Nel mondo sempre più interconnesso di oggi, l'importanza di una solida sicurezza informatica non può essere sopravvalutata. Con gli attacchi informatici che crescono in termini di sofisticatezza e portata, i governi di tutto il mondo si stanno impegnando sempre di più per proteggere infrastrutture critiche e dati sensibili. Nell'Unione europea, uno degli sforzi in questo senso è stata la promulgazione della direttiva NIS2, un'iniziativa coraggiosa per rafforzare la sicurezza informatica in tutti gli Stati membri. 

OneTrust considera la normativa NIS2 un passo importante verso il miglioramento della sicurezza informatica nei settori critici su cui i consumatori fanno affidamento. 

Ma cosa comporta esattamente la direttiva NIS2 e perché è così importante sia per le aziende che per i governi e le persone?
 

Che cos'è la direttiva NIS2?

La direttiva NIS2, dall'inglese ''Security of Network and Information Systems'', ovvero ''sicurezza dei sistemi informatici e di rete'', è un documento legislativo volto a migliorare il quadro generale di sicurezza informatica all'interno dell'Unione europea. È stata adottata nel 2022 e si basa sulla direttiva NIS del 2016. La direttiva introduce un approccio più completo e rigoroso alla sicurezza informatica, affrontando una gamma più ampia di settori, tra cui infrastrutture critiche, energia, sanità e finanza.

L'obiettivo della direttiva NIS2 è semplice ma radicale: creare un ambiente digitale resiliente in tutta Europa migliorando le capacità di sicurezza informatica di entità essenziali e importanti. Fissando standard chiari per la governance della sicurezza informatica, la segnalazione degli incidenti, la gestione del rischio e la collaborazione transfrontaliera, la direttiva si impegna a mitigare i rischi posti dalle minacce informatiche.

Chi è interessato dalla direttiva NIS2?

Ai sensi della direttiva NIS 2, l'ambito dei soggetti coperti è stato notevolmente ampliato rispetto alla direttiva NIS originale. Ora, più settori e tipi di organizzazioni sono soggetti ai suoi requisiti. Di seguito sono riportati alcuni esempi.

• Fornitori di infrastrutture critiche: entità in settori come energia, acqua, trasporti e sanità. Questi settori sono sempre più presi di mira dai criminali informatici a causa della loro importanza nel mantenere il funzionamento della società.
• Fornitori di servizi digitali: servizi cloud, marketplace online e motori di ricerca. Poiché le aziende continuano a spostare le loro attività online, la sicurezza informatica di queste infrastrutture digitali è più importante che mai.
• Enti della pubblica amministrazione: Anche i governi e gli enti governativi a livello nazionale e locale rientrano nell'ambito della direttiva NIS2.

La direttiva pone inoltre l'accento sulle catene di fornitura, riconoscendo che le vulnerabilità in termini di sicurezza informatica di un'entità possono avere un effetto a cascata su altre. Questo approccio interconnesso incoraggia le organizzazioni non solo a concentrarsi sulle proprie difese, ma anche a garantire che i propri partner e fornitori mantengano elevati standard di sicurezza informatica. 
 

Disposizioni più importanti della direttiva NIS2

La direttiva NIS2 stabilisce un quadro completo per migliorare la sicurezza informatica in tutta Europa. Di seguito sono riportate alcune delle disposizioni più importanti.
 

1. Misure di gestione del rischio per la sicurezza informatica

La direttiva impone alle organizzazioni di adottare un approccio alla sicurezza informatica basato sul rischio. Ciò comporta l'identificazione, la valutazione e la mitigazione dei rischi in modo sistematico. Le entità sono inoltre tenute a stabilire strutture di governance interne chiare per la gestione della sicurezza informatica e a implementare piani di intervento in caso di incidenti per affrontare rapidamente le violazioni.

2. Segnalazione degli incidenti

La direttiva rafforza l'obbligo di segnalare gli incidenti di sicurezza informatica. Le organizzazioni devono ora segnalare gli incidenti di sicurezza significativi alle autorità competenti entro 24 ore dal rilevamento. Questa tipo di segnalazione è essenziale per garantire che le minacce vengano identificate tempestivamente e mitigate prima che causino danni diffusi.

