LA DIRETTIVA NIS2: UN PASSO IMPORTANTE PER LA SICUREZZA INFORMATICA

La direttiva NIS2 (Network and Information Security Directive) entrerà in vigore dal 17 ottobre 2024, come parte di una strategia dell'Unione Europea per rafforzare la sicurezza informatica delle infrastrutture critiche e delle imprese. Questa nuova normativa si applicherà a una vasta gamma di settori e aziende, ampliando il campo di applicazione rispetto alla precedente direttiva NIS1.

Conseguenze per le aziende italiane

Le aziende italiane classificate come soggetti essenziali o soggetti importanti dovranno adeguarsi a nuovi obblighi di sicurezza informatica. Questi includono l'adozione di misure tecniche e organizzative adeguate per proteggere i loro sistemi informativi e la gestione del rischio. Saranno inoltre tenute a notificare tempestivamente eventuali incidenti al CSIRT Italia (Computer Security Incident Response Team di ARIA S.p.A), con un sistema di prenotifica entro 24 ore e una relazione completa entro 72 ore dall'accaduto.
La normativa riguarda diversi settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione uffici TIC, pubblica amministrazione e spazio.

Gli obblighi principali riguardano:

1. Valutazione del rischio multirischio, includendo minacce fisiche, tecnologiche e umane.
2. Notifiche obbligatorie degli incidenti significativi che potrebbero avere un impatto sulla fornitura dei servizi o causare danni materiali o immateriali rilevanti.
3. Sicurezza della catena di approvvigionamento, con controlli più rigorosi sui fornitori e sui servizi utilizzati dalle aziende.
4. Misure di continuità operativa, inclusa la gestione dei backup e il ripristino in caso di disastri.

Aspetti importanti

Le aziende che non si adegueranno potrebbero incorrere in pesanti sanzioni e la classificazione di soggetto essenziale o importante sarà fondamentale per determinare il grado di obblighi. Entro aprile 2025, l'Agenzia per la Cybersicurezza Nazionale (ACN) redigerà l'elenco ufficiale delle aziende e delle PA coinvolte.

Per la prima volta il Decreto Legislativo formalizza l’obbligo per il CSIRT Italia di fornire un supporto agli enti che hanno subito un attacco informatico. Infatti, entro 24 ore dalla prenotifica, il CSIRT Italia è tenuto a dare un riscontro sull’incidente ed eventuali orientamenti sulle possibili misure di mitigazione.

La direttiva NIS2 rappresenta un passo cruciale per migliorare la sicurezza informatica in Italia, ma richiederà uno sforzo significativo da parte delle aziende per conformarsi agli standard previsti, con importanti implicazioni in termini di investimenti tecnologici e formazione del personale.

Fonti: CyberSecurity360; Agenda Digitale, dal Web.

15/10/2024