La Direttiva NIS2 (Network and Information Security Directive 2) è stata approvata dall'Unione Europea per rafforzare la sicurezza informatica all'interno degli Stati membri.

La NIS2 è un aggiornamento della versione precedente della direttiva NIS (Network and Information Security). Il suo obiettivo è creare un comune livello di cybersicurezza in tutti gli Stati membri dell’Unione europea. Come il GDPR (General Data Protection Regulation), la direttiva NIS2 si propone di armonizzare le misure e gli approcci negli Stati membri dell’UE per proteggere le infrastrutture digitali, in questo caso, le best practice per affrontare il crescente assalto di attacchi informatici.

Obiettivi principali della Direttiva NIS2

  • Migliorare la sicurezza informatica: La direttiva punta a proteggere le reti e i sistemi informatici essenziali contro attacchi cyber. Include settori critici come l’energia, i trasporti, la sanità e la finanza.
  • Ampliare la copertura: Rispetto alla precedente direttiva NIS, NIS2 include un numero maggiore di settori e organizzazioni. Oltre ai servizi essenziali, include anche le “infrastrutture importanti” come le aziende di produzione, le apparecchiature elettroniche e la gestione dei rifiuti.
  • Rafforzare gli obblighi di segnalazione: Le organizzazioni devono notificare alle autorità competenti qualsiasi incidente significativo entro 24 ore, per migliorare la risposta agli attacchi.

Requisiti per le organizzazioni

  • Gestione del rischio: Implementazione di misure tecniche e organizzative per gestire i rischi informatici, inclusa la gestione degli incidenti e la sicurezza della catena di approvvigionamento.
  • Governance della sicurezza informatica: Il top management deve essere consapevole dei requisiti della direttiva e deve impegnarsi nella gestione dei rischi.
  • Continuità operativa: Le aziende devono garantire la continuità dei servizi essenziali in caso di incidenti gravi, con piani di ripristino e procedure di emergenza.
  • Formazione e sensibilizzazione: Le organizzazioni devono fornire formazione periodica sulla sicurezza informatica ai propri dipendenti e ai fornitori lungo la catena di approvvigionamento.

Misure minime da adottare

  • Valutazione del rischio e sicurezza delle informazioni.
  • Procedure di segnalazione degli incidenti.
  • Gestione della sicurezza della rete e dei sistemi informativi.
  • Controllo degli accessi e crittografia.

Integrazione con altre normative

La Direttiva NIS2 si integra con altre normative europee come il GDPR (Regolamento Generale sulla Protezione dei Dati) e il Cyber Resilience Act, garantendo un approccio completo alla sicurezza informatica e alla protezione dei dati.

READ

Cyber Security Act e Cyber Resilience Act: La Protezione Digitale dell’Unione Europea