3. Sicurezza della catena di fornitura

La direttiva pone una notevole enfasi sulla sicurezza delle catene di fornitura. Data la crescente complessità e interdipendenza delle catene di fornitura internazionali, la direttiva NIS2 impone alle organizzazioni di valutare e gestire i rischi per la sicurezza informatica posti da fornitori e partner terzi. Si tratta di un tentativo di affrontare le vulnerabilità della catena di fornitura, spesso trascurate, che possono essere sfruttate dai criminali informatici.

4. Applicazione della direttiva e sanzioni più severe

A differenza della direttiva NIS originale, la NIS2 è meno volontaria e impone sanzioni finanziarie simili a quelle previste dal GDPR e dal DORA.  Infatti, introduce meccanismi di applicazione più forti. Gli stati membri devono istituire chiare autorità nazionali per la sicurezza informatica con il potere di imporre multe e sanzioni alle organizzazioni che non rispettano la direttiva. Le sanzioni possono essere severe, fino al 2% del fatturato annuo di un'azienda, e ciò sottolinea l'importanza di rispettare gli standard di sicurezza informatica stabiliti dalla direttiva. Inoltre, vi sono possibili implicazioni per i funzionari C-level che non la rispettano.  

5. Migliore cooperazione

La direttiva facilita la cooperazione transfrontaliera e la condivisione delle informazioni tra gli Stati membri. Rafforzando la risposta collettiva dell'Unione europea alle minacce informatiche, la direttiva garantisce che gli Stati membri possano condividere le pratiche consigliate, condurre esercitazioni congiunte di sicurezza informatica e rispondere rapidamente agli incidenti che possono interessare più Paesi. 
 

Perché la direttiva NIS2 è così importante?

Il panorama digitale si evolve a un ritmo sorprendente, così come le minacce poste dai criminali informatici. Dagli attacchi ransomware rivolti agli ospedali al furto di dati sensibili da parte di agenzie governative, gli incidenti informatici possono paralizzare interi settori. La direttiva NIS2 affronta questa crescente minaccia non solo inasprendo le normative, ma promuovendo anche una cultura della sicurezza informatica all'interno delle aziende.

Inoltre, la direttiva aiuta a standardizzare le pratiche di sicurezza informatica in tutta l'Unione europea. In un'unione di diversi paesi con diversi livelli di maturità digitale, standard uniformi sono fondamentali per garantire che nessuno Stato membro rimanga indietro. Questa armonizzazione contribuisce a mitigare i rischi associati alla frammentazione degli approcci alla sicurezza informatica, rendendo più semplice la gestione delle minacce informatiche transfrontaliere.
 

Il percorso da seguire

Man mano che la direttiva NIS2 inizia a entrare in vigore, le organizzazioni in tutta l'UE devono iniziare ad allineare le proprie pratiche di sicurezza informatica ai suoi requisiti. La direttiva ricorda che la sicurezza informatica non è un compito una tantum, ma un impegno costante. Le organizzazioni devono investire in tecnologia, formazione e processi per proteggere le proprie reti e i propri dati da un panorama di minacce informatiche in costante evoluzione.

In un'epoca in cui la trasformazione digitale è fondamentale, la direttiva NIS2 assicura che l'Unione europea possa adottare nuove tecnologie partendo da una solida base di sicurezza informatica. La direttiva è molto più di un semplice quadro normativo: è un appello ad agire per le aziende affinché rafforzino le loro difese, proteggano le loro infrastrutture digitali e contribuiscano a un'Unione più sicura e resiliente dal punto di vista tecnologico. 

OneTrust offre soluzioni robuste per migliorare la resilienza informatica e rendere operativa la conformità alla direttiva NIS2. Scarica questo eBook per saperne di più su normative come la NIS2 e il DORA e su come avranno un impatto sul futuro della gestione delle terze parti.