Contattaci

Blog & case

La direttiva NIS2

Nel mondo digitale di oggi, la sicurezza informatica è una priorità assoluta per ogni azienda. Con l’aumento degli attacchi informatici e le crescenti minacce alla sicurezza dei dati, l’Unione Europea ha introdotto una nuova direttiva, la NIS2 (Network and Information Security Directive), che impone standard più elevati per proteggere le infrastrutture critiche. Ma cos’è esattamente la NIS2 e come può la tua azienda essere pronta? Vediamolo insieme.

Cos’è la NIS2?

La NIS2 è un aggiornamento di dicembre 2022 della direttiva NIS originale (introdotta nel 2016) e mira a rafforzare ulteriormente la sicurezza informatica in Europa. La direttiva NIS2 si applica a un numero più ampio di settori rispetto alla versione precedente, e impone nuove regole per proteggere non solo le infrastrutture critiche come energia, trasporti e finanza, ma anche le aziende private che operano in settori essenziali, come la sanità, la tecnologia e i servizi digitali.

L’obiettivo principale di questa direttiva è garantire che tutti i Paesi dell’UE adottino un approccio più uniforme e rigoroso alla sicurezza delle reti e dei sistemi informativi, contribuendo a prevenire interruzioni o attacchi che potrebbero avere un impatto importante su scala nazionale o internazionale.

Chi è obbligato a rispettare la direttiva NIS2?

La direttiva NIS 2 si applica alle organizzazioni presenti in uno stato membro (private e pubbliche) con più di 50 dipendenti ed un fatturato superiore ai 10 milioni di Euro. I settori interessati dalla NIS2 sono quelli considerati IMPORTANTI ed ESSENZIALI per la società e le nazioni.

Settori Essenziali per la direttiva NIS2

Sono i settori considerati critici per il funzionamento della società e l’economia, dove un’interruzione dei servizi avrebbe conseguenze significative. I settori interessati includono:

  • Energia: elettricità, gas, petrolio e teleriscaldamento
  • Trasporti: aerei, ferrovie, trasporti stradali, trasporti marittimi e vie navigabili interne
  • Banche: istituti bancari e finanziari che offrono servizi essenziali per il funzionamento economico
  • Infrastrutture del mercato finanziario: sistemi di pagamento e infrastrutture critiche per il mercato finanziario
  • Sanità: strutture ospedaliere, centri di ricerca medica e fornitori di servizi sanitari
  • Acqua potabile e acque reflue: sistemi di approvvigionamento idrico e trattamento delle acque reflue
  • Servizi digitali essenziali: gestione di data center, reti di telecomunicazioni, servizi di cloud computing
  • Produzione e distribuzione alimentare: settori legati alla produzione e distribuzione di cibo, che possono avere impatti significativi sulla salute pubblica

Settori Importanti per la direttiva NIS2

Sono settori anch’essi cruciali, anche se l’interruzione dei servizi potrebbe avere un impatto leggermente inferiore rispetto a quelli essenziali. Questi settori includono:

  • Servizi postali e corrieri: imprese che offrono servizi di spedizione e consegna
  • Produttori di prodotti chimici: aziende coinvolte nella produzione di sostanze chimiche e materiali pericolosi
  • Tecnologie dell’informazione e della comunicazione (ICT): infrastrutture cloud, piattaforme digitali e fornitori di soluzioni IT
  • Servizi di pubblica amministrazione, inclusi i servizi offerti da enti governativi locali e nazionali

Altri settori

Oltre ai settori tradizionali, la NIS2 copre anche i servizi digitali e la catena di fornitori che supportano molte delle infrastrutture essenziali:

  • Fornitori di servizi cloud, ovvero aziende che offrono servizi di archiviazione e gestione dei dati
  • Marketplace online, motori di ricerca e social media che giocano un ruolo critico nell’informazione e nella comunicazione
  • Operatori di reti di comunicazione e fornitori di servizi internet

La direttiva in Italia

Il primo ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Attuativo 138/2024 che recepisce la NIS2 in Italia, Questo significa che la direttiva è entrata pienamente in vigore in Italia dal 18 ottobre 2024.

Le aziende soggette alla normativa devono registrarsi sul portale di ACN e fornire all’agenzia i nominativi di due figure fondamentali:

  • Il punto di contatto ACN – ha una funzione più istituzionale/compliance
  • Il referente CSIRT – ha una funzione più tecnica/operativa legata agli incidenti

Ogni anno, la data del 28 febbraio sancisce la scadenza normativa entro cui le Organizzazioni di nuova fondazione soggette alla NIS2 devono registrarsi al portale.
La mancata registrazione può comportare l’apertura di procedimento ispettivo da parte di ACN e l’attivazione del potere sanzionatorio da parte dell’Agenzia.

Le sanzioni sono piuttosto corpose e dipendono dalla realtà coinvolta:

  • fino a 10 milioni di euro oppure fino al 2% del fatturato annuo mondiale per i soggetti essenziali
  • fino a 7 milioni di euro oppure fino all’1,4% del fatturato annuo mondiale per i soggetti importanti

A partire dal 2026 diventa effettivo l’obbligo di notifica degli incidenti tramite il portale ACN e diventa pertanto fondamentale che le Organizzazioni dispongano delle procedure e delle figure idonee a rispondere all’iter di segnalazione:

  • Pre-notifica entro 24 ore dal momento in cui si viene a conoscenza dell’evento
  • Notifica dettagliata entro 72 ore
  • Relazione finale entro 1 mese

L’obbligo di segnalazione ricade sull’organizzazione interessata che spesso agisce tramite la figura tecnica del CSIRT.

