Utilizziamo i cookies per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Tra le diverse finalità, i cookies ci permettono di analizzare il percorso di navigazione dell’utente per migliorarne l’esperienza sul sito web. Continuando a navigare su questo sito accetta la politica sui cookie. Ulteriori informazioni sono contenute nostra informativa privacy.



Come cambierà la cyber sicurezza con la NIS 2?

PrintMailRate-it

Ultimo aggiornamento del 29.09.2021 | Tempo di lettura ca. 4 minuti


The article is available also in English »


La direttiva (UE) 2016/1148 (comunemente denominata Direttiva NIS) è stata pubblicata sulla Gazzetta Ufficiale, con il Decreto Legislativo 18 maggio 2018, n.65, il 9 giugno 2018, recependola nell'ordinamento nazionale italiano. 

Lo scopo di tale direttiva è quello di definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, coinvolgendo principalmente gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD) in diversi settori, tra cui quello della sanità, dell’energia, dei trasporti, delle infrastrutture digitali e dell’approvvigionamento idrico.

Le richieste principali agli OSE e FSD riguardano principalmente l’adozione di misure tecniche e organizzative al fine di aumentare la sicurezza delle proprie reti e i sistemi informatici, l’adozione di misure appropriate al fine di prevenire incidenti di sicurezza e/o minimizzarne l'impatto per garantire la continuità del servizio ed infine, la comunicazione all'autorità competente senza ingiustificato ritardo di qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio erogato.

Tuttavia, sono stati riscontrati problemi in termini di chiarezza, non risultando sufficientemente definito il perimetro di applicazione degli OSE e FSD, lasciando agli Stati Membri abbastanza discrezione nelle modalità di implementazione dei requisiti nonché nell’identificazione delle entità coinvolte. Inoltre, la “copertura” dei settori è risultata esser troppo limitata, in quanto la Direttiva non era più in grado di riflettere tutti i settori fornitori di servizi essenziali all’economia e alla società. 

In aggiunta a quanto sopra, a seguito della digitalizzazione degli ultimi anni e di una maggior interconnessione, seguiti da un significativo aumento dei rischi di cyber sicurezza (dovuti all’incremento dell’utilizzo di servizi in Cloud a seguito della massiccia adozione del lavoro a distanza (smartworking) causato dalla pandemia di COVID-19, all’introduzione nel nostro quotidiano delle tecnologie di telefonia e connettività mobile di quinta generazione (5G) e dei dispositivi IoT), la Commissione Europea ha proposto una abrogazione della stessa attraverso l’introduzione di una nuova direttiva, la cosiddetta NIS 2.

Cosa cambierà nella NIS 2?

Queste sono alcune differenze importanti tra la vecchia e la nuova direttiva:
  • La nuova proposta elimina la distinzione tra OSE e FSD, classificando invece le entità come essenziali o importanti;
  • La copertura della Direttiva viene espansa al fine di coprire nuovi settori (es: gestione delle acque reflue, food, spazio e così via) in base alla loro criticità per l’economia e la società, includendo a tal scopo tutte le compagnie medio-grandi di tali settori. Allo stesso tempo, agli Stati Membri viene garantita della flessibilità nell’identificare entità più piccola ma con profilo ad alto rischio; 
  • Viene proposta l’istituzione di organizzazione a livello europeo per la gestione delle crisi informatiche (European Cyber Crises Liaison Organisation Network: EU-CyCLONe) al fine di supportare la gestione coordinata della sicurezza informatica su incidenti di larga scala e crisi a livello dell'UE;
  • Viene stabilita maggior coordinazione nella divulgazione, in tutta l’Unione, di nuove vulnerabilità scoperte; 
  • Viene stabilito un elenco di sanzioni amministrative (simili a quelle del GDPR), comprese le multe per violazione degli obblighi di segnalazione e gestione del rischio di cybersecurity;
  • La proposta rafforza i requisiti di sicurezza per le aziende, imponendo un approccio di gestione del rischio e fornendo un elenco minimo di elementi di sicurezza di base che devono essere applicati. Inoltre, introduce disposizioni più precise sul processo di segnalazione degli incidenti, il contenuto delle segnalazioni e le tempistiche (entro 24 ore dalla scoperta dell’incidente);
  • La proposta introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori tra gli Stati Membri;
  • A livello europeo, la proposta rafforza la sicurezza informatica per le principali tecnologie dell'informazione e della comunicazione. Gli Stati membri, in collaborazione con la Commissione e l'ENISA, effettueranno valutazioni coordinate dei rischi delle supply chains critiche, basandosi sull'approccio efficace adottato nel contesto della raccomandazione della Commissione sulla cyber sicurezza delle reti 5G.

Con la revisione della direttiva NIS, quindi, la Commissione Europea propone una rielaborazione del livello di cyber sicurezza in tutta l'Unione al fine di incrementare la resilienza dei vari settori coinvolti, sia nella sfera pubblica che privata.  

 DALLA NEWSLETTER

contatti

Contact Person Picture

Andrea Marchi

Information Security Officer & IT Consultant

+39 02 6328841
+39 02 63288420

Invia richiesta

Profilo

 i nostri servizi

Deutschland Weltweit Search Menu