Cos’è la direttiva NIS 2? Sicurezza informatica e obblighi di legge

Questi ultimi anni hanno visto un susseguirsi di grandi attacchi informatici contro vari siti istituzionali Italiani e altri sistemi informatici nevralgici da parte dei pirati informatici, che hanno causato danni significativi e grosse ripercussioni per i nostri servizi pubblici e per la cittadinanza. Ed è in questo contesto che si sviluppa la normativa NIS 2, la normativa in vigore nell’Unione Europea in materia di cybersicurezza.

L’acronimo NIS significa Network and Information Security, cioè sicurezza dei sistemi informativi e rete. Si tratta di una normativa che è stata creata per istituire un quadro giuridico unico a livello europeo per la cybersecurity in ben 18 settori critici. La storia del NIS 2 comincia nel 2020, quando è stato avviato l'iter per il superamento della precedente normativa NIS 1, a sua volta stabilita nel 2016. 

Questa direttiva del parlamento europeo è stata quindi approvata a fine 2022, con l'obbligo per gli stati membri di recepirla entro l'ottobre del 2024. Comprende una serie azioni in materia di cybersecurity, come misure di gestione dei rischi, la sensibilizzazione delle amministrazioni sui rischi legati alla sicurezza informatica, la condivisione di informazioni, nonché la redazione di di documentazione per i servizi essenziali. Tale documentazione dovrà necessariamente essere aggiornata e controllata da parte degli stati membri per assicurare una conformità a livello europeo.

Come abbiamo detto nel punto precedente, la direttiva NIS 2 è stata introdotta nel 2022 per soppiantare la precedente normativa NIS 1, a sua volta risalente al 2016. Ma che cosa è cambiato esattamente in questo passaggio? Ecco i punti principali:

La direttiva NIS 2 richiede l’applicazione di una serie di punti i quali sono definiti nell’articolo 21 da parte delle aziende e amministrazioni pubbliche al fine della conformità alla normativa in vigore. Ecco quali sono:

• L’utilizzo della crittografia e della cifratura nei programmi informatici sensibili. NIS 2 richiede l’adozione di queste due tecniche fondamentali della cybersecurity per proteggere i dati dei settori sensibili come le banche, le assicurazioni, gli ospedali.
• L’utilizzo dell’autenticazione multifattore (app e siti bancari per esempio). L’uso della MFA è una misura richiesta dalla direttiva NIS 2 e trova la sua applicazione nei vari siti e app di servizi critici come le app bancarie, lo SPID e altri sistemi che contengono delle informazioni importanti da proteggere.
• Gestione della vulnerabilità. Le aziende e le amministrazioni pubbliche sono obbligate a dotarsi di un protocollo di gestione dei rischi per garantire una continua sicurezza e un adeguamento all’evoluzione dei rischi cibernetici.
• Gestione completa degli incidenti informatici. Questo significa che le aziende private, pubbliche e gli enti devono avere un proprio piano di gestione delle crisi informatiche in risposta ad eventuali incidenti o attacchi. Tale piano dovrà essere testato, mantenuto e aggiornato regolarmente per garantire una risposta efficente in caso di problemi informatici gravi.
• Sicurezza estesa delle reti. Per essere conformi alla direttiva NIS 2, le organizzazioni devono implementare una serie di misure come i firewall, la segmentazione delle reti per evitare un allargamento degli attacchi sul sistema, e l’utilizzo di VPN per una maggiore sicurezza informatica.
• Gestione dei rischi e politiche di sicurezza. Le aziende e le amministrazioni pubbliche devono dotarsi di sistemi di difesa per la protezione delle reti e dei loro sistemi informatici, ma devono anche creare una cultura della sicurezza al loro interno. Questo avviene attraverso dei seminari, delle giornate di sensibilizzazione del personale e la valutazione dei potenziali rischi. Laddove i servizi di sicurezza sono gestiti da aziende esterne, esse devono essere a loro volta conformi alla normativa NIS 2.

