Mancano pochi mesi all’entrata in vigore della nuova direttiva NIS2, che riguarderà direttamente circa 16.000 aziende italiane. Le tappe del percorso e i settori coinvolti.
La sicurezza delle infrastrutture informatiche è fondamentale, in un contesto caratterizzato da incertezza e minacce globali. Sono i numeri a dirlo. Secondo il rapporto Clusit 2024 sulla sicurezza ICT in Italia, nel 2023 sono stati messi a segno 310 attacchi gravi, con una crescita del 65% rispetto al 2022.
In questa prospettiva, un importante strumento normativo è prossimo a diventare operativo in tutta l’Unione Europea: la direttiva NIS2, che avrà un impatto importante sulle aziende del continente.
La direttiva NIS2
La direttiva NIS2 (Network and Information Security) sostituisce la precedente direttiva NIS1, approvata nel 2016 ed entrata in vigore in Italia nel 2018. Si pone l’obiettivo di rafforzare il framework di sicurezza dell’Unione Europea, definendo un perimetro di azione per migliorare la resilienza delle infrastrutture tecnologiche degli stati membri.
La direttiva NIS2 si applica a soggetti che soddisfano due requisiti:
- Aziende di medie dimensioni, con un numero di dipendenti da 50 a 250 e un fatturato annuo non superiore ai 50 milioni di euro, oppure aziende di grandi dimensioni, superiori ai 250 dipendenti
- Aziende che operano in settori considerati essenziali o importanti
L’elenco completo dei settori è definito negli allegati I e II della direttiva, che abbiamo sintetizzato di seguito. In particolare, l’allegato I evidenzia i settori ad alta criticità, mentre l’allegato II evidenzia gli altri settori critici.
La NIS si applica a prescindere dalle dimensioni dell’impresa, se si verificano determinate casistiche che è possibile trovare alla fine dell’articolo.
NIS2: la roadmap
La direttiva NIS2 è entrata in vigore lo scorso 17 gennaio e dovrà essere recepita dagli stati membri – inclusa naturalmente l’Italia – entro il prossimo 17 ottobre.
Per quanto riguarda il nostro Paese, l’11 giugno il Consiglio dei Ministri ha approvato in via preliminare la bozza di decreto di recepimento.
Entro il 17 aprile 2025, la Commissione Europea dovrà definire compiutamente l’elenco dei soggetti essenziali e importanti. Un anno dopo, il 17 aprile 2026, toccherà agli stati membri individuare i singoli soggetti critici nazionali.
È importante sottolineare che, rispetto alla direttiva NIS1, i margini di libertà e interpretazione delle regole da parte dei Paesi membri sono decisamente limitati.
Le aziende interessate
Rispetto alla precedente normativa, la NIS ha ampliato in maniera sostanziale l’elenco dei settori critici e ad alta criticità. È aumentata in modo significativo la tassonomia dei settori coinvolti e le tipologie di aziende che dovranno adeguarsi – in tempi rapidi – alla normativa.
Se la precedente normativa riguardava infatti circa 400 aziende italiane, la NIS2 interesserà circa 14.000-16.000 aziende. Sono numeri importanti, che avranno naturali ripercussioni sull’evoluzione delle infrastrutture di sicurezza delle aziende.
Senza entrare nel merito, il focus della direttiva riguarda la sicurezza e resilienza delle infrastrutture informatiche, con particolare attenzione alla business continuity e alla service continuity. L’obiettivo è evitare interruzioni di servizio essenziali, non solo dal punto di vista IT ma anche per tutto quello che riguarda le Operational Technologies (OT).
In questa prospettiva, ServiTecno offre prodotti di cybersecurity industriale finalizzati alla protezione delle infrastrutture operazionali. Le soluzioni si basano su un approccio strategico di security-by-design che si declina in tre macro tematiche: l’identificazione delle anomalie, la protezione dei sistemi e la comunicazione sicura tra sistemi di fabbrica e reti aziendali. In questo modo è possibile garantire la continuità operativa e l’implementazione di tecnologie per agevolare la ripartenza rapida in caso di downtime non programmato.
