La direttiva (UE) 2022/2555, più comunemente detta NIS 2 (Network and Information Systems Directive 2), introduce misure per migliorare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea.
La NIS 2 è un’estensione della direttiva originale sulla sicurezza delle reti e delle informazioni (NIS), con l’obiettivo di migliorare l’armonizzazione degli standard di sicurezza e degli obblighi di monitoraggio all’interno dell’Unione Europea. La NIS 2 diventa obbligatoria per alcune entità specifiche, e l’UE prevede sanzioni finanziarie simili a quelle del GDPR per chi non si adegua entro i termini stabiliti. I requisiti della NIS 2 includono controlli tecnici più severi per garantire la sicurezza operativa e ampliano la portata della direttiva oltre l’ambiente IT interno delle aziende.
Aziende interessate
L’articolo 2 della direttiva stabilisce che le regole si applicano a tutte le entità che rientrano nella definizione di media impresa o che superano i limiti per le medie imprese, a condizione che forniscano servizi appartenenti alle tipologie di cui all’Allegato I e II della Direttiva.
Gli Allegati I e II della direttiva NIS 2 definiscono i settori ad alta criticità e altri settori critici. Tra i settori ad alta criticità troviamo ad esempio l’energia, i trasporti, il settore sanitario, l’acqua potabile, le acque reflue, la pubblica amministrazione. Gli “altri settori critici” includono i servizi postali, il settore dei rifiuti, la produzione, trasformazione e distribuzione di alimenti, la fabbricazione di dispositivi medici e mezzi di trasporto, nonché i servizi digitali e di ricerca. Inoltre, NIS 2 individua alcune categorie di entità che, indipendentemente dalla loro dimensione, sono comunque soggette alla direttiva.
Gli impatti in termini di conformità regolatoria per le aziende
NIS 2 impone a tutte le aziende che rientrano nel campo di applicazione di adeguarsi elaborando un sistema che includa requisiti minimi come: politiche di analisi dei rischi per la sicurezza dei sistemi informatici, gestione delle risorse umane e formazione ai dipendenti, gestione degli incidenti e-business continuity, ecc.
Tempistiche di applicazione
La NIS 2 è in vigore dal 16 gennaio 2023, ma tutti gli Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per incorporare la direttiva NIS 2 nelle loro leggi nazionali. Si sta aspettando la pubblicazione della legge nazionale italiana che recepisca la Direttiva.
Sanzioni
Per quanto riguarda le sanzioni amministrative pecuniarie, la NIS 2 distingue tra entità essenziali e importanti. Per le entità essenziali, la direttiva impone agli Stati membri di prevedere sanzioni amministrative pecuniarie significative, con un importo massimo di almeno 10 milioni di euro o il 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per le entità importanti, la NIS 2 richiede una sanzione pecuniaria massima di almeno 7 milioni di euro o l’1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Il Supporto del gruppo Progest per le organizzazioni soggette alla Direttiva NIS 2
Il gruppo Progest offre un servizio di consulenza personalizzato per aiutare le organizzazioni a identificare e colmare le lacune relative agli adempimenti previsti dalla Direttiva NIS 2.
Il nostro processo inizia con una Gap Analysis, un’attività di audit rapida e mirata che include:
- Raccolta e analisi dei dati su come la vostra organizzazione risponde ai requisiti della Direttiva NIS 2
- Valutazione del livello di maturità e di copertura rispetto a tali requisiti
- Restituzione di un report finale che evidenzia chiaramente le eventuali lacune
Sulla base della Gap Analysis, Progest vi assisterà nella stima e pianificazione delle misure necessarie per l’adeguamento alla Direttiva NIS 2.
Grazie al nostro approccio strutturato e alla nostra esperienza, potrete comprendere in modo approfondito i vostri punti di forza e di debolezza, e pianificare con precisione gli interventi per soddisfare pienamente gli obblighi normativi.
Contattaci per scoprire come Progest può supportarvi nell’adeguamento alla Direttiva NIS 2.