Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (Direttiva NIS).
La Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva NISUE 2016/1148) mira a raggiungere un livello comune elevato in materia di sicurezza delle reti e dei sistemi di informazione in tutta l'UE. Gli Stati membri avevano tempo fino al 9 maggio 2018 per trasporre la Direttiva NIS nell’ordinamento nazionale.
L’Italia lo ha fatto con il Decreto legislativo n.65 del 18 maggio 2018 – disponibile qui in Gazzetta Ufficiale – entrato in vigore il 26 giugno 2018. Il decreto italiano non estende l’ambito di applicazione – a differenza di altri Stati membri – a settori diversi da quelli previsti dalla Direttiva.
Cos’è la Direttiva NIS?
Scarica la guida gratuita alla conformità per scoprire nel dettaglio i requisiti ed i termini di applicabilità della Direttiva. La guida fornisce inoltre una chiara panoramica su come conformare la tua azienda e dimostrarne la conformità.
Scarica
A chi si rivolge?
La Direttiva si applica a:
- Operatori dei servizi essenziali (OES) stabiliti nella UE, e
- Fornitori di servizi digitali (FSD) che offrono servizi a persone all’interno dell’UE1.
1La Direttiva non si applica a FSD che sono considerati piccoli e alle micro aziende (aziende che hanno meno di 50 dipendenti ed il cui fatturato totale di bilancio annuo sia inferiore a 10 milioni di euro).
La Direttiva NIS richiede a OES e FSD di:
- adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici;
- tenere conto degli ultimi sviluppi e prendere in considerazione i potenziali rischi dei loro sistemi;
- adottare misure appropriate per prevenire incidenti di sicurezza; o almeno minimizzare l'impatto per garantire la continuità del servizio; e
- comunicare all'autorità competente senza ingiustificato ritardo qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio.
Conseguenze per la non-conformità con la Direttiva NIS
Gli Stati membri sono tenuti a stabilire le proprie norme sulle sanzioni pecuniarie e ad adottare le misure necessarie per garantirne l'attuazione. L’Italia con il decreto legislativo 65/2018 ha previsto delle sanzioni amministrative fino a 150.000 euro per gli OES e FSD che non rispetteranno gli obblighi previsti dal decreto.
La conformità può essere monitorata attraverso controlli di routine degli OES e FSD.
Cos’è un operatore di servizi essenziali (OES)?
La Direttiva NIS ha lo scopo di rafforzare la sicurezza informatica in tutti i settori che si basano prevalentemente sulla tecnologia dell'informazione e della comunicazione (TIC). Alcune aziende che forniscono un servizio essenziale per il mantenimento di attività sociale e/o economiche fondamentali sono conosciute come OES.
I settori interessati dalla Direttiva NIS sono:
- Acqua potabile;
- Energia;
- Infrastrutture digitali;
- Infrastrutture del mercato bancario e finanziario;
- Salute; e
- Trasporti.
Cos’è un fornitore di servizi digitali (FSD)?
La direttiva NIS si applica ai seguenti FSD principali, che di norma forniscono il loro servizio "dietro compenso, a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi".
I FSD possono essere classificati come:
- Motori di ricerca.
- Servizi di cloud computing.
- Piattaforme di commercio elettronico.
Requisiti specifici per i FSP:
la Direttiva afferma che i FSD "restano liberi di adottare le misure tecniche e organizzative che considerano adeguate e proporzionate alla gestione dei rischi", a condizione che le misure forniscano un "adeguato livello di sicurezza" e una conformità ai requisiti della Direttiva NIS.
I FSD devono garantire un livello di sicurezza adeguato al rischio rappresentato dall'offerta di servizi forniti, considerando i seguenti elementi:
- I sistemi e le infrastrutture di sicurezza
- La gestione dell’incidente
- La gestione della continuità aziendale
- Monitorare, controllare e testare
- La conformità con gli standard internazionali
Regolamento di esecuzione della Commissione per i FSD
Il regolamento di esecuzione fornisce ulteriore chiarezza ai FSD su come ci si aspetta che siano conformi alla Direttiva NIS.
Oltre alle informazioni sulla sicurezza e alle misure di continuità aziendale, i FSD devono stabilire misure di risposta all’incidente basate su una valutazione dell’impatto dello stesso.
Il Regolamento di esecuzione è entrato in vigore il 10 maggio 2018 e verrà applicato in tutti gli Stati membri UE.
Cosa fare per ottenere la conformità alla Direttiva NIS?
L’approccio migliore per i FSD e gli OES per essere conformi è implementare un programma di cyber resilienza che includa i seguenti punti:
- Difese solide per la cyber sicurezza.
- Misure preventive adeguate contro il cyber rischio.
- Strumenti e sistemi adeguati per gestire e segnalare incidenti e violazioni dei dati.
Raggiungimento della conformità attraverso la cyber resilienza.
L'articolo 19 della Direttiva NIS incoraggia l'uso di norme specifiche a livello europeo o internazionalmente riconosciute per la sicurezza delle reti e dei sistemi di informazione.
La conformità alla Direttiva NIS potrà essere raggiunta adottando un sistema di gestione integrato che integri gli standard ISO 27001 e ISO 22301. Questo aiuterà la tua azienda a ottenere una posizione di cyber resilienza internazionalmente accettata basata sulle best practice di gestione del rischio - esattamente come richiesto dalla nuova legislazione - e che elimina l’incombenza dei numerosi controlli di conformità.
Perché IT Governance?
- Forniamo un'intera gamma di consulenza, formazione e strumenti necessari per le esigenze di conformità alla Direttiva NIS.
- La nostra combinazione unica tra esperienza tecnica e comprovata competenza sugli standard internazionali dei sistemi di gestione ci consente di offrire una soluzione completa per la conformità e di gestire il progetto dall'inizio alla fine.
- Come parte del nostro lavoro con aziende di tutti i settori, abbiamo gestito centinaia di progetti in tutto il mondo.
- Siamo indipendenti da fornitori e organismi di certificazione e incoraggiamo i nostri clienti a scegliere la soluzione più adatta alle loro esigenze e ai loro obiettivi.
- Abbiamo team multidisciplinari in grado di eseguire rigorosi penetration test dei tuoi sistemi e delle tue reti, project manager per condurre progetti di implementazione della conformità e disponiamo della competenza amministrativa per informare il tuo Consiglio di amministrazione e sviluppare un'adeguata strategia di mitigazione del rischio.
- Forniamo consigli pratici e lavoriamo in base al tuo budget e alle tue esigenze organizzative. Nessuna azienda o progetto è mai troppo grande o piccolo.
- Offriamo tariffe chiare e trasparenti.
Speak to an expert
Please contact our team for advice and guidance on our products and services.