Prepararsi alla scadenza di recepimento nazionale della Direttiva NIS2

Con l'avvicinarsi della scadenza per il recepimento della nuova Direttiva sulle reti e i sistemi informativi (NIS2), le aziende di tutta l'UE devono agire per garantire la conformità alla direttiva. La NIS2, entrata in vigore il 16 gennaio 2023, sostituisce la Direttiva NIS1 originale e mira ad armonizzare e migliorare la cybersicurezza in tutti gli Stati membri. Con la sua portata più ampia, l'approccio basato sul rischio e l'attenzione alla sicurezza della catena di approvvigionamento, la NIS2 riconosce le crescenti minacce informatiche e l'importanza critica di proteggere i servizi essenziali e le infrastrutture digitali.

Le aziende hanno tempo fino al 17 ottobre 2024 per adattare le leggi nazionali alla NIS2. Per prepararsi in modo efficace, le organizzazioni devono comprendere la sua applicabilità, i requisiti specifici e gli impatti potenziali, compreso il modo in cui la direttiva influisce sull'uso del software e della tecnologia open source.

Ambito di applicazione della NIS2

1. La NIS2 espande in modo significativo la portata del suo predecessore, la NIS1, per coprire una gamma più ampia di settori e servizi che sono fondamentali per la stabilità sociale ed economica. La Direttiva si applica a settori chiave come l'energia, i trasporti, le banche, l'assistenza sanitaria, le infrastrutture digitali e la pubblica amministrazione, oltre a settori importanti come i servizi postali, la gestione dei rifiuti, la produzione alimentare e i fornitori di servizi digitali come il cloud computing, i mercati online e i motori di ricerca.

2. Le aziende che operano in questi settori devono adottare misure di cybersecurity rigorose, condurre valutazioni regolari del rischio e segnalare gli incidenti significativi alle autorità nazionali. L'ampliamento del campo di applicazione riflette la crescente interconnessione delle infrastrutture critiche e la necessità di pratiche solide di cybersecurity in tutti i settori della società. Tuttavia, le aziende con meno di 50 dipendenti o con un fatturato o un bilancio annuale inferiore a 10 milioni di euro sono esenti da questo regolamento. Esistono eccezioni a questa esenzione se queste aziende più piccole sono essenziali per le infrastrutture critiche o operano in settori specifici ad alto rischio.

3. applicazione alle aziende non UE: Il NIS2 si applica anche alle aziende non UE, a determinate condizioni. Se un'azienda non UE opera in un settore coperto dal NIS2 e fornisce servizi all'interno dell'UE, deve conformarsi alla Direttiva. Ciò include le aziende che forniscono servizi a cittadini dell'UE o all'interno del mercato dell'UE. Tali aziende extra-UE devono nominare un rappresentante nell'UE per garantire il rispetto degli obblighi NIS2. Questo rappresentante funge da collegamento con le autorità di regolamentazione dell'UE ed è responsabile della conformità dell'azienda alla Direttiva.

Impatto sul software e sulla tecnologia open source

La NIS2 pone grande enfasi sulla sicurezza della catena di approvvigionamento e impone standard di cybersecurity rigorosi per le organizzazioni classificate come essenziali o importanti. I componenti commerciali di solito possono essere facilmente identificati: Utilizzando l'elenco dei fornitori, i componenti commerciali si trovano rapidamente. Questo è più difficile con i componenti open source. Questo ha un impatto diretto sull'uso del software open source:

