### Perché NIS2 è Necessaria?
L’efficacia e la sicurezza delle infrastrutture digitali sono fondamentali per garantire la stabilità economica e sociale di un paese. Recenti analisi hanno evidenziato un aumento esponenziale delle minacce informatiche, accompagnato da un’evoluzione delle tattiche e delle tecniche utilizzate dai criminali informatici. Questi attacchi non solo minacciano le singole organizzazioni ma possono avere ripercussioni significative a livello intercontinentale, influenzando i sistemi di diversi stati membri dell’Unione Europea.
Ci sono tre motivi principali che hanno reso urgente l’adozione di NIS2, la seconda Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi:
1. **Digitalizzazione Estesa**: Processi critici, sia nel settore industriale che in quello pubblico, sono stati digitalizzati, ampliando la superficie di attacco per i potenziali aggressori.
2. **Interdipendenza Globale**: La crescente condivisione di dati e servizi significa che un attacco a un’infrastruttura critica in un paese può avere effetti devastanti anche oltre i confini nazionali.
3. **Risposta Unitaria**: Adottare un approccio collettivo è cruciale per rafforzare la sicurezza delle organizzazioni considerate essenziali, facendo della sicurezza informatica un obiettivo strategico fondamentale.
In Italia, l’implementazione della NIS2 interesserà oltre 15.000 entità e prevede un incremento medio del 20% nei budget IT delle organizzazioni coinvolte.
### Ambiti di Applicazione della NIS2
NIS2 stabilisce due categorie principali di soggetti privati che rientrano nel suo ambito di applicazione, regolandoli in base alla loro criticità e importanza strategica.
– **Soggetti Essenziali (Altamente Critici)**: Questa categoria comprende grandi aziende con più di 250 dipendenti e/o ricavi superiori a 50 milioni di euro o bilanci oltre i 43 milioni di euro, che operano in settori come energia, trasporti, sanità, infrastrutture digitali e tecnologia dell’informazione.
– **Soggetti Importanti (Critici)**: Comprende le medie imprese con oltre 50 dipendenti e con ricavi sopra i 10 milioni di euro o bilanci superiori a 5 milioni, attive in ambiti come servizi postali, gestione dei rifiuti, distribuzione alimentare e servizi digitali.
Anche le pubbliche amministrazioni sono incluse, in particolare enti con un certo volume di operazioni o popolazione, nonché istituzioni di ricerca e culturali.
### Elementi Caratterizzanti di NIS2
NIS2 stabilisce un ampio insieme di obblighi, tra cui la registrazione e l’identificazione delle organizzazioni obbligate, le quali devono registrarsi autonomamente su un portale gestito dall’Agenzia per la Cybersicurezza Nazionale. Tale registrazione dovrà avvenire entro scadenze annuali stabilite e prevede la comunicazione di informazioni sensibili, come indirizzi IP e nomi di dominio.
L’ACN ha un ruolo centrale nell’applicazione della NIS2, ispezionando la conformità e imponendo misure correttive. Tra le sue responsabilità vi sono l’emissione di linee guida, il monitoraggio dell’adempimento delle normative e l’imposizione di sanzioni per non conformità.
Le organizzazioni sono tenute a garantire la supervisione della conformità da parte degli organi amministrativi, promuovendo misure di gestione dei rischi e formazione periodica per il proprio personale. È inoltre cruciale applicare pratiche sicure, come l’autenticazione multifattoriale e l’uso della crittografia.
Significativi incidenti di sicurezza devono essere comunicati entro specifici lassi di tempo:
1. **Pre-notifica**: Entro 24 ore dalla scoperta dell’incidente.
2. **Notifica Completa**: Entro 72 ore, comprensiva di una valutazione iniziale del danno.
3. **Relazione Finale**: Entro un mese, contenente una descrizione dettagliata dell’incidente e delle misure adottate.
Le violazioni della normativa comportano sanzioni economiche notevoli e la non conformità può avere conseguenze gravi
