Direttiva NIS2

Direttiva NIS2: Cosa fare?

La nuova “Direttiva (UE) 2022/2555 sulle misure per un elevato livello comune di Cybersecurity nell’Unione”

Scopri di più

I princìpi generali di NIS2

La direttiva NIS2 supera e sostituisce la precedente Direttiva sulle reti ed i sistemi informativi (NIS), già adottata dagli Stati membri dell’UE. Impone un’applicazione più rigorosa dei requisiti di Sicurezza Informatica in tutta l’Unione e prevede l’uniformità delle sanzioni.

Le basi

La Direttiva NIS2 è stata pubblicata il 14 dicembre 2022 ed è già in vigore. Per le organizzazioni e le aziende soggette, negli Stati membri dell’UE, sarà obbligatorio conformarsi ai nuovi requisiti entro il termine ultimo del 18 ottobre 2024. Come recita il titolo, l’obiettivo principale della Direttiva NIS2 è adottare un livello comune di sicurezza informatica nell’UE, attraverso l’aumento dei requisiti minimi delle aziende appartenenti a determinati settori.

Scopri di più La Direttiva NIS2 in breve

Princìpi Generali

La NIS2 elenca tutti i settori che devono conformarsi. L’ambito di applicazione è più ampio rispetto ai settori di attività inclusi nella (vecchia) Direttiva NIS. Continua a leggere!

Soggetti

La Direttiva NIS2 amplia notevolmente le organizzazioni interessate dai suoi requisiti e distingue tra “aziende essenziali” (o “ad alta criticità”) e “aziende importanti” (o “altri settori critici”). Continua a leggere!

Requisiti

I requisiti più importanti ruotano attorno a quattro temi principali: il coinvolgimento nei processi del Top Management, la gestione del rischio, la continuità operativa e la comunicazione degli incidenti di una certa rilevanza al CSIRT nazionale. Continua a leggere!

Misure richieste

La Direttiva NIS2 è caratterizzata da elevata complessità. Le misure necessarie, elencate nell’Articolo 21, prevedono l’adozione di piani per la gestione del rischio e degli incidenti. Continua a leggere!

Sanzioni

Una novità importante sono responsabilità e sanzioni. Queste ultime prevedono, sul modello del GDPR, importi legati al fatturato di gruppo e variano a seconda che siano classificate come il soggetto multato appartenga ai settori “essenziali” o “importanti”. Continua a leggere!

GDPR e/o NIS2?

La Direttiva NIS2 è per la Cybersecurity europea ciò che il Regolamento Generale di Protezione dei Dati (GDPR) rappresenta per la protezione dei dati dei cittadini dell’UE. Molte le differenze, anche se entrambe le Direttive si concentrano sulla protezione dei dati. Continua a leggere!

La Direttiva NIS2 in cifre

Considerando

Capitoli

Articoli

Allegati tecnici

Il numero dell’articolo più importante

Settori interessati (11 “essenziali” e 7 “importanti”)

Permettici di aiutarti

Scopri di più sui nostri servizi per rafforzare la sicurezza informatica della vostra azienda in conformità alla Direttiva NIS2!

Contattaci

Domande Frequenti

Di seguito sono riportate le domande più frequenti relative alla Direttiva NIS2, e una breve risposta. Per qualsiasi esigenza, chiedi un preventivo!

1. A chi è rivolta la Direttiva NIS2?

La Direttiva NIS2 specifica i soggetti che devono adeguarsi, distinguendo tra “soggetti essenziali” e “soggetti importanti”. Vengono presi in considerazione in totale 18 macro-settori, la cui suddivisione è specificata negli allegati 1 e 2 alla Direttiva. La differenza tra “essenziali” e “importanti” risiede, oltre che nell’ammontare delle sanzioni, nel livello di misure tecniche, operative e organizzative richiesto alle aziende dei vari settori.

2. Quando entra in vigore la Direttiva europea NIS2?

La Direttiva NIS2 è già in vigore! E’ stata pubblicata ufficialmente il 14 dicembre 2022, prevedendo, come termine ultimo di adeguamento, il 18 ottobre 2024. Il 18 ottobre è anche il termine ultimo, per gli Stati membri dell’UE, per stabilire leggi e regolamenti nazionali basati sulla NIS2. Nel primo periodo, almeno in Italia, le sanzioni sono sospese. L’applicazione delle sanzioni inizierà a partire dal 18 aprile 2025. Entro tale data ogni Stato membro ha la facoltà di emanare regolamenti nazionali con maggiori specifiche sui settori e sotto-settori coinvolti.

3. Cosa succede se non mi adeguo?

Oltre alle sanzioni, sicuramente “significative” in quanto basate su percentuali del fatturato, il mancato adeguamento rappresenta innanzitutto un’esplicita ammissione aziendale di scarsa attenzione ai temi dalla cyber sicurezza. L’adeguamento porta numerosi vantaggi e non va fatto “perché lo impone la legge”. Piuttosto, la consapevolezza e la gestione del rischio cyber portano in azienda vantaggi, anche economici, poiché cresce la resilienza agli attacchi informatici.

4. Quando iniziano ad essere applicate le sanzioni per la mancata conformità alla Direttiva?

Le sanzioni saranno applicate alle entità interessate dalla Direttiva in caso di mancata conformità a partire dal 18 aprile 2025.

5. Cosa devo fare per conformarmi alla Direttiva NIS2?

In massima sintesi, sono tre le linee di azione da intraprendere: coinvolgere il Top Management e il personale nell’intero processo di gestione del rischio cyber, prevedere procedure scritte per la gestione di tutti gli aspetti legati alla sicurezza informatica, mettere in atto misure tecniche e organizzative idonee al livello di cyber rischio, all’impatto su altri soggetti e al settore di appartenenza. Semplice no?

6. Quali sono i servizi che offrite alle aziende per aiutare nell’adeguamento?

Sono quattro i servizi offerti per aiutare le aziende nell’adeguamento alla Direttiva NIS2. Per la valutazione del livello di cyber rischio, offriamo innanzitutto Security Assessment o Penetration Test condotti da personale specializzato (Ethical Hackers). Il secondo servizio prevede la consulenza per la predisposizione della documentazione necessaria. Per assolvere agli obblighi formativi, proponiamo corsi di formazione, online e in presenza, con vari livelli di difficoltà e con rilascio di attestati di partecipazione. Infine, abbiamo creato un software che consente di tenere traccia di tutti i passaggi e di tutte le procedure presenti in azienda relative al cyber rischio. Per conoscere meglio cosa possiamo fare per te, contattaci!

7. Cosa devo fare in caso di incidente informatico?

Un incidente informatico, che può essere definito rilevante, va prontamente segnalato al CSIRT nazionale con precise tempistiche e con vari livelli di dettaglio stabiliti dalla Direttiva NIS2. La procedura di gestione degli incidenti informatici deve essere formalizzata e compresa dal Top Management e dal personale di tutti i livelli.

8. Esistono certificazioni NIS2 per i soggetti “essenziali” e “importanti”?

La NIS2 non richiede la certificazione dei “soggetti essenziali e importanti”. Tuttavia, la Direttiva consente ai Paesi dell’UE (gli Stati membri) o alla Commissione dell’UE di richiedere a tali soggetti l’utilizzo di prodotti o servizi informatici certificati in base allo “Schema Europeo di Certificazione” della Sicurezza Informatica (cfr. la “Certificazione ENISA sulla Sicurezza Informatica”) e alla “Legge sulla Sicurezza Informatica” (cfr. il Regolamento UE 2019/881).