Con la pubblicazione del D.lgs. 138/2024, anche l’Italia ha recepito la Direttiva UE 2022/2555 (dicembre 2022) “Network and Information Security”, nota come NIS 2.
La direttiva NIS 2 punta a creare una strategia unificata di cybersecurity per tutti gli Stati membri dell’UE, rafforzando la protezione dei servizi digitali a livello europeo.
Si allinea ad altre normative chiave come il GDPR, il Regolamento DORA, e il Cyber Resilience Act, affrontando le minacce informatiche sempre più avanzate e invasive, che sono aumentate notevolmente negli ultimi anni.
Questo quadro normativo offre una difesa più robusta contro i rischi informatici emergenti e promuove una maggiore sicurezza per dati e infrastrutture critiche.
La scadenza per conformarsi è fissata al 16 ottobre 2024.
Questa direttiva sostituisce la precedente NIS 1, cioè la Direttiva (UE) 2016/1148.
Cosa Cambia con la Direttiva NIS 2
La Direttiva impone un’articolata serie di obblighi, con scadenze già fissate per il 2025, che diventeranno poi regolari su base annuale.
Tra gli obblighi principali vi è la registrazione sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale) per i soggetti coinvolti.
L’ACN specifica che la direttiva distingue tra settori critici e settori ad alta criticità, e tra operatori di servizi essenziali e operatori di servizi importanti.
Settori a cui si Applica la Direttiva NIS 2
La Direttiva NIS 2 ha esteso il proprio ambito rispetto alla precedente, includendo più settori e organizzazioni, sia pubbliche che private, per migliorare la sicurezza informatica in tutta l’UE.
Settori ad alta criticità: riguardano infrastrutture vitali per il funzionamento socioeconomico dell’UE, soggette a requisiti di sicurezza informatica stringenti (energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acqua reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio)
Settori critici: settori non considerati critici ma che devono comunque conformarsi agli standard di sicurezza previsti, a tutela della loro integrità e resilienza digitale (servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali e ricerca).
Le Tre Logiche Fondamentali della Direttiva
- Governance: Responsabilità e pianificazione, incluse attività di formazione per amministratori, direttori e manager. La governance implica anche la gestione dei processi tramite un sistema di gestione.
- Risk Management: Processo di gestione del rischio in relazione alla sicurezza digitale, inclusi rischi fisici e ambientali. È richiesto un processo articolato di incident management, con la notifica degli incidenti entro 24 ore al CSIRT.
- Catena di Fornitura: La valutazione del rischio deve estendersi anche ai fornitori e partner, come provider cloud, datacenter, service provider e vendor HW/SW.
Azioni Tecniche, Operative e Organizzative
Le misure da adottare devono essere adeguate alle infrastrutture, alle risorse (macchine, dispositivi), ai sistemi e alle applicazioni utilizzate.
La formazione del personale diventa obbligatoria per assicurare che i dirigenti siano non solo competenti, ma anche consapevoli della sicurezza informatica.
Le aziende dovranno inoltre realizzare piani di continuità operativa e recupero emergenze, in ottica di business continuity.
I soggetti essenziali e importanti saranno obbligati a notificare eventuali incidenti all’ACN o al CSIRT Italia, qualora gli incidenti abbiano avuto impatto sulle attività aziendali.
Sanzioni per la Non Conformità
Come accaduto per il GDPR, la Direttiva NIS 2 prevede un quadro sanzionatorio molto severo.
Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo per i soggetti essenziali, e fino a 7 milioni di euro o all’1,4% del fatturato annuo per i soggetti importanti.
Perfetto, ecco come puoi integrare il messaggio nel post:
Verifica la Conformità della Tua Azienda alla Direttiva NIS 2!
Hai dubbi sulla conformità della tua azienda alla Direttiva NIS 2?
Non rischiare sanzioni e scopri come garantire la sicurezza informatica della tua azienda.
Contattaci per ricevere gratuitamente la check list NIS 2 di verifica conformità!
Scrivici a segreteria@bwbconforma.it per ricevere subito la check list e scoprire come possiamo aiutarti a proteggere il tuo business.
Benefici della NIS2 per le aziende
La Direttiva NIS 2 porta vantaggi significativi alle aziende, migliorando la sicurezza digitale e la resilienza operativa.
Implementare le strategie di cyber resilience indicate dalla NIS 2 aiuta a ridurre il rischio di attacchi informatici e a promuovere la continuità operativa.
L’adozione di pratiche di gestione del rischio e di governance della sicurezza informatica favorisce lo sviluppo di una cultura aziendale orientata alla cybersecurity, aumentando la consapevolezza del personale.
Proteggi i tuoi dati con la Certificazione UNI EN ISO 27001!
Le certificazioni ISO possono facilitare il percorso di conformità alla NIS 2.
La ISO 27001, in particolare, garantisce che l’azienda adotti un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) completo e certificato.
Non rischiare perdite di dati o sanzioni.
La sicurezza delle informazioni è fondamentale per ogni azienda.
Contattaci oggi per una consulenza e scopri come possiamo supportarti nell’ottenere la certificazione.