Vai al contenuto principale
25 Febbraio 2025

Direttiva NIS2, cosa devono fare le imprese

Direttiva NIS2, cosa devono fare le imprese

La Direttiva NIS2 ha l’obiettivo di rafforzare la resilienza dei sistemi informatici e alzare il livello di sicurezza in tutti gli Stati membri della Ue, combinando il proprio effetto a quello di altre direttive precedenti come il GDPR sulla protezione dei dati e della privacy.

Entro il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa devono registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN). L’inosservanza delle indicazioni dell'ACN può dar luogo a pesanti sanzioni amministrative pecuniarie che possono raggiungere anche lo 0,1% del totale del fatturato annuo su scala mondiale.

La Direttiva interessa undici settori definiti “altamente critici” e sette, di nuova introduzione, definiti “critici”. I primi si considerano vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica. Nei secondi fanno parte altre organizzazioni che dovranno rispettare i requisiti di sicurezza imposti dalla Direttiva.

Ecco i settori principali:

  • Energia: aziende e utility operanti nella generazione, distribuzione e fornitura di energia, incluse le reti elettriche intelligenti.
  • Trasporti: infrastrutture ferroviarie, aeree, marittime e stradali.
  • Bancario e finanziario: istituti bancari e mercati finanziari, con una particolare attenzione alla sicurezza delle transazioni digitali.
  • Sanità: ospedali, fornitori di servizi sanitari e aziende farmaceutiche.
  • Fornitura e distribuzione di acqua potabile: gestori dell’infrastruttura idrica.
  • Infrastrutture digitali: fornitori di servizi cloud, data center, servizi DNS e reti di distribuzione dei contenuti (CDN).
  • Pubblica Amministrazione: enti governativi e istituzioni pubbliche che gestiscono dati sensibili.
  • Tecnologie spaziali: attività legate all’osservazione della Terra, alle telecomunicazioni satellitari e alla navigazione globale.

Tra i settori critici indicati nell’allegato 2 evidenziamo

  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di macchinari e attrezzature (sezione C divisione 28  NACE)

Le aziende per implementare la NIS2 al loro interno devono :

  • Valutazione e gestione del rischio: le aziende devono potenziare, e renderlo robusto, un sistema di gestione dei rischi legati alla sicurezza informatica valutandoli in modo continuativo ed approfondito.
  • Identificazione delle vulnerabilità: ogni impresa deve effettuare una mappatura accurata delle sue infrastrutture tecnologiche, identificando i punti deboli che potrebbero essere sfruttati da attaccanti esterni. L’analisi delle vulnerabilità deve coprire reti, sistemi, processi aziendali e gestione delle risorse umane.
  • Adozione di un piano di mitigazione: dopo aver identificato i rischi, l’azienda deve elaborare e attuare un piano di mitigazione basato su una valutazione di impatto che consideri la probabilità di un attacco e la gravità delle conseguenze. L’adozione di misure preventive, come firewall avanzati, crittografia dei dati e accessi privilegiati ben controllati, è cruciale per limitare i danni in caso di attacco.
  • Notifica degli incidenti.

La Direttiva NIS2 non impatta solo sulla sicurezza interna aziendale, ma anche sulle filiere di approvvigionamento. In questo caso, le aziende devono:

  • Monitorare i fornitori: bisogna valutare i rischi legati ai fornitori di beni e servizi critici controllando le loro politiche di sicurezza informatica e la valutazione dei potenziali impatti negativi se, tali fornitori, dovessero subire un attacco informatico.
  • Imporre requisiti di sicurezza contrattuali: le aziende devono inserire nelle contrattazioni con i fornitori specifici requisiti di sicurezza informatica, come l’obbligo di utilizzare standard di protezione adeguati e di notificare tempestivamente qualsiasi incidente che possa compromettere la sicurezza.