Diritto informatico NIS2 per le imprese essenziali: qual è la differenza tra NIS1 e NIS2?

A partire dal 16 gennaio 2023, la direttiva europea NIS2 si applicherà alle aziende essenziali. Nei Paesi Bassi, la nuova direttiva informatica è nota come NIB2. È il successore della NIB1. Come altri Paesi dell'UE, i Paesi Bassi hanno tempo fino al 17 ottobre 2024 per adeguare le norme nazionali allo standard europeo. Cosa cambierà? Lo elenchiamo per voi.

La legge sul cyber NIS si applica ora alle imprese essenziali. Cioè, la NIS1 originale si applica a questi settori. A partire dal 2024, le linee guida si applicheranno anche alle "aziende chiave". Ciò migliorerà la sicurezza informatica nei Paesi Bassi e in Europa per un numero maggiore di aziende di medie e grandi dimensioni.

Che cos'è la linea guida NIS2?

La NIS2 è il successore della NIS1, introdotta anni fa per le imprese essenziali. La nuova direttiva NIS2 (ufficialmente: Direttiva (UE) 2022/2555)) è stata pubblicata dall'ENISA, l'Agenzia dell'Unione Europea per la sicurezza informatica. La direttiva prescrive i requisiti minimi di sicurezza e l'obbligo di segnalare gli incidenti (gravi) all'autorità nazionale o al Computer Security Incident Response Team (CSIRT) europeo. La nuova direttiva sostituisce quella originale, entrata in vigore nel 2016.

Queste sono le principali differenze tra il NIS1 e il NIS2:

• La direttiva si applica a più settori
  La NIS2 si applica alle imprese essenziali e alle grandi imprese. Un numero maggiore di aziende di medie e grandi dimensioni deve iniziare a conformarsi alla direttiva. Inoltre, il governo olandese può designare aziende più piccole ad alto rischio di sicurezza che devono iniziare a conformarsi.
• Elenco dei requisiti minimi di sicurezza di base
  La direttiva è più concreta, grazie a un elenco di sicurezza minima di base che le aziende devono implementare. La direttiva impone un approccio di gestione del rischio.
• Divisione in settori essenziali e settori chiave
  La nuova direttiva NIS divide le aziende in settori essenziali e settori chiave. Scompare la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali.
• Affrontare la sicurezza nella catena
  Le aziende devono iniziare ad affrontare i rischi per la sicurezza nella loro catena di fornitura. Ciò include i rischi creati dalle relazioni con i fornitori.
• Supervisione più rigorosa
  Le autorità nazionali sono autorizzate a una vigilanza e a un'applicazione più rigorose. La nuova direttiva equipara i regimi sanzionatori e gli obblighi di segnalazione in tutti gli Stati membri.

Quali sono le imprese essenziali?

La direttiva NIS si applica alle imprese essenziali. Questi settori sono:

• Energia
• Acqua potabile
• Acque reflue
• Trasporto
• Settore bancario
• Mercati finanziari
• Infrastruttura digitale
• Amministrazioni pubbliche
• Assistenza sanitaria
• Spazio

Suggerimento: vi chiedete quali siano esattamente le aziende "essenziali" o "importanti"? Scaricate la tabella Settori coperti dal NIB2 della CBS.

La nuova direttiva NIS2 si applicherà anche alle grandi imprese. Questi settori sono:

• Servizi postali e di corriere
• Elaborazione e distribuzione
• Trattamento dei rifiuti
• Fornitori digitali
• Aziende manifatturiere
• Industria chimica
• Industria alimentare

Differenza di supervisione tra aziende essenziali e importanti

Le autorità locali monitoreranno in modo proattivo le imprese chiave. La supervisione delle aziende chiave avverrà dopo il fatto, se ci sono prove di un incidente.

Le aziende chiave ed essenziali avranno l'obbligo di segnalazione e il dovere di diligenza. Devono mettere in atto la sicurezza nella loro catena di fornitura e comunicare chiaramente come gestiscono gli incidenti informatici.

Perché la nuova linea guida è importante?