Aumento dei requisiti di sicurezza: Le organizzazioni devono garantire che le tecnologie open source soddisfino gli standard di cybersecurity NIS2. Ciò include aggiornamenti regolari, valutazioni delle vulnerabilità e gestione tempestiva delle patch per ridurre al minimo i rischi associati ai componenti open source.
Sicurezza della catena di approvvigionamento: La politica richiede alle organizzazioni di valutare le pratiche di sicurezza dei loro fornitori di software open source. Ciò include la valutazione dell'origine e della manutenzione dei progetti open source per garantire che non introducano vulnerabilità nei sistemi critici. Ciò include anche la valutazione di tutti i pacchetti open source dipendenti in modo transitorio. L'integrazione di tali pacchetti spesso non è immediatamente evidente, nemmeno agli sviluppatori. Tutti i componenti software, la distinta base del software (SBOM), devono essere documentati. Questo compito viene solitamente svolto da aziende specializzate.
Test regolari di tutti i pacchetti open source utilizzati per verificare la presenza di vulnerabilità. Ogni giorno vengono scoperte nuove vulnerabilità; secondo BSI, circa 70 al giorno( https://www.bsi.bund.de/DE/Service- Navi/Publikationen/Lagebericht/lagebericht_node.html ). Tutti i componenti dello SBOM devono essere controllati regolarmente rispetto alle nuove vulnerabilità scoperte.
Segnalazione degli incidenti e responsabilità: Il NIS2 richiede alle organizzazioni di segnalare alle autorità nazionali gli incidenti significativi di cybersecurity, compresi quelli che coinvolgono il software open source (Obblighi di segnalazione in tre fasi per gli incidenti gravi - 24 ore di preavviso, 72 ore di segnalazione dell'incidente, un mese di relazione finale). Il management può anche essere ritenuto responsabile di garantire che l'uso della tecnologia open source non comprometta la sicurezza informatica dell'azienda, il che aumenta i rischi legali e operativi.

In base al NIS2, le aziende che non rispettano la direttiva possono incorrere in multe significative, con sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale, a seconda di quale sia il valore più alto. I dirigenti possono anche essere ritenuti personalmente responsabili della non conformità, affrontando potenziali azioni legali, tra cui multe o squalifiche, per non aver garantito l'aderenza della loro organizzazione alla direttiva. Inoltre, le aziende possono essere soggette a richieste di risarcimento danni da parte delle parti interessate, se la loro non conformità porta a un incidente di sicurezza che causa danni.

Alla luce di questi requisiti, le organizzazioni devono gestire con attenzione l'uso di software open source per conformarsi alle normative NIS2 e proteggere i loro sistemi dalle nuove minacce. I manager devono essere in grado di dimostrare di aver adempiuto ai loro doveri fiduciari per evitare responsabilità personali e proteggere la loro azienda da multe, sanzioni o cause legali.

Lista di controllo per le aziende: Importanti passi preparatori per la conformità

Per adattarsi al NIS2 e gestire i rischi associati, le organizzazioni devono:

Condurre valutazioni del rischio: Identificare tutti i componenti software in uso (SBOM) e le vulnerabilità note, comprese quelle relative al software open source, e implementare strategie di gestione del rischio personalizzate.
Sviluppare un piano di risposta agli incidenti: Creare un piano completo per rilevare, segnalare e risolvere gli incidenti di cybersecurity.
Garantire la sicurezza della catena di approvvigionamento: Valutare e proteggere le pratiche di cybersecurity dei fornitori, compresi quelli che forniscono software open source.
Testare regolarmente le nuove vulnerabilità. Dato l'elevato numero di componenti e vulnerabilità, questa operazione dovrebbe essere automatizzata.
Implementare la sicurezza nella progettazione: Integrare le misure di cybersecurity nella progettazione e nello sviluppo di prodotti e servizi.
Formare i dipendenti: Istruisca i suoi dipendenti sulle migliori pratiche di cybersecurity ed evidenzi i rischi particolari del software open source.
Rimanere aggiornati: si tenga aggiornato sugli sviluppi dell'implementazione.

Adottando questi accorgimenti, le organizzazioni possono prepararsi al meglio agli obblighi del NIS2 e migliorare la loro posizione complessiva di cybersecurity.

