi entro nove mesi dalla comunicazione dell’Autorità, raggiungendo la conformità entro la fine del 2025. Le misure di sicurezza informatica richiederanno invece un arco temporale più ampio: le imprese avranno 18 mesi per implementare le necessarie misure di gestione dei rischi, con una scadenza fissata per settembre 2026.
Vantaggi di correre verso la compliance con Impresoft 4ward
C’è un punto sul quale le aziende devono prestare particolare attenzione: la mancata conformità alla Direttiva NIS2 espone le aziende a rischi economici significativi, con sanzioni che variano in base alla classificazione come soggetto essenziale o importante.
Per le entità essenziali, le multe possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo complessivo, mentre per i soggetti importanti il limite massimo è fissato a 7 milioni di euro o l'1,4% del fatturato, sempre considerando l’importo più elevato. Oltre al danno economico diretto, le imprese rischiano di subire gravi ripercussioni reputazionali, specialmente nel caso di incidenti informatici che compromettano la sicurezza dei dati aziendali e dei clienti. Questo potrebbe tradursi in una perdita di fiducia da parte del mercato, con impatti negativi sulla competitività e sulla sostenibilità a lungo termine.
Affidarsi a un partner esperto come Impresoft 4ward consente alle aziende di affrontare con sicurezza il complesso processo di adeguamento alla NIS2. Grazie a competenze consolidate in cybersecurity e gestione dei rischi, Impresoft 4ward supporta le organizzazioni nell’identificare le vulnerabilità, implementare misure di sicurezza avanzate e rispettare le scadenze previste dalla normativa. Questo approccio non solo riduce i rischi economici e reputazionali legati alla non conformità, ma protegge anche i dati critici e le informazioni sensibili, salvaguardando la continuità operativa e la fiducia dei clienti.
