Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (Direttiva NIS).

La Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva NISUE 2016/1148) mira a raggiungere un livello comune elevato in materia di sicurezza delle reti e dei sistemi di informazione in tutta l'UE. Gli Stati membri avevano tempo fino al 9 maggio 2018 per trasporre la Direttiva NIS nell’ordinamento nazionale.

L’Italia lo ha fatto con il Decreto legislativo n.65 del 18 maggio 2018 – disponibile qui in Gazzetta Ufficiale – entrato in vigore il 26 giugno 2018. Il decreto italiano non estende l’ambito di applicazione – a differenza di altri Stati membri – a settori diversi da quelli previsti dalla Direttiva.

Cos’è la Direttiva NIS?

Scarica la guida gratuita alla conformità per scoprire nel dettaglio i requisiti ed i termini di applicabilità della Direttiva. La guida fornisce inoltre una chiara panoramica su come conformare la tua azienda e dimostrarne la conformità.

Scarica


A chi si rivolge?

La Direttiva si applica a:

  • Operatori dei servizi essenziali (OES) stabiliti nella UE, e
  • Fornitori di servizi digitali (FSD) che offrono servizi a persone all’interno dell’UE1.

1La Direttiva non si applica a FSD che sono considerati piccoli e alle micro aziende (aziende che hanno meno di 50 dipendenti ed il cui fatturato totale di bilancio annuo sia inferiore a 10 milioni di euro).


La Direttiva NIS richiede a OES e FSD di: 

  • adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici; 
  • tenere conto degli ultimi sviluppi e prendere in considerazione i potenziali rischi dei loro sistemi;
  • adottare misure appropriate per prevenire incidenti di sicurezza; o almeno minimizzare l'impatto per garantire la continuità del servizio; e
  • comunicare all'autorità competente senza ingiustificato ritardo qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio.

Conseguenze per la non-conformità con la Direttiva NIS

Gli Stati membri sono tenuti a stabilire le proprie norme sulle sanzioni pecuniarie e ad adottare le misure necessarie per garantirne l'attuazione. L’Italia con il decreto legislativo 65/2018 ha previsto delle sanzioni amministrative fino a 150.000 euro per gli OES e FSD che non rispetteranno gli obblighi previsti dal decreto.

La conformità può essere monitorata attraverso controlli di routine degli OES e FSD.


Cos’è un operatore di servizi essenziali (OES)?

La Direttiva NIS ha lo scopo di rafforzare la sicurezza informatica in tutti i settori che si basano prevalentemente sulla tecnologia dell'informazione e della comunicazione (TIC). Alcune aziende che forniscono un servizio essenziale per il mantenimento di attività sociale e/o economiche fondamentali sono conosciute come OES.

I settori interessati dalla Direttiva NIS sono: 

  • Acqua potabile;
  • Energia;
  • Infrastrutture digitali;
  • Infrastrutture del mercato bancario e finanziario; 
  • Salute; e
  • Trasporti.

Cos’è un fornitore di servizi digitali (FSD)?

La direttiva NIS si applica ai seguenti FSD principali, che di norma forniscono il loro servizio "dietro compenso, a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi".

I FSD possono essere classificati come:

  • Motori di ricerca.
  • Servizi di cloud computing.
  • Piattaforme di commercio elettronico.

Requisiti specifici per i FSP:

la Direttiva afferma che i FSD "restano liberi di adottare le misure tecniche e organizzative che considerano adeguate e proporzionate alla gestione dei rischi", a condizione che le misure forniscano un "adeguato livello di sicurezza" e una conformità ai requisiti della Direttiva NIS.

I FSD devono garantire un livello di sicurezza adeguato al rischio rappresentato dall'offerta di servizi forniti, considerando i seguenti elementi:

  • I sistemi e le infrastrutture di sicurezza
  • La gestione dell’incidente
  • La gestione della continuità aziendale
  • Monitorare, controllare e testare
  • La conformità con gli standard internazionali

Regolamento di esecuzione della Commissione per i FSD

Il regolamento di esecuzione fornisce ulteriore chiarezza ai FSD su come ci si aspetta che siano conformi alla Direttiva NIS.

Oltre alle informazioni sulla sicurezza e alle misure di continuità aziendale, i FSD devono stabilire misure di risposta all’incidente basate su una valutazione dell’impatto dello stesso.

Il Regolamento di esecuzione è entrato in vigore il 10 maggio 2018 e verrà applicato in tutti gli Stati membri UE.


Cosa fare per ottenere la conformità alla Direttiva NIS?

L’approccio migliore per i FSD e gli OES per essere conformi è implementare un programma di cyber resilienza che includa i seguenti punti:

  • Difese solide per la cyber sicurezza.
  • Misure preventive adeguate contro il cyber rischio.
  • Strumenti e sistemi adeguati per gestire e segnalare incidenti e violazioni dei dati.

Raggiungimento della conformità attraverso la cyber resilienza.

L'articolo 19 della Direttiva NIS incoraggia l'uso di norme specifiche a livello europeo o internazionalmente riconosciute per la sicurezza delle reti e dei sistemi di informazione.

La conformità alla Direttiva NIS potrà essere raggiunta adottando un sistema di gestione integrato che integri gli standard ISO 27001 e ISO 22301. Questo aiuterà la tua azienda a ottenere una posizione di cyber resilienza internazionalmente accettata basata sulle best practice di gestione del rischio - esattamente come richiesto dalla nuova legislazione - e che elimina l’incombenza dei numerosi controlli di conformità.


Perché IT Governance?

  • Forniamo un'intera gamma di consulenza, formazione e strumenti necessari per le esigenze di conformità alla Direttiva NIS.
  • La nostra combinazione unica tra esperienza tecnica e comprovata competenza sugli standard internazionali dei sistemi di gestione ci consente di offrire una soluzione completa per la conformità e di gestire il progetto dall'inizio alla fine.
  • Come parte del nostro lavoro con aziende di tutti i settori, abbiamo gestito centinaia di progetti in tutto il mondo.
  • Siamo indipendenti da fornitori e organismi di certificazione e incoraggiamo i nostri clienti a scegliere la soluzione più adatta alle loro esigenze e ai loro obiettivi.
  • Abbiamo team multidisciplinari in grado di eseguire rigorosi penetration test dei tuoi sistemi e delle tue reti, project manager per condurre progetti di implementazione della conformità e disponiamo della competenza amministrativa per informare il tuo Consiglio di amministrazione e sviluppare un'adeguata strategia di mitigazione del rischio.
  • Forniamo consigli pratici e lavoriamo in base al tuo budget e alle tue esigenze organizzative. Nessuna azienda o progetto è mai troppo grande o piccolo.
  • Offriamo tariffe chiare e trasparenti.

Speak to an expert

Please contact our team for advice and guidance on our products and services.

su