NIS2: Tutto ciò che devi sapere sulla nuova Direttiva europea sulla cybersicurezza

La crescente digitalizzazione e l’aumento degli attacchi informatici hanno spinto l’Unione Europea a rafforzare il proprio quadro normativo in materia di sicurezza informatica. Per questo motivo è nata la Direttiva NIS2, l’evoluzione della precedente Direttiva NIS (Network and Information Security Directive).

Cos’è la Direttiva NIS2

Approvata dalla Commissione Europea, la NIS2 mira a potenziare la sicurezza informatica e la resilienza delle infrastrutture critiche e dei fornitori di servizi digitali nei Paesi membri. L’obiettivo è creare un quadro normativo armonizzato, capace di rispondere con prontezza alle minacce cyber in continua evoluzione.

Le novità introdotte dalla NIS2 includono:

  • Requisiti di sicurezza rafforzati

  • Maggiore attenzione alla sicurezza delle supply chain

  • Obblighi di reporting più stringenti

  • Sanzioni armonizzate a livello europeo

  • Maggiori responsabilità per il management aziendale

Le principali differenze con la Direttiva NIS

Rispetto alla versione precedente, la NIS2 introduce regole più dettagliate sulla comunicazione degli incidenti, migliorando la chiarezza sui contenuti e i tempi di notifica. Inoltre, impone una valutazione coordinata dei rischi delle supply chain critiche tra gli Stati membri, la Commissione Europea e l’ENISA (Agenzia dell’Unione europea per la cybersicurezza).

Chi è coinvolto dalla NIS2?

La Direttiva si applica a tutte le organizzazioni che offrono servizi essenziali o importanti per l’economia e la società europee.

Soggetti Essenziali (Essential Entities – EE)

Tipicamente:

  • ≥ 250 dipendenti

  • Ricavi annui ≥ 50 milioni €

  • Bilancio ≥ 43 milioni €

Settori coinvolti:

  • Energia

  • Trasporti

  • Finanza

  • Pubblica Amministrazione

  • Salute

  • Spazio

  • Approvvigionamento idrico

  • Infrastrutture digitali

Soggetti Importanti (Important Entities – IE)

Tipicamente:

  • ≥ 50 dipendenti

  • Ricavi annui ≥ 10 milioni €

  • Bilancio ≥ 10 milioni €

Settori coinvolti:

  • Servizi postali

  • Gestione rifiuti

  • Settore alimentare

  • Manifatturiero

  • Ricerca

  • Prodotti chimici

  • Provider digitali (marketplace, social media, motori di ricerca)

Integrazione con normative settoriali

NIS2 riconosce l’esistenza di normative settoriali specifiche. Se una normativa offre standard di cybersicurezza equivalenti o superiori, può sostituirsi a parti della NIS2. Tuttavia, la direttiva si applicherà in modo complementare alle realtà non coperte da tali regolamenti.

I 4 requisiti principali della Direttiva NIS2

1. Gestione del rischio

Le aziende dovranno:

  • Monitorare e gestire gli incidenti

  • Migliorare la sicurezza della supply chain

  • Rafforzare la sicurezza di rete

  • Adottare crittografia e controlli accesso

2. Responsabilità aziendale

Il management dovrà:

  • Supervisionare i processi di cybersecurity

  • Ricevere formazione specifica

  • Assumersi la responsabilità delle violazioni (anche penale)

3. Obblighi di comunicazione

Incidenti rilevanti devono essere comunicati tempestivamente:

  • Early warning entro 24 ore

  • Notifica dettagliata entro 72 ore

  • Report finale entro 1 mese

4. Continuità operativa

Le aziende dovranno dotarsi di:

  • Piano di business continuity

  • Procedure di emergenza

  • Team di risposta alla crisi

ISO/IEC 27001 e ISO 22301: un aiuto per la conformità

Implementare uno standard certificato come ISO/IEC 27001 (sicurezza delle informazioni) rappresenta un importante passo verso la conformità alla NIS2. La direttiva fa riferimento esplicito a questo standard.

Inoltre, la ISO 22301 (business continuity) aiuta le aziende a strutturare piani efficaci per rispondere a crisi informatiche.

Gap Analysis e Audit per la conformità

Per accompagnare la tua azienda nella transizione verso la NIS2, offriamo:

  • Gap Analysis: per individuare le aree non conformi

  • Audit della supply chain: per valutare i fornitori critici

Sanzioni

Le sanzioni per la mancata conformità sono severe:

  • Multa fino a 10 milioni di euro o al 2% del fatturato globale annuo

  • Sanzioni penali e interdittive per i dirigenti aziendali

Link consigliati:

Sito ufficiale ENISA – Agenzia dell’UE per la cybersicurezza

Testo della Direttiva NIS2 sul sito EUR-Lex