Il 16 Gennaio 2023 è entrata in vigore la Direttiva NIS2. Gli Stati membri dell'UE dovranno adottare e pubblicare le disposizioni necessarie per conformarsi alla direttiva entro il 17 Ottobre 2024.
La Direttiva sulla Sicurezza delle Reti e delle Informazioni (NIS) è stata un'iniziativa guidata dall'UE che mirava a raggiungere un livello comune di sicurezza informatica in tutti gli Stati membri. Pur avendo aumentato le capacità di sicurezza informatica, l'attuazione si è rivelata difficile e ha portato alla frammentazione del mercato. Per far fronte alle crescenti minacce derivanti dalla digitalizzazione e dagli attacchi informatici, la Commissione ha proposto di sostituire la direttiva NIS con la NIS2, che rafforza i requisiti di sicurezza, affronta il tema della sicurezza della catena di approvvigionamento, semplifica la rendicontazione e introduce misure di vigilanza e di applicazione più rigorose, comprese sanzioni armonizzate in tutta l'UE. La NIS2 amplia la gamma di entità che rientrano nel suo campo di applicazione, includendo molte organizzazioni che non erano tenute a rispettare la direttiva NIS originale.
La nuova legislazione è entrata in vigore il 16 gennaio 2023 e gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepire le sue misure nella legislazione nazionale. Nel Regno Unito, le imprese potrebbero essere multate fino a 17 milioni di sterline; nell'UE, le entità "essenziali" rischiano sanzioni fino a 10 milioni di euro, o il 2% del loro fatturato totale a livello globale.
Settori interessati
L'attuale ambito di applicazione del NIS si amplierà in modo significativo nell'UE, con organizzazioni in diversi nuovi settori considerati "essenziali". Questi settori comprendono lo spazio, le acque reflue, le amministrazioni pubbliche (con possibili eccezioni), i fornitori di servizi di centri dati, i fornitori di servizi fiduciari, le reti di distribuzione di contenuti e le reti e i servizi pubblici di comunicazione elettronica. Anche altri settori, come i servizi postali, i prodotti chimici e la fabbricazione di prodotti chiave, dovranno rispettare i requisiti in quanto entità "importanti". Tuttavia, saranno soggetti a un controllo normativo minore rispetto a quelli classificati come "essenziali".
Cosa succede adesso?
Gli Stati membri hanno tempo fino al 17 ottobre 2024 per adottare le misure appropriate per garantire la conformità ai requisiti NIS2. Le aziende devono sfruttare questo tempo per capire in che modo la nuova direttiva le riguarderà e quali passi devono compiere per dimostrare la conformità.
È importante notare che, ai sensi dell'articolo 24 della direttiva NIS2, gli Stati membri hanno anche la possibilità di richiedere la certificazione di prodotti, servizi e processi TIC per entità essenziali o importanti nell'ambito dei programmi europei di sicurezza informatica. A seconda della categoria aziendale, la certificazione in base a standard specifici come ISO 27001 e CSA STAR può diventare obbligatoria. È quindi fondamentale capire come ogni Stato membro applica la direttiva, in quanto potrebbero esserci variazioni tra i diversi territori.
Collaborare con LRQA
Con il nostro portafoglio connesso di soluzioni avanzate di cybersecurity, ci dedichiamo ad aiutarvi a soddisfare i requisiti del NIS2.
Forniamo una gamma completa di servizi di valutazione rispetto ai principali standard mondiali, tra cui ISO 27001, integrati da un portafoglio di soluzioni avanzate di cybersecurity fornite dai nostri specialisti, LRQA Nettitude. Possiamo certificare i vostri sistemi, risolvere le vulnerabilità e aiutarvi a prevenire attacchi e incidenti, supportando il vostro percorso verso la conformità NIS2 con una profonda conoscenza tecnica e competenza.