NIS e NIS2, cosa cambia per i log?

Articoli

  • compliance normativa
  • log
  • log management

NIS e NIS2, cosa cambia per i log?

La NIS (Direttiva 2016/1148/EC) è una direttiva Europea del 2016 e divenuta effettiva nel 2018, volta a rafforzare la cybersecurity in alcuni settori considerati fondamentali per l’Unione Europea. Recentemente è stata pubblicata dalla UE la sua ultima versione (NIS2) che andrà a sostituire la NIS1 e dovrà essere recepita e integrata dai vari stati della UE entro 21 mesi dalla sua adozione avvenuta il 28 novembre 2022.

Gli obiettivi della direttiva sono 3:

  • – Aumentare la resilienza informatica di un determinato insieme di imprese considerate fondamentali all’interno del sistema UE;
  • – Ridurre le incoerenze nella resilienza nel mercato interno nei settori già contemplati dalla direttiva;
  • – Migliorare il livello di consapevolezza comune (situational awareness) e la capacità collettiva nel prepararsi e rispondere alle minacce informatiche.

Quali sono le principali novità introdotte dalla NIS 2?

La novità principale della NIS2 è l’ampliamento dei settori economici soggetti alla direttiva. Nella NIS originaria erano compresi:

  • – Trasporti (aereo, ferroviario, marittimo, stradale)
  • – Banche
  • – Infrastrutture del mercato finanziario
  • – Salute
  • – Acque (da bere)
  • – Infrastruttura digitale, che è stata ampliata includendo data center, fornitori di reti per la distribuzione di contenuti, fornitori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica disponibili al pubblico

Nella NIS2 sono stati aggiunti anche:

  • – Acque reflue;
  • – Gestione di Servizi ICT operanti nel B2B;
  • – Pubblica amministrazione;
  • – Spazio;
  • – Fornitori digitali, formato da mercati online, motori di ricerca online, piattaforme di servizi di social networking;
  • – Gestori di rifiuti;
  • – Le aree di fabbricazione;
  • – Produzione e distribuzione di prodotti chimici;
  • – Produzione, trasformazione e distribuzione di alimenti;
  • – Manifatturiera;
  • – Servizi Postali;
  • – Corrieri;
  • – Organizzazioni di Ricerca.

Non tutte le aziende di questi settori saranno soggette all’adeguamento, infatti sarà previsto un criterio di distinzione in base alla dimensione, ossia i soggetti di medie e grandi dimensioni.

Enti importanti, essenziali ed esclusi

La nuova direttiva NIS2 prevede una distinzione fra enti “essenziali” e “importanti” con lo scopo di avere diversi regimi di applicazione della norma. Infine sono stati esclusi esplicitamente alcuni enti quali:

  • – Difesa o sicurezza nazionale
  • – Pubblica sicurezza e forze dell’ordine
  • – Magistratura
  • – Parlamenti
  • – Banche centrali

Le nuove sanzioni per la violazione della NIS2

La violazione della NIS comporta due tipi di sanzione:

  • – Previo obbligo degli stati membri di stabilire la possibilità e le condizioni, la sospensione dell’attività dell’azienda o l’imposizione di specifici divieti;
  • – Sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti;
    • – Nel caso in cui un incidente informatico abbia comportato una data breach ai sensi del GDPR, le sanzioni amministrative della NIS2 non sono applicabili.

Gestione dei log e NIS2

La NIS1 prevedeva la necessità per le imprese operanti nei settori considerati essenziali (OES) di strutturare misure minime di sicurezza fra le quali sono compresi sistemi di logging, log analysis e log correlation. Nulla fa pensare che all’interno della NIS2 possano esserci differenze. In ogni caso se ne riparlerà nel 2024, in quanto la scadenza per il recepimento della direttiva NIS2 dovrà avvenire entro il 28/8/2024.

< Torna al Blog