Cosa significa per la tua Azienda?

Se la tua azienda rientra in uno dei settori regolati dalla NIS2, sarà soggetta a requisiti di conformità più stringenti in termini di protezione dei dati, resilienza delle reti e sistemi IT. Ecco cosa comporta in pratica:

  1. Gestione dei rischi e della sicurezza IT: Dovrai implementare misure di sicurezza più avanzate, capaci di identificare, gestire e mitigare i rischi informatici.
  2. Gestione degli incidenti di sicurezza: La tua azienda dovrà avere procedure chiare per rispondere rapidamente a eventuali attacchi informatici, minimizzando i danni e garantendo la continuità operativa.
  3. Notifica degli incidenti: In caso di violazione, sarà obbligatorio segnalare gli incidenti alle autorità competenti entro un tempo prestabilito, riducendo i ritardi nella risposta.
  4. Collaborazione con le autorità: Saranno necessarie una comunicazione e una cooperazione continue con le autorità nazionali per garantire la trasparenza e la gestione proattiva delle minacce.

Come possiamo aiutarti a rispettare la NIS2

Adeguarsi alla direttiva NIS2 in autonomia può essere complesso, soprattutto se non si conosce bene la direttiva e se manca una struttura organizzativa rodata che possa analizzare in tempi rapidi lo stato di sicurezza di una rete per poi definire e implementare le opportune misure di sicurezza.
Il GAP è facilmente colmabile delegando l’attività a figure specializzate del settore che possiedono già le competenze e le procedure collaudate per affrontare l’adeguamento con rapidità, efficacia e sicurezza.

Ecco come possiamo aiutarti:

  • Valutazione del rischio: effettueremo un’analisi dettagliata delle tue reti e sistemi IT per identificare le vulnerabilità e valutare il livello di rischio.
  • Implementazione di misure di sicurezza: ti aiuteremo a implementare strumenti avanzati di monitoraggio e protezione, inclusi sistemi di rilevamento delle intrusioni, firewall intelligenti e crittografia dei dati.
  • Piani di gestione degli incidenti: creeremo per te piani personalizzati per gestire incidenti di sicurezza in modo rapido ed efficace.
  • Formazione del personale: organizzeremo sessioni di formazione per sensibilizzare i tuoi dipendenti su come riconoscere e prevenire minacce informatiche.
  • Valutazione della rete di fornitori: analizzeremo le forniture che possono rivestire un ruolo prioritario nella sicurezza delle rete e ti supporteremo nel valutare le solidità dei contratti in essere.
  • Monitoraggio continuo: forniamo soluzioni di assistenza e monitoraggio in tempo reale per prevenire e mitigare qualsiasi rischio di sicurezza.
  • Assunzione nomina CSIRT + supporto nella gestione degli incidenti: possiamo assumere il ruolo di CSIRT e fornire supporto nella gestione dell’emergenza e nel ripristino dei sistemi.

Preparati oggi, proteggi il futuro

Anche se non rientri nei settori ritenuti essenziali e importanti dalla direttiva, è fondamentale che la tua azienda si prepari a rispettare queste nuove normative. Non si tratta solo di conformità legale, ma di proteggere il cuore del tuo business: la sicurezza dei dati, la continuità operativa e la fiducia dei tuoi clienti.

Puoi contattarci oggi stesso per avere maggiori informazioni e una consulenza personalizzata per la tua organizzazione.

La sicurezza informatica non è solo una necessità, è una responsabilità che condividiamo con te.

Articoli correlati

  • AKA Informa

La direttiva NIS2

La direttivaNIS2 impone standard elevati per proteggere le infrastrutture critiche. Alcuni settori hanno l'obbligo di adeguamento ma la prospettiva è che tutte le aziende debbano evolvere in questa direzione.
Leggi articolo
  • AKA Informa, Servizi IT e Reti

Come implementare e mantenere una rete IT

Da dove si parte per costruire una rete IT? Quali sono i passi fondamentali? Quali i costi? Come possiamo mantenerla sicura? Ecco quali sono i passi
Leggi articolo
  • AKA Informa, Software

Software custom: l’importanza di ridisegnare i processi

Nella gestione e nello sviluppo di progetti IT e software custom, viene spesso trascurata una fase che in realtà è fondamentale. Ecco quale.
Leggi articolo
  • AKA Informa

Tecnologia inclusiva: il futuro della sanità è per tutti

Investire in tecnologia inclusiva significa promuovere equità e dignità nel mondo sanitario. L'inclusività è un valore e una necessità.
Leggi articolo
  • AKA Informa

L’amministratore di sistema

L'amministratore di sistema è una figura fondamentale nell'ambito normativo della protezione dei dati. Ecco chi è e quali competenze deve avere
Leggi articolo
  • AKA Informa, Case, Servizi IT e Reti

Rete IT di una Congregazione religiosa

Avete mai pensato di associare il concetto di servizi e reti IT alla vocazione religiosa? Le Congregazioni religiose sono oggi vere e proprie aziende che necessitano di una rete di fornitori fidata, soprattutto lato IT
Leggi articolo

life is
a whole
project

info@aka42.it

031 562 1612

p.iva 10811480960 | Privacy & Cookies Policy | Informativa Interessati 

Concept & Design by Unit