La NIS 2 estende il raggio di azione, elimina la differenza tra gli operatori di servizi essenziali e i fornitori di servizi digitali e introduce un concetto più ampio di gestione del rischio, aumentando le sanzioni
Dal 18 ottobre 2024, la NIS 2 sarà applicata in tutti gli stati UE. L’impatto che avrà sarà molto più rilevante rispetto a quello della prima NIS, perché coinvolgerà un numero molto più elevato di aziende. La prima direttiva NIS ha interessato in Italia meno di 500 aziende (l’elenco è secretato, dovrebbero essere 465). Secondo le stime di CLUSIT, le organizzazioni che saranno coinvolte dalla NIS 2 saranno comprese tra 12mila e 16mila, ampliando così la platea di aziende interessate sia in senso verticale che orizzontale.
In senso orizzontale: i settori interessati diventano in totale 18. Non ci sono più solo “operatori di servizi essenziali (OSE)” e “fornitori di servizi digitali (FSD)”, ma vengono aggiunti dieci settori, sette dei quali elencati nell’allegato II “altri settori critici” e che sono: servizi postali e di corriere, gestione dei rifiuti, sostanze chimiche, alimenti, fabbricazione, fornitori di servizi digitali, ricerca.
Rimangono nell’allegato I i “settori ad alta criticità”, che erano già presenti nella NIS 1, ai quali si aggiungono: acque reflue, gestione dei servizi ICT, pubblica amministrazione, spazio, per un totale di undici categorie. In questa nuova classificazione, la NIS 2 dichiara (considerando 6) di voler superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, che si è rivelata obsoleta. L’art. 3 stabilisce inoltre una suddivisione tra “soggetti essenziali e importanti” e che l’elenco di tali soggetti dovrà essere definito dagli stati membri entro il 17 aprile 2025.
In senso verticale: viene abbassata la soglia dimensionale delle aziende coinvolte: ora potranno essere NIS 2 tutte quelle aziende che – appartenendo ai settori elencati – abbiano più di 50 dipendenti e un fatturato superiore a 10 milioni di euro. Inoltre stabilisce lo scenario di riferimento per le misure di gestione dei rischi di cybersecurity e i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori: questa è una novità molto importante, che estenderà l’applicazione della NIS 2 alla supply chain.
Punti fondamentali della NIS 2 si trovano soprattutto negli articoli 21 e 23. In particolare, l’art. 21 comma 2 definisce 10 misure di gestione dei rischi di cybersecurity che devono essere applicate da tutte le organizzazioni soggette alla normativa e che obbligheranno molte aziende a modificare la propria postura di sicurezza. L’art.23 definisce invece gli obblighi di segnalazione nel caso in cui si verifichi un incidente definito “significativo” e modifica in modo molto forte i tempi di notifica della NIS 1: entro 24 ore dalla conoscenza dell’incidente deve essere notificato il preallarme, entro 72 ore la notifica ufficiale dell’incidente, aggiornando le informazioni del preallarme. La segnalazione deve prevedere una valutazione dell’incidente, della gravità, dell’impatto e gli indicatori di compromissione ove disponibili.
Infine, l’articolo 34 fissa le sanzioni amministrative pecuniarie ai soggetti essenziali e importanti che violino le disposizioni degli articoli 21 e 23. Nella NIS 1 tali sanzioni erano stabilite dagli stati membri: per l’Italia il D.Lgs. 65/2018 prevedeva sanzioni massime di 250mila euro. Nella NIS 2 queste vengono significativamente aumentate e arrivano fino a dieci milioni di euro o a un massimo di almeno il 2% del fatturato mondiale annuo per le organizzazioni essenziali e fino a sette milioni di euro o a un massimo all’1,4% per le organizzazioni importanti. Sono sanzioni paragonabili a quelle applicate dal GDPR.
Cosa dovranno fare le aziende? I soggetti definiti essenziali e importanti dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. Per farlo dovranno necessariamente applicare una politica di analisi dei rischi e di gestione degli incidenti. Riteniamo che questo risk assessment, in attesa dei decreti di recepimento, sarà basato – come per la NIS 1 – sul NIST Cybersecurity Framework, aggiornato alla versione 2.0 a fine febbraio 2024, e sul corrispondente framework per la Cybersecurity e la Data Protection, che presumibilmente sarà anch’esso aggiornato alla versione 2.0 del NIST CSF.
Giorgio Sbaraglia information & cybersecurity advisor – comitato direttivo CLUSIT