Decodifica dell'ambito NIS2: Quali PMI rientrano nella direttiva e cosa significa per la sua azienda?

La Direttiva NIS2 (Direttiva (UE) 2022/2555) rappresenta la revisione più significativa della legislazione europea in materia di cybersecurity dopo la Direttiva NIS originale del 2016. Ampliando drasticamente il suo ambito di applicazione, introducendo obblighi più severi e imponendo sanzioni sostanziali, la NIS2 costringe migliaia di organizzazioni in tutta Europa a rivalutare la loro posizione in materia di cybersecurity. Per le PMI, la sfida consiste nel capire se e come la direttiva si applica alla loro attività.

L'espansione del campo di applicazione: Chi è coperto?

La Direttiva NIS originale si applicava a un gruppo ristretto di operatori di servizi essenziali e di fornitori di servizi digitali. La NIS2 la sostituisce con una classificazione molto più ampia: entità essenziali ed entità importanti. La distinzione è importante perché determina l'intensità della supervisione e la severità delle sanzioni.

Entità essenziali

Le entità essenziali sono soggette a misure di vigilanza proattive, ex ante. Questa categoria comprende le organizzazioni dei seguenti settori:

• Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
• Trasporti (aereo, ferrovia, acqua, strada)
• Infrastruttura bancaria e del mercato finanziario
• Salute (fornitori di assistenza sanitaria, laboratori di riferimento dell'UE, produzione farmaceutica)
• Fornitura e distribuzione di acqua potabile
• Gestione delle acque reflue
• Infrastruttura digitale (IXP, provider DNS, registri TLD, cloud computing, centri dati, CDN)
• Gestione dei servizi ICT nel B2B (fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti)
• Amministrazione pubblica (governo centrale)
• Spazio

Entità importanti

Le entità importanti sono soggette a una supervisione reattiva, ex post. I settori includono:

• Servizi postali e di corriere
• Gestione dei rifiuti
• Fabbricazione, produzione e distribuzione di prodotti chimici
• Produzione, lavorazione e distribuzione di alimenti
• Produzione di dispositivi medici, computer, elettronica, macchinari e veicoli a motore
• Fornitori digitali (mercati online, motori di ricerca, piattaforme di social network)
• Organizzazioni di ricerca

Soglie di dimensione

Il NIS2 applica la regola del tetto dimensionale. In generale, la direttiva riguarda le medie imprese e oltre: organizzazioni con 50 o più dipendenti O un fatturato annuo (o un totale di bilancio annuo) di 10 milioni di euro o più. Tuttavia, alcune entità rientrano nel campo di applicazione indipendentemente dalle dimensioni, tra cui i fornitori di servizi DNS, i registri di nomi TLD e le entità che sono l'unico fornitore di un servizio critico in uno Stato membro.

Le PMI al di sotto di queste soglie sono generalmente esenti, a meno che non operino in uno dei sottosettori specificamente designati. Tuttavia, qualsiasi organizzazione che faccia parte della catena di fornitura di un'entità essenziale o importante può trovarsi di fronte a obblighi contrattuali di cybersecurity imposti dai propri clienti per conformarsi ai requisiti di sicurezza della catena di fornitura NIS2.

Obblighi principali nell'ambito del NIS2

1. Gestione del rischio di cybersecurity (Articolo 21)

L'articolo 21 richiede alle entità essenziali e importanti di adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi alla sicurezza della rete e dei sistemi informativi. Queste misure devono includere, come minimo:

• Politiche sull'analisi dei rischi e sulla sicurezza dei sistemi informativi
• Procedure di gestione degli incidenti
• Continuità aziendale e gestione delle crisi (compresa la gestione dei backup e il disaster recovery)
• Sicurezza della catena di approvvigionamento, compresi gli aspetti di sicurezza relativi ai rapporti con i fornitori diretti.
• Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità.
• Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio di cybersecurity.
• Pratiche di igiene informatica di base e formazione sulla cybersicurezza
• Politiche sull'uso della crittografia e, ove appropriato, della cifratura.
• Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione delle risorse.
• Utilizza l'autenticazione a più fattori, le comunicazioni protette e le comunicazioni di emergenza protette.

2. Segnalazione di incidenti (Articoli 23 e 30)

Il NIS2 introduce un obbligo di segnalazione degli incidenti in più fasi che è significativamente più severo rispetto alla direttiva originale:

1. Allarme precoce: Entro 24 ore dal momento in cui viene a conoscenza di un incidente significativo, lo comunichi all'autorità competente o al CSIRT. L'avviso preventivo deve indicare se si sospetta che l'incidente sia causato da atti illeciti o dolosi e se potrebbe avere un impatto transfrontaliero.
2. Notifica dell'incidente: Entro 72 ore, fornire una valutazione iniziale che includa la gravità e l'impatto e gli indicatori di compromissione, se disponibili.
3. Rapporto finale: Entro un mese, fornisca una descrizione dettagliata dell'incidente, la causa principale, le misure di mitigazione applicate e l'impatto transfrontaliero, se pertinente.

