La Direttiva NIS2 introduce nuovi obblighi di cybersicurezza per un bacino molto ampio di imprese, che dovranno adeguarsi alle nuove linee guida europee entro il 18 ottobre 2024.
Proprio per questo MakingLife organizza un webinar formativo gratuito sull’argomento per supportare le aziende a recepire correttamente i nuovi requisiti che riguardano la governance, la gestione dei rischi e la segnalazione degli incidenti.
Il webinar gratuito “NIS2 – Come adeguarsi ai nuovi criteri sulla Cybersecurity” si terrà giovedì 19 settembre, alle 11.
Il webinar è condotto dal Dr Gian Paolo Baranzoni, ICT & Compliance Consultant per MakingConnect con oltre 30 anni di esperienza presso le principali aziende di System Integration come Business Consultant.
[su_button url=”https://makingpharmaindustry.it/webinar-online-gratuito-nis2/” target=”blank” background=”#209699″ center=”yes” text_shadow=”0px 0px 0px #FFFFFF”]Iscriviti al webinar[/su_button]
Che cos’è la NIS2
Nel 2016 era stata emanata la precedente direttiva NIS con l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri dell’Unione Europea. Nel 2020 è stata avviata la revisione programmata dell’efficacia della norma e della sua implementazione: i risultati hanno rivelato carenze nella norma che le hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di cybersicurezza e in termini di uniformità di approccio fra i diversi Stati.
La Direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, mantiene l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri e migliora la capacità di garantire uniformità ed efficacia nell’applicazione, garantendo un’effettiva protezione per la vita sociale ed economica dell’Unione.
La Direttiva NIS2 sostituirà la precedente Direttiva NIS a decorrere dal 18 ottobre 2024, con l’obiettivo di affrontare un nuovo panorama di minacce superando al tempo stesso i limiti riscontrati dalla Direttiva NIS.
Quali sono le imprese coinvolte
Una delle più importanti novità introdotte dalla Direttiva NIS2 è l’ampio bacino di settori merceologici in perimetro. Ai sensi del criterio del dimensionamento, sono automaticamente in perimetro NIS2 tutte le grandi imprese dei Settori ad Alta Criticità e degli Altri Settori Critici (indicati negli Allegati 1 e 2 della Direttiva): vale a dire quelle con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro. Inoltre fanno parte del perimetro le medie imprese, ossia quelle con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro o con un totale di bilancio annuo non superiore a 43 milioni di euro, che operano nei settori individuati. Si aggiungono infine alcune categorie specifiche di soggetti, anche piccole imprese, individuate più puntualmente nella Direttiva.
A livello italiano, il numero delle imprese coinvolte dovrebbe aggirarsi sui 15.000 soggetti, con importanti ricadute sulla catena di fornitura.
Gli obblighi per i soggetti
Le entità in perimetro NIS2 sono chiamate a rispettare requisiti che vanno dalla governance della cybersicurezza all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti.
Dal punto di vista della governance, la NIS2 prevede che gli organi di gestione dei soggetti essenziali e importanti, ad esempio il CdA, debbano approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione specifica ai loro dipendenti.
In ambito risk management, la NIS2 prevede l’obbligo di valutare i rischi e attuare le necessarie misure tecniche e organizzative. I rischi da valutare comprendono anche quelli legati alla supply-chain: le organizzazioni sono tenute a garantire la sicurezza della propria catena di approvvigionamento, presidiando gli aspetti di sicurezza dei rapporti con i propri fornitori, considerandone le vulnerabilità specifiche e la qualità complessiva di prodotti e pratiche di cybersicurezza.
Tra le misure di gestione del rischio è inoltre citata la capacità di garantire la continuità operativa con riferimenti ad aspetti quali il backup, il disaster recovery e la gestione delle crisi, finalizzati a ridurre al minimo l’impatto di eventuali interruzioni dei servizi erogati.
Per quanto riguarda la catena di fornitura, ai soggetti in perimetro sarà richiesto di tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cybersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
Controlli e sanzioni in caso di inadempienza
La logica per l’applicazione delle sanzioni è simile a quella di altre normative, come ad esempio il GDPR: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore.
Alcuni esempi? Si va da sanzioni “pari a un massimo di almeno 10.000.000 Euro o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo” per le entità essenziali a sanzioni ridotte (“un massimo di almeno 7.000.000 Euro EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo) per i soggetti importanti.
Inoltre, in caso di inadempienza grave, possono essere applicati la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale).
Cosa possono fare le aziende per non farsi trovare impreparate
Gli obblighi diverranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento della Direttiva da parte degli Stati Membri, fissata per il 17 ottobre 2024. È consigliabile per le imprese sfruttare questo periodo per verificare in primis se rientrano nel perimetro di applicabilità della Direttiva e con riferimento a quali settori, poi procedere con una valutazione del proprio attuale livello di conformità al fine di pianificare per tempo le necessarie azioni di adeguamento.
MakingLife proprio per questo ha organizzato per giovedì 19 settembre, alle 11, il webinar online gratuito “NIS2 – Come adeguarsi ai nuovi criteri sulla Cybersecurity”.
Il webinar è condotto dal Dr Gian Paolo Baranzoni, ICT & Compliance Consultant per MakingConnect con oltre 30 anni di esperienza presso le principali aziende di System Integration come Business Consultant.
Nel corso del Webinar saranno approfonditi i punti della NIS2 e si risponderà nel dettaglio alle principali domande sul tema:
- Quali sono i requisiti imposti dalla NIS2?
- Chi sono i soggetti indicati dalla NIS2?
- Che cosa devono fare le aziende che rientrano tra quelle indicate dalla norma come Essenziali o Importanti?
- Quanto tempo hanno i soggetti per rendersi conformi con i requisiti?
- Con quale livello di discrezionalità le aziende devono operare sulla propria Supply Chain in modo da assolvere ai requisiti?
- Che impatto ha la norma sui contratti di fornitura?
- Quali sono gli impatti della norma sulla organizzazione interna di una azienda?
[su_button url=”https://makingpharmaindustry.it/webinar-online-gratuito-nis2/” target=”blank” background=”#209699″ center=”yes” text_shadow=”0px 0px 0px #FFFFFF”]Iscriviti al webinar[/su_button]