La nuova direttiva NIS2 dovrebbe rendere più sicuri i sistemi di rete e di informazione delle aziende. In questo modo, i Paesi Bassi e l'intera Unione Europea dovrebbero diventare meno vulnerabili agli attacchi informatici.

Il Ministro Dilan Yeşilgöz-Zegerius (Giustizia e Sicurezza) ha dichiarato: "Siamo sempre più dipendenti dai processi digitali, soprattutto da quando la corona lavora sempre più da casa. Inoltre, vediamo una crescente minaccia digitale da parte di criminali e attori statali che, con una guerra al confine orientale dell'Europa, non è destinata a diminuire per il momento. È quindi necessario compiere il passo successivo per aumentare il livello di sicurezza informatica nell'UE. In questo modo, eviteremo che gli incidenti digitali possano sconvolgere la nostra società".

Il ministro Micky Adriaansens (Affari economici e clima) aggiunge: "Dobbiamo essere attenti ai rischi degli attacchi informatici. L'impatto può essere significativo, come gli scaffali vuoti nei negozi o le interruzioni della produzione industriale. La gestione della sicurezza digitale rimane una responsabilità individuale di aziende e consumatori. Ma con questa legislazione possiamo fare un passo avanti per garantire che il livello di cyber security aumenti tra le (medie) imprese dei settori più importanti."

Sarete multati in caso di inadempienza?

Le aziende che non si adeguano alla nuova direttiva riceveranno un avvertimento, poi un richiamo e infine rischieranno una multa salata. La multa massima è di 10 milioni di euro o il due per cento del fatturato annuo totale delle aziende medio-grandi.

Prevenire i danni della criminalità informatica: cosa si può fare?

Anche in assenza di una legge sul cyber come la NIB2 nei Paesi Bassi, è importante prendere sul serio la criminalità informatica. Proteggete la vostra attività con, ad esempio:

• Sicurezza per il design
  Iniziate ogni riunione con la sicurezza (digitale). Quali misure adottate per prevenire gli abusi e quali sono i rischi e le vulnerabilità? Pensando a questo aspetto come standard, i sistemi (nuovi) sono più sicuri per impostazione predefinita.
• Connessione sicura
  Utilizzate una connessione sicura per la vostra azienda. Impedite ad altri di visualizzare o rubare i dati in modo indesiderato. La connessione sicura è disponibile in tutto il mondo, in qualsiasi momento e da qualsiasi luogo.
• Formare i dipendenti sulla sicurezza informatica
  Chi non conosce i rischi non può proteggersi da essi. Formate i dipendenti e assicuratevi che riconoscano le vulnerabilità e non cadano nelle trappole che i criminali informatici tendono loro.

Come EyeOn utilizza Guardey per conformarsi a NIS2

Le aziende che devono conformarsi al NIS2 sono tenute a offrire una formazione susecurity awareness ai propri dipendenti.

Il nostro cliente Gezamenlijke Brandweer Amsterdam (un dipartimento dei vigili del fuoco olandese) è un'organizzazione essenziale e quindi deve aderire alla normativa NIS2. Per garantire che i loro dipendenti siano preparati a riconoscere le minacce informatiche, utilizzano Guardey per offrire la formazione security awareness . Ogni settimana, il loro team gioca una breve sfida di 3 ore che li aiuta a sviluppare lentamente le conoscenze di cyber security .

Leggi qui l'intera storia

Semplificare le cose con Guardey

Noi di Guardey siamo consapevoli del fatto che i vostri pensieri possono essere molti. Come vi conformate alla NIS2, quali sono le vulnerabilità della vostra azienda e come potete prevenire un hack, una violazione dei dati o altri crimini informatici?

Ecco perché ci piace rendervi le cose più semplici. Con Guardey, scegliete una soluzione completa cyber security in una sola volta. Siamo plug & play, per una connessione sicura, contro il software dannoso e per formare i vostri dipendenti in modo professionale (ma divertente!).

Volete migliorare il sito cyber security della vostra azienda e conformarvi alla nuova direttiva NIS2? Scoprite la nostra soluzione o poneteci le vostre domande. Saremo lieti di spiegarvi come potete proteggervi con Guardey in modo accessibile, semplice e conveniente.