Un incidente significativo è definito come un incidente che ha causato o è in grado di causare una grave interruzione operativa o una perdita finanziaria, oppure ha colpito o è in grado di colpire altre persone fisiche o giuridiche causando un danno materiale o non materiale considerevole.

3. Sicurezza della catena di approvvigionamento

L'Articolo 21(2)(d) richiede esplicitamente alle entità di occuparsi della sicurezza della catena di approvvigionamento. Ciò significa valutare le pratiche di cybersecurity dei suoi fornitori diretti e dei fornitori di servizi, incorporare i requisiti di sicurezza nei contratti di appalto e monitorare costantemente il rischio di terzi. Per molte PMI, questo obbligo arriverà indirettamente, attraverso requisiti contrattuali imposti da clienti più grandi che sono a loro volta entità regolamentate dal NIS2.

4. Responsabilità dell'organo di gestione (Articolo 20)

Il NIS2 attribuisce la responsabilità diretta all'organo di gestione (consiglio di amministrazione, direzione esecutiva) per l'approvazione e la supervisione dell'implementazione delle misure di gestione del rischio di cybersecurity. I membri dell'organo di gestione devono seguire una formazione sulla cybersecurity e possono essere ritenuti personalmente responsabili delle violazioni. Si tratta di una svolta significativa rispetto alla Direttiva NIS originale e allinea la governance della cybersecurity al livello di responsabilità visto nella regolamentazione finanziaria.

Recepimento e applicazione a livello nazionale

Gli Stati membri dovevano recepire il NIS2 nella legislazione nazionale entro il 17 ottobre 2024. All'inizio del 2026, la maggior parte degli Stati membri ha completato il recepimento, anche se le tempistiche di attuazione e i requisiti specifici variano. Le organizzazioni dovrebbero consultare il recepimento nazionale in ogni Stato membro in cui operano, in quanto i requisiti potrebbero superare il minimo NIS2.

Sanzioni

Le sanzioni previste dal NIS2 sono sostanziali e differenziate in base al tipo di entità:

• Entità essenziali: Multe amministrative fino a 10 milioni di euro o al 2% del fatturato annuo totale mondiale, a seconda di quale sia il valore più alto.
• Entità importanti: Multe amministrative fino a 7 milioni di euro o all'1,4% del fatturato annuo totale mondiale, a seconda di quale sia il valore più alto.

Le autorità di vigilanza possono anche imporre rimedi non monetari, tra cui istruzioni vincolanti, ordini di implementazione delle raccomandazioni di audit, ordini di messa in conformità delle misure di sicurezza e sospensione temporanea di certificazioni o autorizzazioni.

Passi pratici per le PMI

Se la sua organizzazione rientra nell'ambito di applicazione del NIS2, o se opera nella catena di fornitura di un'entità regolamentata, i seguenti passi rappresentano un punto di partenza pragmatico:

1. Valutazione dell'ambito: Determinare se la sua organizzazione è un'entità essenziale, un'entità importante o fuori dal campo di applicazione. Prenda in considerazione sia la classificazione settoriale che le soglie dimensionali.
2. Analisi delle lacune: Confronti le sue misure di cybersicurezza attuali con i requisiti dell'Articolo 21. Identifichi le aree in cui i controlli esistenti sono insufficienti.
3. Preparazione alla risposta agli incidenti: Costruisca o migliori il suo piano di risposta agli incidenti per soddisfare le tempistiche di segnalazione di 24 ore, 72 ore e un mese.
4. Revisione della catena di approvvigionamento: Valutare la posizione di cybersecurity dei suoi fornitori critici e incorporare i requisiti di sicurezza nei contratti di approvvigionamento.
5. Coinvolgimento del management: Informi il suo consiglio di amministrazione o la direzione esecutiva sulle loro responsabilità NIS2 e organizzi una formazione sulla cybersecurity.
6. Documentazione: Conservare le prove di tutte le misure di cybersecurity, le valutazioni del rischio e i rapporti sugli incidenti. La conformità NIS2 è una conformità dimostrabile.

La Direttiva NIS2 non è una preoccupazione normativa lontana. È un obbligo di conformità attivo per migliaia di organizzazioni europee. Le PMI che agiscono ora per comprendere i loro obblighi e colmare le loro lacune in materia di cybersecurity, si troveranno in una posizione nettamente migliore rispetto a quelle che aspettano che l'azione esecutiva forzi la mano.