Come puoi vedere, la direttiva NIS 2 ha come obiettivo il miglioramento della cybersecurity all’interno degli snodi informatici critici come le banche, le assicurazioni, l’amministrazione pubblica, la sanità, nonché l’armonizzazione delle misure di sicurezza cibernetica a livello europeo.

Vediamo ora una breve panoramica di quei settori chiave del settore privato che sono coinvolti nella normativa:

• Organizzazioni di ricerca
• Fornitori di servizi digitali come piattaforme di social network e servizi di registrazione di domini
• Fornitori di mercati online
• Fabbricazione di autoveicoli, rimorchi e semirimorchi (sezione C, divisione 29, della NACE Rev. 2)
• Fabbricazione di altri mezzi di trasporto (sezione C, divisione 30, della NACE Rev. 2)
• Fabbricazione di macchinari e apparecchiature n.c.a.  (sezione C, divisione 28, della NACE Rev. 3 )
• Fabbricazione di apparecchiature elettriche (sezione C, divisione 27, della NACE Rev. 2 )
• Fabbricazione di computer e prodotti di elettronica e ottica (sezione C, divisione 26, della NACE Rev. 2 )
• Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro 
• Produzione, trasformazione e distribuzione di alimenti 
• Fabbricazione, produzione e distribuzione di sostanze chimiche 
• Gestione dei rifiuti 
• Servizi postali e di corriere 
• Settore spaziale
• Gestione di servizi TIC (B2B) 
• Infrastrutture digitali 
• Acque potabili e reflue
• Infrastrutture dei mercati finanziari 
• Settore bancario
• Trasporti 
• Energia

Ecco una panoramica sulle date importanti legate alla messa in servizio della direttiva NIS 2:

• Dicembre 2020: La Commissione europea propone la revisione della direttiva NIS 1.
• 16 Gennaio 2023: La direttiva NIS 2 entra ufficialmente in vigore all’interno dell’unione europea.
• 17 Ottobre 2024: Data limite per l’adeguamento di ciascuno dei paesi dell’Unione Europea da parte dell’autorità nazionale competente. 
• 18 Ottobre 2024: Abrogazione definitiva della vecchia normativa NIS 1. 

Come vediamo, le tempistiche sono state relativamente breve dal momento in cui si è iniziato a parlare della necessità di rivedere la vecchia direttiva NIS 1 alla sua abrogazione, considerato anche che tutto ciò è avvenuto durante gli anni di pandemia. 

Si tratta senza dubbio di un importante segno della criticità del tema della cybersecyrity per le principali amministrazioni europee. Una difesa cibernetica non all’altezza delle attuali sfide della sicurezza informatica rappresenta infatti un pericolo per il funzionamento delle amministrazioni pubbliche e del settore privato.

Salate sono le sanzioni previste nei confronti di quelle aziende e organizzazioni che non si conformano alla direttiva NIS 2:

• Fino a 10 milioni di euro o il 2% del fatturato annuo per i soggetti essenziali
• Fino a 7 milioni di euro o 1,4% del fatturato annuo per i soggetti importanti

Le multe variano a seconda del grado di gravità della violazione in questione.

In un contesto in cui la sicurezza cibernetica occupa un ruolo sempre più importante per le aziende e per le organizzazioni pubbliche, e dove queste ultime investono sempre più energie e risorse per la protezione dei loro sistemi, la soluzione di firma elettronica di Yousign può svolgere un ruolo fondamentale nella tua organizzazione, garantendoti una massima sicurezza nei tuoi processi di firma e liberando del tempo per le cose più importanti.

Il nostro servizio di firma elettronica ti consente di:

• Approvare, firmare e inviare i tuoi documenti facilmente
• Automatizzare i solleciti
• Monitorare lo stato dei tuoi documenti in tempo reale

E in materia di sicurezza, Yousign offre:

• Una soluzione a norma con il GPDR e certificata eIDAS
• Un sistema di autenticazione forte
• Archiviazione crittografica e accesso protetto all'infrastruttura tramite VPN
• Hosting in Francia.

Scopri la nostra applicazione SaaS pronta all'uso o la nostra API per integrare facilmente Yousign nei tuoi sistemi esistenti.