Nel mese di gennaio 2023, gli Stati membri dell'Unione Europea hanno formalmente ritenuto opportuno provvedere ad una revisione della già esistente “Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems - NIS)” del 2016.
Ricordiamo brevemente che cosa è la Direttiva NIS
La Direttiva NIS del 2016, conosciuta come Direttiva sulla sicurezza delle reti e dei sistemi informatici, è una normativa dell'Unione Europea adottata per migliorare la sicurezza informatica all'interno degli Stati membri. Essa stabilisce requisiti di sicurezza e obblighi di reportistica per i servizi essenziali e i fornitori di servizi digitali, al fine di garantire un elevato livello di protezione delle reti e dei sistemi informatici.
La revisione alla Direttiva NIS del 2016 è stata avanzata in risposta a una serie di cyber attacchi altamente pubblicizzati e dannosi. In pratica, la Direttiva NIS rappresentava un passo significativo verso un'Europa più sicura dal punto di vista informatico, ponendo le basi per normative più rigorose, culminando poi nella revisione NIS2. L’obiettivo di quest’ultima sarebbe stato quello di rafforzare i requisiti di sicurezza, semplificare gli obblighi di reporting e istituire misure di supervisione e requisiti di applicazione più stringenti da parte delle organizzazioni.
L'obiettivo della nuova Direttiva è quello di potenziare le difese delle entità critiche contro vulnerabilità nella catena di approvvigionamento, attacchi ransomware e altre minacce informatiche. È previsto che tutti i 27 Stati membri dell'UE procedano alla ratifica della Direttiva NIS2 entro ottobre 2024.
La Direttiva NIS2 comporta un ampliamento sostanziale sia della portata sia della profondità della precedente Direttiva NIS. Essa si applica a un ventaglio più ampio di settori industriali rispetto alla sua precursore, introducendo controlli di sicurezza più dettagliati e specifici. Inoltre, la Direttiva NIS2 stabilisce requisiti di reporting in merito agli incidenti informatici che risultano essere significativi e più rigorosi rispetto a quelli precedentemente previsti.
La Direttiva NIS2 è stata recepita dall’ordinamento giuridico italiano con il D.Lgs. 4 settembre 2024, n. 138 ed entrerà in vigore il 18 ottobre 2024
La Direttiva NIS2 potenzia ulteriormente le misure di enforcement e le relative sanzioni per garantire il rispetto delle obbligazioni derivanti dalla normativa. È inoltre importante tenere a mente che, a differenza della Direttiva NIS del 2016, i requisiti di cybersecurity della NIS2 si applicano non solo alle organizzazioni che operano all'interno della sua definizione ampliata di "critica" (c.d. soggetti critici) e ai loro dipendenti, ma anche ai subappaltatori e ai fornitori di servizi che le supportano.
Gli attacchi informatici come i ransomware e i Data Breach hanno un rilevante impatto sulle organizzazioni di tutta l'UE. Recentemente, l’Enisa ha pubblicato un rapporto sul panorama delle minacce avvertendo che nuove forme di phishing e di exploit zero-day verranno utilizzati per attaccare le organizzazioni di tutta l'UE.
La NIS2 impone l’implementazione di controlli di sicurezza rigorosi per tentare di ridurre i rischi e prevenire danni di cybersecurity nei sistemi e sui dati. I requisiti comprendono un'ampia gamma di sistemi e risorse IT (a priori regolamentati dalla Direttiva NIS2) inclusa la protezione degli ambienti IT da ransomware, phishing e accesso non autorizzato.
È di fondamentale importanza verificare e identificare la pertinenza della Direttiva NIS2 per la propria organizzazione, considerando i settori di attività e i servizi offerti. È pertanto doveroso effettuare un'analisi approfondita per determinare quali obblighi specifici si applicano. Si applica anche alla Tua organizzazione?
Sappiamo come aiutarti. Aiutaci a capire come possiamo esserti utili!
I nostri consulenti sono "sempre" a disposizione
Richiedi ora la Tua Demo. Contattaci!
Tutte le immagini presenti nei post pubblicati su questo sito sono protette da diritti d'autore e sono fornite dal nostro fornitore ufficiale