FAQ SUL NIS2

La NIS2, o Direttiva riveduta sulle reti e i sistemi informativi, è una direttiva dell'Unione Europea progettata per migliorare la cybersecurity in tutta l'Unione Europea. È entrata in vigore il 16 gennaio 2023, sostituendo la Direttiva NIS originale (NIS1). La NIS2 amplia l'ambito delle entità regolamentate, adotta un approccio basato sul rischio e si concentra sulla sicurezza della catena di approvvigionamento. È fondamentale per migliorare la resilienza dei servizi essenziali e delle infrastrutture digitali alle minacce di cybersecurity in evoluzione.

Il NIS2 ha un impatto significativo sulle organizzazioni che utilizzano software open source. La direttiva richiede che le tecnologie open source soddisfino rigorosi standard di cybersecurity, tra cui aggiornamenti regolari, valutazioni delle vulnerabilità e gestione delle patch. Richiede inoltre alle organizzazioni di valutare le pratiche di sicurezza dei loro fornitori open source e di garantire che queste tecnologie non introducano vulnerabilità nei sistemi critici. La mancata osservanza di queste normative può comportare l'obbligo di segnalare gli incidenti e una maggiore responsabilità gestionale.

La NIS2 si applica a un'ampia gamma di settori essenziali e importanti, tra cui l'energia, i trasporti, la sanità, le infrastrutture digitali e altri ancora. La direttiva si applica anche alle aziende non UE che operano in questi settori e che forniscono servizi all'interno dell'UE. Le aziende extra-UE devono nominare un rappresentante nell'Unione Europea per garantire la conformità al NIS2 e fungere da punto di contatto con le autorità di regolamentazione dell'UE.

Le organizzazioni soggette al NIS2 devono:

Condurre valutazioni del rischio per identificare e porre rimedio alle vulnerabilità della cybersecurity, anche nel software open source.
Sviluppare e implementare un piano di risposta agli incidenti per individuare, segnalare e risolvere tempestivamente gli incidenti di cybersecurity.
Proteggere la sua catena di fornitura assicurandosi che i fornitori, compresi i progetti open source, siano conformi agli standard di sicurezza richiesti.
Integrare le misure di cybersecurity nella progettazione e nello sviluppo di prodotti e servizi ("security by design").
Segnalare gli incidenti significativi di cybersecurity, compresi quelli che coinvolgono il software open source, all'autorità nazionale competente.

Le sanzioni per la mancata conformità alla NIS2 possono essere severe e variano da Paese a Paese, in quanto ogni Stato membro dell'UE recepisce la Direttiva nella legislazione nazionale. Le aziende possono incorrere in multe, azioni legali e danni alla reputazione. Inoltre, la dirigenza dell'azienda può essere ritenuta personalmente responsabile della mancata conformità agli obblighi di cybersecurity, soprattutto se il software open source presenta delle vulnerabilità, con conseguenti ulteriori sanzioni.

Latest news about Data Protection, GDPR, AI Legislation and more

european government strassbourg wittmann legal services

Das Europäische Datensgesetz („Data Act“) und seine Auswirkungen auf Ihr Unternehmen

Das Europäische Datengesetz („Data Act“) tritt im September 2025 in Kraft und wird die Nutzung und den Zugang zu nicht personenbezogenen, nutzergenerierten Daten in allen Branchen beeinflussen. Unternehmen sollten jetzt mit den Vorbereitungen beginnen, um die Einhaltung der neuen Rechtsvorschriften sicherzustellen. Hier finden Sie eine umfassende Checkliste und die wichtigsten Punkte, die Ihnen und Ihrem Unternehmen helfen, die Anforderungen an den Zugang, die gemeinsame Nutzung und den Schutz von Daten zu erfüllen.

Generative KI und die Datenschutz-Grundverordnung - ein umfassender Leitfaden

Ein umfassender Leitfaden für Unternehmen, die generative KI-Tools einsetzen, um Compliance und Transparenz zu gewährleisten und potenzielle Herausforderungen wie Voreingenommenheit und Sicherheitsbedenken sowie die Verarbeitung von Daten im Rahmen der Datenschutz-Grundverordnung im Zusammenhang mit generativer KI anzugehen.