Skip to main content

Articolo

Direttiva NIS 2: l’UE alza l'asticella della cybersecurity

Scoprite la Direttiva NIS 2, la regolamentazione dell'UE sulla cybersecurity volta a rafforzare la resilienza nei settori critici. Approfondite le disposizioni chiave e i passaggi per la conformità.

La crescente dipendenza dalle infrastrutture digitali ha reso la sicurezza informatica una priorità assoluta per le aziende di tutta Europa. Per affrontare le nuove minacce e vulnerabilità, l'Unione europea ha adottato la Direttiva per la sicurezza delle reti e dei sistemi informativi (NIS) 2, un quadro legislativo riveduto e ampliato volto a rafforzare la sicurezza informatica dei cosiddetti soggetti essenziali e importanti.

Sulla scia della prima Direttiva NIS, la NIS 2 introduce requisiti più rigorosi, una copertura più ampia e misure di applicazione rafforzate per creare un ecosistema digitale più resiliente in tutti gli Stati membri.

Che cos'è la Direttiva NIS 2?

La Direttiva NIS 2 è la legislazione di riferimento dell'UE per la gestione dei rischi di cybersecurity nei settori critici. Sostituisce la prima Direttiva NIS (2016) e riflette da un lato gli insegnamenti tratti dalla sua attuazione e dall’altro l'evoluzione del panorama delle minacce.

La NIS 2 stabilisce misure obbligatorie di cybersecurity per diversi settori e soggetti, garantendo un approccio armonizzato in materia di gestione del rischio, segnalazione degli incidenti e resilienza nell’UE.

Che cosa prevede la Direttiva NIS 2?

La Direttiva NIS2 introduce una serie di miglioramenti rispetto alla prima Direttiva:

  • Ambito di applicazione più ampio: la NIS 2 copre ulteriori settori, tra cui la sanità, la gestione dei rifiuti, la produzione e i fornitori di servizi digitali. Interessa anche le medie e grandi imprese, garantendo che più soggetti siano responsabili della sicurezza informatica. Gli Allegati I e II individuano rispettivamente i settori ad alta criticità e gli altri settori critici. La classificazione a livello aziendale dipende dal settore, dall'attività e dalle dimensioni dell’azienda.
  • Requisiti di governance più rigorosi: le aziende devono designare un responsabile della sicurezza informatica, implementare politiche complete di risk management e garantire la responsabilità ultima del management nella governance della sicurezza informatica.
  • Miglioramento della segnalazione degli incidenti: 
    • Notifica entro 24 ore: gli incidenti informatici significativi devono essere segnalati alle autorità competenti entro 24 ore.
    • I report di follow-up devono includere valutazioni dettagliate dell'incidente e delle azioni di mitigation.
  • Armonizzazione delle sanzioni: la Direttiva standardizza le sanzioni in tutta l'UE, con multe che possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo, se superiore.
  • Sicurezza della catena di approvvigionamento: la NIS 2 pone l'accento sulla sicurezza dell'intera supply chain, stabilendo la responsabilità dell’impresa in merito alle pratiche di sicurezza informatica dei suoi fornitori.

Cosa fare per essere conformi alla NIS 2

Per conformarsi alla Direttiva NIS 2, è utile adottare le seguenti misure:

  • Eseguire una gap analysis della compliance normativa: valutare le pratiche di cybersecurity in essere e identificare le lacune rispetto ai requisiti della NIS 2.
  • Potenziare la struttura di governance: nominare un responsabile della cybersecurity dedicato, stabilire ruoli e responsabilità chiari per la gestione del cyber risk.
  • Rafforzare il rilevamento e la segnalazione degli incidenti: implementare strumenti avanzati di rilevamento delle minacce e di segnalazione degli incidenti entro 24 ore.
  • Rafforzare la catena di approvvigionamento: collaborare con i fornitori terzi per assicurarsi che soddisfino gli standard NIS 2, riducendo in tal modo i rischi sistemici.
  • Investire nella formazione del personale: fornire ai dipendenti, in particolare ai ruoli critici, una formazione continua sulla cybersecurity al fine di migliorare la resilienza aziendale.
  • Dialogare con le autorità: stabilire relazioni con le agenzie nazionali di sicurezza informatica per semplificare i processi di compliance e incident response.

Conclusioni

La Direttiva NIS 2 rappresenta un significativo passo avanti negli sforzi dell'UE per dare vita a un approccio unificato e resiliente in materai di cybersecurity. Attraverso standard più rigorosi di risk management, governance e sicurezza della supply chain, la Direttiva mira a proteggere le infrastrutture critiche e garantire la stabilità di servizi europei importanti in un mondo sempre più digitale.

Le aziende che adottano misure proattive per conformarsi alla NIS 2 non solo potranno mitigare i rischi, ma si posizioneranno anche come leader affidabili nei rispettivi settori. Le scadenze per l'attuazione della NIS si avvicinano. È arrivato il momento di agire e di costruire un futuro digitale più sicuro e sostenibile.

Per saperne di più, contatta un consulente Marsh.

Il presente articolo è pubblicato a scopo puramente informativo. Marsh non garantisce l’accuratezza delle informazioni riportate. Marsh non si assume alcun obbligo di aggiornamento del presente articolo e declina ogni responsabilità nei confronti di qualsiasi soggetto derivante dal presente documento o da qualsiasi argomento in esso contenuto. Qualsiasi dichiarazione relativa a questioni attuariali, fiscali, contabili, del lavoro o legali si basa esclusivamente sulla nostra esperienza quali intermediari assicurativi e consulenti in materia di rischi e non deve essere considerata una consulenza in materia attuariale, fiscale, contabile, del lavoro o legale, per la quale i clienti sono invitati a rivolgersi ai propri consulenti. Tutte le analisi e le informazioni ivi riportate sono soggette a incertezza intrinseca e il contenuto del presente articolo potrebbe essere influenzato materialmente da ipotesi, condizioni, informazioni o fattori sottostanti allo stesso che risultassero inaccurati o incompleti o dovessero subire modifiche. Sebbene Marsh possa fornire consigli e raccomandazioni, tutte le decisioni relative a eventuali azioni sono di esclusiva responsabilità del cliente.