Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Applicabilità della NIS 2

Direttiva dell’Unione Europea sulla Sicurezza delle Reti e dell’Informazione

La Direttiva dell’Unione Europea sulla Sicurezza delle Reti e dell’Informazione (NIS 2) sta rendendo l’infrastruttura critica dell’Europa più resistente agli attacchi informatici e ad altre interruzioni.

Applicabilità

La direttiva è applicabile alla tua organizzazione se vengono soddisfatti tutti e tre i criteri:

  • Regolamento dell’Unione Europea: NIS 2 si applica alle organizzazioni con sede in, o che forniscono servizi a, qualsiasi paese dell’UE. Pertanto, anche le organizzazioni con sede fuori dall’Europa devono conformarsi a NIS 2 se soddisfano tutti i criteri elencati.
  • NIS 2 si applica alle organizzazioni di medie e grandi dimensioni, ovvero quelle che hanno almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro. Le piccole organizzazioni sono generalmente escluse, ma ci sono eccezioni. Ad esempio, i registri dei nomi di dominio rientrano nell’ambito di NIS 2, indipendentemente dalle loro dimensioni, e i governi nazionali possono dichiarare organizzazioni dentro o fuori dall’ambito per motivi di sicurezza nazionale o altri motivi previsti dalle leggi statali.
  • La compagnia appartiene a uno dei 18 settori specificati che saranno visualizzati in questo video.

Definizione delle categorie

NIS 2 definisce due categorie di organizzazioni di infrastruttura critica, essenziali o importanti, secondo gli impatti sociali degli incidenti informatici distruttivi.

Organizzazioni essenziali

Le organizzazioni essenziali sono soggette alla supervisione più rigorosa, ispezioni proattive e attività di enforcement. Incidenti informatici gravi che le colpiscono avrebbero impatti immediati, diffusi e devastanti. I loro dirigenti possono essere ritenuti responsabili per violazione dei loro doveri.

Settori

Questi sono gli 11 settori in cui le grandi aziende con almeno 250 dipendenti e un fatturato superiore a 50 milioni di euro, o un totale di bilancio superiore a 43 milioni di euro annui, sono categorizzate come organizzazioni essenziali, mentre le aziende di medie dimensioni sono classificate come importanti:

  • Energia, elettricità, riscaldamento e raffreddamento distrettuale, petrolio, gas e idrogeno
  • Trasporto, aereo, ferroviario, marittimo e stradale
  • Bancario, istituzioni di credito, infrastrutture del mercato finanziario
  • Sanità, inclusi produttori di prodotti farmaceutici e vaccini
  • Acqua potabile, acque reflue
  • Infrastruttura digitale, punti di interscambio internet, fornitori di servizi DNS, registri di nomi di dominio di primo livello
  • Servizi ICT che forniscono cloud computing, data center, fornitori di servizi fiduciari, comunicazioni pubbliche, reti di distribuzione dei contenuti, gestione dei servizi ICT B2B
  • Amministrazione pubblica e spazio

Organizzazioni importanti

Le organizzazioni importanti sono considerate meno critiche rispetto alla prima categoria. In aggiunta alle organizzazioni di medie dimensioni nei precedenti 11 settori, le organizzazioni di medie e grandi dimensioni nei seguenti sette settori sono categorizzate come importanti:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Produzione, fabbricazione e distribuzione di prodotti chimici
  • Produzione, lavorazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici, computer e elettronica, macchinari ed equipaggiamenti, veicoli a motore, rimorchi, semirimorchi e altri mezzi di trasporto
  • Fornitori digitali di mercati online, motori di ricerca e piattaforme di social networking
  • Organizzazioni di ricerca

Benché debbano anch’esse rispettare i requisiti fondamentali di NIS 2, gli obblighi per le organizzazioni importanti sono meno rigorose rispetto a quelle essenziali. La supervisione è tipicamente reattiva, affrontando la non conformità solo dopo che è stata identificata.

Piani d’azione

Multa massima

Le organizzazioni essenziali affrontano multe regolamentari massime di 10 milioni di euro o del 2% del fatturato globale annuo, mentre le organizzazioni importanti affrontano multe di 7 milioni di euro o dell’1,4% del fatturato globale annuo. I valori effettivi devono essere determinati a livello nazionale e possono raggiungere i livelli elevati delle multe punitive GDPR per violazioni della privacy.

Eccezioni

NIS 2 prevede diverse modifiche nel testo fine, come permettere ai governi degli stati membri dell’UE di dichiarare ulteriori eccezioni, ad esempio quando includere o escludere causerebbe anomalie inaccettabili o rischi per la sicurezza pubblica, la sicurezza o la salute. Anche le aziende molto piccole possono essere soggette a NIS 2 se i loro governi determinano che sono critiche per altre organizzazioni e servizi di infrastruttura critica dipendenti.

Importanza della protezione

Protezione dell’infrastruttura critica

Perché è importante proteggere l’infrastruttura critica? Un esempio molto valido è quello delle reti elettriche dell’UE. Incidenti informatici gravi che colpiscono le reti elettriche europee potrebbero interrompere l’energia causando problemi per qualsiasi cliente che dipenda dall’elettricità. Industrie e organizzazioni dipendenti dall’elettricità non possono operare normalmente, interrompendo quelle attività.

Piano d’azione

Concludiamo con un piano d’azione per determinare l’applicabilità di NIS 2 alla tua organizzazione.

  • La tua organizzazione fornisce servizi o opera all’interno dell’Unione Europea? NIS 2 si applica solo alle aziende che operano nell’UE.
  • La tua organizzazione si qualifica come organizzazione di medie o grandi dimensioni? Ha almeno 50 dipendenti e un fatturato di oltre 10 milioni di euro all’anno? È specificamente inclusa o esclusa dalle regole?
  • Consulta le tabelle negli allegati di NIS 2: allegato 1 settori di alta criticità e allegato 2 altri settori critici per trovare il settore e il sotto-settore che si applicano alla tua organizzazione. Controlla le direttive e i regolamenti dell’UE citati per indicazioni più specifiche.
  • Controlla le leggi nazionali applicabili per ulteriori criteri e obblighi di sicurezza informatica.
Precedente
Successivo