Il conto alla rovescia è iniziato! Le aziende dovranno presto aspettarsi che la Direttiva NIS 2 entri in vigore. I requisiti dell'UE dovrebbero essere effettivamente implementati attraverso le leggi nazionali degli Stati membri al più tardi entro il 18 ottobre 2024. È già chiaro che gli obblighi di implementare misure di sicurezza informatica e di segnalare gli attacchi informatici saranno estesi a un numero significativamente maggiore di aziende in diversi settori.
Quasi 30.000 aziende devono adottare misure aggiuntive
Solo in Germania, il Ministero federale degli Interni, responsabile del programma, prevede che circa 29.500 aziende saranno obbligate a implementare misure di sicurezza informatica. In precedenza, le misure erano limitate agli operatori di infrastrutture critiche, ai fornitori di servizi digitali e alle aziende di particolare interesse pubblico.
Il motivo di questa significativa espansione è l'introduzione delle categorie "entità importanti" ed "entità essenziali" nella legge sull'attuazione della NIS-2 e sul rafforzamento della sicurezza informatica (NIS2UmsuCG). Tuttavia, la legge non è ancora stata promulgata.
Per le aziende del settore commerciale, si tratta di un'implementazione 1:1 della Direttiva NIS 2. Ciò significa che il NIS2UmsuCG non va oltre i requisiti della legge europea. Ciò significa che il NIS2UmsuCG non va oltre i requisiti della legge europea.
Secondo l'Ufficio federale per la sicurezza, la valutazione d'impatto NIS 2 è lo strumento principale per verificare se un'azienda può rientrare nel campo di applicazione nazionale della direttiva NIS 2 in Germania.
Strutture particolarmente importanti e strutture importanti
Uno sguardo alla bozza di legge mostra già quali aziende saranno regolamentate dal NIS-2. L'identificazione delle società interessate come "istituzioni particolarmente importanti" o "istituzioni importanti" si baserà probabilmente su cifre chiave e soglie relative al fatturato annuo o al numero di dipendenti.
Secondo l'articolo 28 (1) del NIS2UmsuCG, sono considerate strutture particolarmente importanti le seguenti:
- Operatori di sistemi critici,
- fornitori di servizi fiduciari qualificati, registri di nomi di dominio di primo livello o fornitori di servizi DNS,
- Fornitori di servizi di telecomunicazione accessibili al pubblico o gestori di reti pubbliche di telecomunicazione che impiegano almeno 50 persone o hanno un fatturato annuo e un totale di bilancio annuo superiore a 10 milioni di euro ciascuno,
- altre persone fisiche o giuridiche o unità organizzative legalmente dipendenti di un ente locale che offrono beni o servizi ad altre persone fisiche o giuridiche dietro pagamento, che possono essere assegnate a uno dei tipi di stabilimento specificati nell'Allegato 1 e che impiegano almeno 250 dipendenti o hanno un fatturato annuo superiore a 50 milioni di euro e un totale di bilancio annuo superiore a 43 milioni di euro.
Secondo l'articolo 28 (2) del NIS2UmsuCG, sono considerate strutture importanti
- Fornitore di servizi fiduciari,
- Fornitori di servizi di telecomunicazione accessibili al pubblico o gestori di reti pubbliche di telecomunicazione che impiegano meno di 50 dipendenti e hanno un fatturato annuo e un totale di bilancio annuo pari o inferiore a 10 milioni di euro,
- persone fisiche o giuridiche o unità organizzative legalmente dipendenti da un ente locale che offrono beni o servizi ad altre persone fisiche o giuridiche dietro pagamento, che sono assegnate a una delle tipologie di strutture specificate negli Allegati 1 e 2 e che impiegano almeno 50 dipendenti o hanno un fatturato annuo e un totale di bilancio annuo superiore a 10 milioni di euro ciascuna.
Suggerimento di lettura: Approvato il regolamento sui cookie banner: Cosa c'è di nuovo ora!
Classificazione delle aziende in base a determinati tipi di organizzazione
§ Anche l'art. 28 (1) n. 4 e l'art. 28 (2) n. 3 NIS2UmsuCG fanno riferimento all'assegnazione a determinati tipi di strutture.
Le strutture particolarmente importanti ("essenziali") comprendono aziende di notevole importanza per la comunità. Il loro fallimento avrebbe gravi conseguenze. Il NIS-2 nomina specificamente undici aree:
- Energia (elettricità, teleriscaldamento, petrolio greggio, gas naturale, idrogeno)
- Trasporto (trasporto aereo, trasporto ferroviario, trasporto marittimo, trasporto stradale)
- Settore bancario
- Mercati finanziari
- Salute (compresi fornitori di assistenza sanitaria, ricerca medica, prodotti farmaceutici, dispositivi medici)
- Acqua potabile (approvvigionamento idrico)
- Acque reflue (smaltimento delle acque reflue)
- Amministrazioni pubbliche
- Infrastruttura digitale (nodi internet, cloud provider, centri dati, comunicazione elettronica)
- Gestione dei servizi ICT (B2B) (fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti)
- Spazio
I seguenti sette settori sono classificati come "importanti":
- Servizi postali e di corriere
- Rifiuti
- Cibo
- Prodotti chimici
- Servizi digitali (motori di ricerca, mercati online, servizi cloud, social network),
- Industria (compresa l'ingegneria meccanica, la costruzione di veicoli, le apparecchiature per l'elaborazione dei dati)
- Ricerca
Se le dimensioni dell'azienda e il tipo di impianto coincidono, si applica la direttiva NIS-2. Se un'azienda svolge un'attività critica e un suo fallimento potrebbe avere un impatto sull'ordine pubblico, può rientrare nella direttiva NIS-2 anche se non sono state raggiunte le dimensioni dell'azienda.
Obbligo di rendicontazione per le società regolamentate NIS 2
L'obiettivo della direttiva NIS 2 è introdurre misure vincolanti per le autorità pubbliche e le imprese al fine di garantire un elevato livello comune di sicurezza informatica in tutta l'Unione europea. Le istituzioni importanti e particolarmente importanti devono essere protette dai danni causati dagli attacchi informatici e il funzionamento del mercato interno europeo deve essere migliorato. Come si evince dall'elenco sopra riportato, ciò va di pari passo con un significativo ampliamento del campo di applicazione.
Alcune delle aziende interessate saranno probabilmente tenute a fornire una prova di sicurezza informatica. Le aziende regolamentate dal NIS-2 saranno inoltre obbligate a segnalare gli incidenti di sicurezza informatica all'Ufficio federale per la sicurezza.
Fonte: Bozza della legge sull'attuazione della NIS-2 e sul rafforzamento della sicurezza informatica