What is the NIS2 Directive?

Directive (EU) 2022/2555, more commonly known as NIS2 is the second iteration of the EU’s Network and Information Security (NIS) directive, and it is the primary cybersecurity standard in the EU. NIS2 updates NIS by expanding the sectors affected by the law and its requirements. By October 17, 2024, EU member states are required to implement NIS2 in their national laws, so all organizations affected by NIS2 must be in compliance by Q4 2024.

Check Point Services CONTATTA UN ESPERTO

What is the NIS2 Directive?

L'importanza della direttiva NIS2

NIS2 crea una serie standard di requisiti di sicurezza informatica per le organizzazioni che forniscono servizi essenziali o importanti agli Stati membri dell'UE. In questo modo, si riduce il rischio che gli attacchi informatici contro queste organizzazioni possano avere ripercussioni significative per i cittadini dell'UE.

Settori interessati dalla direttiva NIS2

Organizations that meet all three of the following criteria must comply with the NIS2 Directive by October 18, 2024

NIS

La direttiva NIS2 classifica i settori in entità essenziali e importanti. Esempi di entità essenziali (EE) includono:

  • Energy
  • Trasporti
  • Finanza
  • Pubblica amministrazione
  • Sanità
  • Spazio
  • Approvvigionamento idrico
  • Infrastruttura digitale

NIS2 ha anche un impatto su entità importanti (IE), come:

  • Servizi postali
  • Gestione dei rifiuti
  • Prodotti chimici
  • Ricerca
  • Cibo
  • Manufatturiero
  • Fornitori digitali

NIS Providers

Oltre ai settori, NIS2 Conformità è influenzata anche dalla dimensione dell'organizzazione. In generale, le EE devono avere almeno 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro o un bilancio di 43 milioni di euro. Gli IE devono generalmente avere almeno 50 dipendenti e un fatturato annuo o un bilancio di almeno 10 milioni di euro. Tuttavia, queste regole variano da settore a settore. Inoltre, le aziende che sono l'unico fornitore di un particolare servizio all'interno di uno Stato membro dell'UE possono essere classificate come EE o IE indipendentemente dalle dimensioni.

Quali sono i requisiti NIS2?

NIS2 crea quattro serie di requisiti organizzativi di alto livello, tra cui:

  • Gestione del rischio: le organizzazioni dovrebbero gestire i propri rischi informatici tramite la risposta agli incidenti, la sicurezza della catena di fornitura, la sicurezza della rete, il controllo degli accessi e l'uso della crittografia.
  • Responsabilità aziendale: La direzione aziendale è responsabile della sicurezza dell'organizzazione e dovrebbe assumere un ruolo attivo e informato nella gestione del rischio informatico.
  • Obblighi di segnalazione: NIS2 definisce i requisiti di segnalazione per incidenti di sicurezza significativi, incluso un "allarme rapido" 24 ore su 24.
  • Continuità aziendale: Le organizzazioni interessate devono disporre di strategie di continuità aziendale, tra cui la creazione di piani di ripristino, procedure di emergenza e un team di risposta alle crisi.

Inoltre, specifica una serie di dieci requisiti minimi, che includono:

  1. Esecuzione di valutazioni dei rischi e implementazione di politiche di sicurezza per i sistemi IT.
  2. Implementazione di politiche e procedure per l'uso della crittografia e della crittografia.
  3. Protezione e gestione delle vulnerabilità nell'approvvigionamento di sistemi.
  4. Implementazione di procedure di sicurezza per gli utenti che possono accedere ai dati sensibili.
  5. Utilizzando l'autenticazione a più fattori (MFA), l'autenticazione continua e le comunicazioni crittografate, ove appropriato.
  6. Valutare l'efficacia dei controlli di sicurezza messi in atto.
  7. Pianificazione del rilevamento e della risposta agli incidenti.
  8. Formazione dei dipendenti sull'igiene informatica di base.
  9. Pianificazione della continuità operativa e del ripristino di emergenza (backup, accesso continuo, ecc.)
  10. Protezione della catena di fornitura e modalità con cui l'azienda gestisce potenziali vulnerabilità nei rapporti con terzi.

Sanzioni per violazioni NIS2

NIS2 prevede varie tipologie di sanzioni che possono essere imposte ad un'organizzazione per Non Conformità, tra cui:

  • Sanzioni non pecuniarie: Le autorità di vigilanza nazionali sono autorizzate a costringere le organizzazioni a conformarsi, a seguire istruzioni vincolanti, a effettuare un audit di sicurezza o a informare i propri clienti di una potenziale minaccia.

Non Monetary Penalties

  • Administrative Fines: Administrative penalties depend on the type of entity. While significant penalties can be imposed for failure to comply, there are a series of steps that must be taken before an entity is required to pay a monetary fine. The first step is a simple warning, then temporary suspension of the right to provide services within the EU, and only then fines. EEs are subject to fines of the greater of 10 million euros or 2% of global annual revenue. IEs can be fined up to 7 million euros or 1.4% of global annual revenue.
  • Sanzioni penali: In caso di negligenza grave, NIS2 consente ai vertici aziendali di essere ritenuti personalmente responsabili degli incidenti di sicurezza. Ciò include l'ordinazione alla società di rendere pubbliche le violazioni di Conformità, di dichiarare pubblicamente quale violazione è avvenuta e di chi ne è responsabile, nonché l'interdizione temporanea da incarichi dirigenziali.

Assicurati che la tua azienda sia conforme alla NIS2 con IGS

La direttiva NIS2 è concepita per limitare il rischio che gli attacchi informatici contro soggetti essenziali e importanti all'interno dell'UE incidano sulla loro capacità di fornire servizi ai cittadini dell'UE. Questo aggiornamento del NIS originale amplia l'ambito di applicazione della direttiva, implementa i requisiti aggiornati e fornisce alle autorità di regolamentazione il potere di imporre sanzioni aggiuntive e più severe contro le organizzazioni che non rispettano i suoi requisiti.

Achieving compliance with the NIS2 directive by deadlines in Q4 2024 is essential for all affected organizations and requires the implementation of a robust cybersecurity program. Check Point offers support for companies attempting to achieve this and other cybersecurity goals through its Check Point Services program.

Check Point’s External Risk Management offering helps with compliance in several ways, from supply chain monitoring, to attack surface management. See below an overview.

NIS2 Coverage

Demo it here 

Check PointIl NIS2/DORA Readiness Assessment di prevede una valutazione in loco da parte dei Check Point consulenti senior di della conformità esistente di un'organizzazione con la direttiva NIS2. Sulla base di questa valutazione, Check Point fornisce indicazioni su come le organizzazioni possono colmare le lacune di sicurezza identificate e raggiungere la conformità allo standard. Per ulteriori informazioni su come raggiungere i tuoi obiettivi di Conformità NIS2 prima della scadenza, contattaci.