Quali sono i nuovi obblighi in materia di sicurezza informatica? Le sanzioni per chi non si adegua in tempo? La tua agenzia di comunicazione o azienda di software è tenuta a rispettare quali regole? Parliamo di questo attualismo argomento.
Se la tua azienda è iscritta alla newsletter, sicuramente hai già ricevuto l’informazione. Altrimenti, per ricevere le comunicazioni sulle novità normative, sulle nuove regole e procedure, puoi farlo qui.
Cos’è NIS 2 e perchè è importante?
Si tratta di un insieme di regole per rafforzare e uniformare la cybersicurezza all’interno dell’UE.
NIS 2 è una direttiva europea e precisamente DIRETTIVA UE 2022/2555 del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 recepita dal DECRETO LEGISLATIVO 4 settembre 2024, n. 138 vigente al 16 ottobre 2024.
A chi si applica NIS2? Focus su agenzie di comunicazione e software house.
La prima cosa fare è verificare se la tua agenzia di comunicazione o azienda di software rientra nell’ambito di applicazione delle direttiva NIS ossia se deve in via obbligatoria uniformarsi.
In generale, l’ambito di applicazione è il seguente:
- superare i massimali per le piccole imprese (“si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR”)
- essere soggetto pubblico (pubblica amministrazione o società partecipata /controllata pubblica) o privato (impresa);
- svolgere attività entro settori ad alta criticità o altri settori critici quali in via esemplificativa energia/trasporti/settore bancario (individuati dagli allegati al decreto legislativo);
Considera però che indipendentemente dalle dimensioni (quindi anche per le piccole imprese) potresti rientrare tra i soggetti obbligati della normativa se:
- sei un’azienda “importante” o “essenziale” del tessuto economico italiano come definita dall’Agenzia per la Cybersecurity nazionale. Ad esempio, per quanto d’interesse: i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico; i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonche’ i prestatori di servizi di sistema dei nomi di dominio. Ma anche le imprese collegate ad un soggetto essenziale o importante, se: a) adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale; b) detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale; c) effettua operazioni di sicurezza informatica del soggetto importante o essenziale; d) fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o
essenziale. - sei un “soggetto critico” ai sensi della direttiva (UE) 2022/2557 come individuato dallo stato italiano entro il 17 luglio 2026;
Per quanto interessa l’ambito IT è utile sapere che tra i soggetti destinatari, indipendentemente dalle dimensioni, vi sono anche: b) ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico; c) ai prestatori di servizi fiduciari; d) ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio; e) ai fornitori di servizi di registrazione dei nomi di dominio.
È quindi fondamentale in primis verificare se la tua azienda rientra nella direttiva. Possiamo aiutarti a farlo.
Quali sono gli obblighi?
Ecco gli obblighi principali per l’azienda, relativi alla sicurezza informatica e alla gestione degli incidenti.
Gli organi di amministrazione hanno l’obbligo di:
- approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate e sovrintendere l’implementazione degli obblighi;
- seguire una formazione in materia di sicurezza informatica;
- promuovere una formazione ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
- gli organi amministrativi sono responsabili delle violazioni;
L’azienda, deve poi adempiere agli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica con approccio multi-rischio, volto a proteggere i sistemi informativi e di rete, adottando misure tecniche, operative e organizzative adeguate e proporzionate.
Si prevede che all’interno della piattaforma venga caricato un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza. Si dovrà tenere conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
Nello specifico, le misure riguardano:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
- gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche;
- continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilita’;
- politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
- pratiche di igiene di base e di formazione in materia di sicurezza informatica;
- politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
- sicurezza e affidabilita’ del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
- uso di soluzioni di autenticazione a piu’ fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
A cosa fare attenzione: obbligo o facoltà
Come vedi, la direttiva riguarda obblighi anche relativi alla “sicurezza della catena di approvvigionamento” e dunque dei fornitori (anche se non obbligati).
Quindi, chiaramente, se sei un soggetto direttamente obbligato, tutto quello che ti abbiamo detto, è un dovere: se non implementi le misure, sarai sanzionato.
Se invece sei un soggetto che non rientra nell’ambito di applicazione della normativa, puoi usarli come linee guida per orientare la tua compliance di sicurezza informatica. Considera che sempre più aziende richiedono misure di sicurezza verificabili alla propria catena di fornitori e quindi la direttiva potrebbe diventare una procedura da implementare per rimanere nella vendor list del tuo cliente.