Nell’era digitale la sicurezza informatica è una delle principali preoccupazioni sia per i singoli sia per le organizzazioni, a causa della crescente frequenza e complessità degli attacchi informatici. Per questo motivo nel 2016 la Commissione Europea ha introdotto la direttiva UE sulla sicurezza delle reti e delle informazioni (Network and Information Security, NIS) per migliorare la sicurezza informatica nell’Unione Europea. Tuttavia la direttiva mancava di accountability, spingendo la Commissione a prevedere la sua sostituzione con la più robusta direttiva NIS2.
NIS2 impone alle aziende di implementare misure fondamentali di cybersecurity, tra cui la sicurezza della supply chain, la crittografia e la cifratura (articolo 18). L’articolo 89 evidenzia l’adozione di pratiche di igiene informatica di base, come i principi di zero-trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete e l’Identity and Access Management per i soggetti classificati come essenziali e importanti.
Immagina di essere il guardiano di un castello digitale, dove ogni giorno migliaia di hacker cercano di penetrare le mura per rubare informazioni preziose. Questo è esattamente ciò che accade nel mondo della sicurezza informatica, dove la protezione dei dati è una battaglia costante. Nel 2016, l'Unione Europea ha introdotto la direttiva NIS per affrontare questa sfida crescente. Una sfida che, alla luce delle nuove minacce, necessita di nuovi strumenti: ecco perché è nata NIS2, una versione evoluta della sua versione precedente
Ci sono alcune differenze importanti tra la vecchia e la nuova Direttiva:
Inoltre, introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto dei report e sulla tempistica (entro 24 ore dalla scoperta dell’incidente). A livello europeo la proposta rafforza la sicurezza informatica per le tecnologie ICT chiave. Gli Stati membri, in collaborazione con la Commissione e l’Agenzia dell’Unione Europea per la Cybersecurity ENISA, dovranno effettuare risk assessment coordinati per le supply chain critiche.
Mentre la vecchia direttiva NIS attribuiva agli Stati membri la responsabilità di determinare quali soggetti avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola dimensionale. Ciò significa che tutte le entità di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo ambito di applicazione.
Di seguito può trovare la classificazione:
Soggetti essenziali (EE) | Soggetti importanti (IE) |
---|---|
Soglia dimensionale: varia a seconda del settore, ma in genere 250 dipendenti, ricavi annui di 50 milioni di euro o bilancio di 43 milioni di euro. | Soglia dimensionale: varia a seconda del settore, ma generalmente 50 dipendenti, ricavi annui di 10 milioni di euro o bilancio di 10 milioni di euro. |
Energia | Servizi postali |
Trasporti | Gestione dei rifiuti |
Finanza | Prodotti chimici |
Pubblica Amministrazione | Ricerca |
Salute | Alimentari |
Spazio | Industria manifatturiera |
Approvvigionamento idrico (acqua potabile e acque reflue) | Provider digitali (ad es. social network, motori di ricerca, marketplace online) |
Infrastrutture digitali (ad es. fornitori di servizi di cloud computing e gestione ICT) | |
In Euro Informatica abbiamo creato un team dedicato di esperti certificati Lead auditor ISO 27001, altamente qualificati e specializzati, che contribuiranno a garantire che le aziende abbiano tutti i requisiti di sicurezza necessari per essere al passo con la Direttiva NIS2. Con il nostro aiuto le organizzazioni possono evitare le possibili sanzioni e ispirare ulteriore fiducia ai propri clienti.
Dall’identificazione iniziale degli operatori di servizi essenziali (Operators of Essential Services, OES) all’autovalutazione, al risk assessment e risk treatment, la nostra esperienza di collaborazione con le organizzazioni di tutti i settori può supportarle nel percorso verso la conformità alla Direttiva NIS2.