La Direttiva NIS2 del 2024 impone nuovi requisiti per proteggere le infrastrutture critiche e digitali dell'UE. Le imprese devono adattarsi a norme più rigide per garantire la sicurezza delle proprie applicazioni software e infrastrutture.
La NIS2 mira a rafforzare la resilienza cibernetica dell'UE, ampliando la direttiva precedente.
Estende il campo di applicazione a settori come energia, trasporti, sanità, finanza e servizi digitali. Impone nuovi obblighi alle organizzazioni, incluse misure di sicurezza più robuste, valutazioni regolari dei rischi, notifiche tempestive di incidenti informatici e collaborazione con le autorità competenti.
Favorisce la cooperazione europea, con scambio di informazioni e rete di risposta alle crisi informatiche.
A chi si applica la direttiva NIS 2?
La NIS 2 introduce criteri di dimensione che si applicano alle medie e grandi imprese in settori critici come energia, trasporti, settore bancario, sanitario. Si estende anche alle PMI con ruoli chiave. La direttiva si applica a soggetti pubblici e privati.
La NIS 1 dava discrezionalità agli Stati, ma la NIS 2 la rimuove, introducendo criteri di dimensione. Si applica alle medie e grandi imprese che svolgono le seguenti attività, sono comprese anche le PMI con ruoli chiave o in settori specifici.
Pertanto, per i soggetti pubblici o privati di medie o grandi dimensioni appartenenti ai seguenti settori, si applica la direttiva NIS 2:
Settori ad alta criticità:
- energia, trasporti
- settore bancario
- infrastrutture dei mercati finanziari
- settore sanitario
- acqua potabile
- acque reflue
- infrastrutture digitali
- gestori di servizi Tlc b2b
- pubblica amministrazione
- settore spaziale
Altri settori ritenuti critici:
- servizi postali e di corriere
- gestione dei rifiuti
- fabbricazione, produzione e distribuzione di sostanze chimiche
- produzione, trasformazione e distribuzione di alimenti
- fabbricazione di dispositivi medici e medico-diagnostici in vitro, computer e prodotti di elettronica e ottica, apparecchiature elettriche, macchinari e apparecchiature n.c.a., autoveicoli, rimorchi e semirimorchi, altri mezzi di trasporto
- fornitori di servizi digitali
- ricerca
Infine, indipendentemente dalla dimensione dell'azienda, la NIS 2 si applica anche ai soggetti critici e ai fornitori di servizi di registrazione di dominio.
La direttiva si applica a PA centrali e regionali, decisione sta allo Stato per PA locali e istituti d'istruzione con ricerca critica.
- La direttiva classifica i soggetti in due categorie: essenziali e importanti.
- Gli Stati dovranno definire entro il 17 aprile 2025 un elenco di tali soggetti e dei fornitori di servizi di registrazione dei nomi di dominio.
Quando non si applica la NIS 2?
La direttiva NIS 2 esclude enti della PA per sicurezza nazionale, pubblica sicurezza, difesa e contrasto reati. Anche settore giudiziario, parlamenti e banche centrali esclusi. Stati possono esentare altri soggetti.
Non tutte le piccole imprese rientrano nell'ambito di applicazione della NIS2. La direttiva tende a focalizzarsi su organizzazioni di dimensioni maggiori o che offrono servizi considerati critici.
In alcuni casi, gli Stati membri possono decidere di escludere dalla direttiva alcune amministrazioni pubbliche locali e istituti d'istruzione con funzioni di ricerca.
La NIS2 è una direttiva in continua evoluzione e gli Stati membri possono introdurre specifiche interpretazioni e adattamenti.
Cosa prevede la direttiva NIS 2?
La direttiva NIS 2 stabilisce norme minime per armonizzare le legislazioni e le procedure di cibersicurezza nell'UE. Gli Stati membri possono adottare normative più rigorose. Le imprese devono gestire rischi e adottare soluzioni di autenticazione.
La direttiva NIS 2 stabilisce norme minime che tutti gli Stati membri devono seguire per armonizzare le legislazioni e le procedure di cibersicurezza a livello UE.
Gli Stati hanno la libertà di adottare normative nazionali più rigorose per migliorare ulteriormente la sicurezza informatica nazionale.
Inoltre, la direttiva NIS 2 prevede meccanismi di cooperazione tra le autorità nazionali di cybersecurity e introduce una rete europea per le crisi informatiche (EU-CyCLONe) per gestire in modo coordinato gli incidenti e le crisi di cibersicurezza.
Tutti gli Stati membri e le aziende interessate devono condividere informazioni rilevanti per la sicurezza informatica.
La direttiva impone anche azioni per migliorare la cibersicurezza nel mercato europeo, suddivise tra azioni obbligatorie per gli Stati e obblighi per le imprese.
Gli Stati membri devono sviluppare strategie nazionali di cibersicurezza, istituire autorità nazionali per la cybersecurity, gestori di crisi informatiche, punti di contatto dedicati alla sicurezza e team di risposta agli incidenti informatici (CSIRT); devono inoltre garantire il rispetto delle normative di vigilanza ed esecuzione.
Le imprese, d'altra parte, devono gestire i rischi di cibersicurezza e segnalare gli incidenti, oltre ad adottare soluzioni di autenticazione a più fattori o continua, come previsto dalla direttiva NIS 2.
Rispettare la NIS 2 con l'autenticazione multifattore
La NIS 2 promuove l'adozione di misure di sicurezza robuste per proteggere le infrastrutture critiche, con un focus sull'autenticazione multifattore come best practice efficace per limitare i rischi legati alle credenziali compromesse.
La NIS 2 pone l'accento sulla necessità di adottare misure di sicurezza robuste per proteggere le infrastrutture critiche.
Tra queste, l'autenticazione multifattore emerge come una delle best practice più efficaci.
La direttiva, infatti, incoraggia l'utilizzo di meccanismi di autenticazione forti per limitare i rischi associati alle credenziali compromesse.
Che cos'è l'autenticazione multifattore?
L'autenticazione a più fattori (MFA o 2FA) utilizza diversi elementi come password, smartphone, impronta digitale per rendere difficile per gli attaccanti superare le difese di sicurezza. Può essere implementata in vari modi.
L'MFA (o 2FA), richiedendo la combinazione di più fattori di autenticazione:
- Qualcosa che si sa, come una password o un PIN.
- Qualcosa che si possiede, come uno smartphone, un token hardware o una smart card.
- Qualcosa che si è, come un'impronta digitale, un riconoscimento facciale o un'impronta vocale.
Con l'obiettivo di rende significativamente più difficile per gli attaccanti bypassare le difese di sicurezza.
L'MFA può essere implementata attraverso diversi metodi, come l'invio di codici via SMS, OTP, l'utilizzo di app di autenticazione o l'impiego di token hardware.
Combinando due o più di questi fattori, l'2FA rende l'attacco molto più complesso, poiché un attaccante dovrebbe compromettere più elementi per ottenere l'accesso.
La scelta dell'opzione più adatta dipende dal contesto e dal pubblico a cui è destinato.
Come implementare l'autenticazione multifattore?
Implementiamo soluzioni di autenticazione multifattore personalizzate per rendere il tuo software sicuro e conforme alla NIS 2, integrando diverse opzioni per un accesso sicuro.
Vuoi rendere il tuo software ancora più sicuro e conforme alla NIS2?
La nostra software house può aiutarti a implementare una soluzione di autenticazione multifattore personalizzata e integrata nel tuo sistema.
Offriamo una vasta gamma di opzioni, tra cui l'autenticazione tramite app dedicate, token hardware, biometria o SMS.
Possiamo inoltre integrare l'MFA con i tuoi sistemi di gestione delle identità esistenti, garantendo un processo di accesso fluido e sicuro per i tuoi utenti.
Contattaci per una consulenza gratuita e scoprire come proteggere al meglio i tuoi dati e quelli dei tuoi clienti.