Direttiva NIS2: cosa devi sapere, cosa fare ed entro quando

Martina Montanari
Business Controller
October 28, 2024
5 MIN
Security
Security
Cyber Security - Europe NIS2
Contenuti
H2 Heading
H3 Heading
H4 Heading
H5 Heading
H6 Heading
Condividi

La sicurezza informatica è una priorità crescente a livello globale, e la Direttiva NIS2 rappresenta un passo cruciale verso una maggiore protezione delle infrastrutture critiche in Europa.

In questo articolo, esploriamo cos'è la NIS2, a chi si applica, le sanzioni previste per la non conformità, e come le aziende possono intraprendere questo percorso.

Che cos'è la NIS2?

La Direttiva NIS2 (Network and Information Security Directive 2) è una normativa attuativa adottata dall'Unione Europea con l’obiettivo di migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche.

Prendendo atto delle crescenti minacce cyber, infatti, la Commissione Europea e di conseguenza gli Stati membri hanno introdotto una serie misure e obblighi più rigorosi, rispetto alla normativa precedente, in tema di gestione dei rischi e comunicazione degli incidenti.

A chi si applica la NIS2?

Spoiler: potenzialmente a moltissime realtà italiane.

La normativa NIS2, rispetto alla precedente infatti, estende l’ambito di applicazione ad una serie di settori ed entità ritenute “essenziali” o “importanti” all’interno del mercato Europeo.

La NIS2 si applica quindi ad una vasta gamma di soggetti pubblici e privati che vengono definiti rigorosamente nella norma stessa e suddivisi in:

  • Entità essenziali
    Sono le realtà che fanno parte di settori ritenuti fondamentali per il benessere sociale ed economico. Tra questi vi sono i fornitori di servizi di infrastrutture digitali, trasporti, servizi finanziari, sanità,  pubblica amministrazione e società di servizi come i fornitori di energia. Per queste entità, la NIS2 riafferma la loro importanza e aumenta i requisiti di conformità.
  • Entità importanti
    Sono una novità della NIS2 e ne fanno parte industrie come quella chimica, digital provider, alimentare, manifatturiero, servizi postali, ricerca, gestione rifiuti che dovranno adeguare e sottoporre rapidamente ad audit le proprie procedure di sicurezza informatica. Per questi soggetti, data l’ampiezza dei requisiti e le tempistiche brevi richieste, seppur minori rispetto alle entità essenziali, potrebbe rappresentare la sfida iniziale più impegnativa.
  • Supply Chain
    La NIS2 espande inoltre in modo significativo il perimetro della regolamentazione creando una rete molto più ampia che include anche gli ambiti e le organizzazioni che fanno parte della catena di fornitura dei settori definiti prima, aumentando così il numero di aziende sottoposti al controllo normativo.

Cosa significa la NIS2 per le aziende?

Come dicevamo all’inizio, per le aziende NIS2 significa implementare misure tecniche, legali e organizzative mancanti rispetto a quelle richieste dalle normative, con l’obiettivo di rafforzare la protezione della propria infrastruttura IT e delle proprie reti da danni.

In base alla propria classificazione, le aziende devono applicare determinate misure per raggiungere la compliance. Queste misure sono riconducibili a quattro aree:

  • Gestione del rischio attraverso l’implementazione di metodi di gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia;
  • Responsabilità aziendale mediante la supervisione, approvazione e ricezione delle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici da parte il management aziendale;
  • Obblighi di comunicazione con la definizione di sistemi e processi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve;
  • Continuità del business attraverso la pianificazione e il mantenimento della continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.

NIS2 e le sanzioni

La mancata conformità alla Direttiva NIS2 può comportare sanzioni significative a livello legale, finanziario, penale per le aziende coinvolte.

In base agli ambiti queste conseguenze hanno differenti pesi:

  • Le entità essenziali rischiano sanzioni amministrative fino a 10 milioni di euro o almeno il 2% del fatturato mondiale totale annuo dell’esercizio precedente dell’azienda a cui appartiene l’entità, a seconda di quale sia il valore più alto.  
  • Le entità importanti sono previste sanzioni amministrative fino a 7 milioni di euro o almeno l’1,4% del fatturato mondiale totale annuo dell’esercizio precedente, a seconda di quale sia il valore più alto.

Quali sono le tempistiche di adempimento della NIS2 in Italia?

Il percorso di adempimento alla normativa NIS2 prevede diversi passaggi e attività che ogni realtà interessata deve considerare per evitare le sanzioni.

Le prime scadenze riguardano attività di preparazione e analisi della situazione di ciascuna realtà con la conferma da parte dell’ACN della categoria di riferimento.

  1. Dal 1° dicembre 2024 al 28 febbraio 2025 le aziende devono registrarsi sulla piattaforma ACN indicando il proprio settore di attività e un punto di contatto;
  2. Entro il 31 marzo 2025 l’ACN redige l’elenco dei soggetti essenziali ed importanti e lo comunica agli stessi tramite la piattaforma;
  3. Dal 15 aprile al 31 maggio 2025 i soggetti devono comunicare e/o aggiornare l’ACN le informazioni aggiuntive per permettere i controlli.

Dalla conferma da parte dell’Autorità Nazionale Cyber Security invece i soggetti interessati devono:

  • adempiere agli obblighi in materia di notifica degli incidenti entro il 31 dicembre 2025;
  • adempiere a tutti gli altri obblighi definiti in normativa entro il 30 settembre 2026.

Una volta raggiunta la conformità poi è necessario effettuare una continua valutazione dei rischi e conformità alla normativa.

Ciò significa che non c’è tempo da perdere per comprendere la normativa ed eventualmente applicarla.

Quali sono le differenze tra NIS2, ISO 27001 e GDPR?

La direttiva NIS2 copre diversi ambiti affrontati anche nella certificazione ISO/IEC 27001 e nel regolamento GDPR. Benché questi strumenti perseguano obiettivi simili, si differenziano in applicazione e requisiti.

La NIS2 infatti, copre un ambito più ampio ma non prevede una certificazione, si tratta di un adempimento ad una conformità.

Difference NIS2 vs ISO 27001
NIS2 vs ISO 27001

Essere compliance alla NIS2 non significa essere pertanto certificati ISO/IEC 27001 ma sicuramente è un passo che facilita l’ottenere tale certificazione. Medesimo discorso vale per il GDPR.

Ciò significa che, sebbene questa normativa possa essere percepita come un peso, in verità rappresenta una grande opportunità per allineare le proprie procedure aziendali garantendo così uno standard di sicurezza per I propri clienti.

Come può aiutarti CloudFire con la NIS2?

Considerando che l’adempimento alla NIS2

  • non è un’attività delegabile completamente a soggetti esterni;
  • richiede una partecipazione attiva e attenta di diversi componenti di ciascuna realtà;
  • non è una semplice conformità sporadica e occasionale alla norma di legge ma è un programma strutturato, assistito e documentato

è necessario essere pronti per iniziare questo percorso.

CloudFire può aiutarvi in questo. Infatti grazie alla partnership con B&P Solutions & CD Design, offriamo una soluzione unificata dal punto di vista legale, operativo e di governance. Miriamo a creare all’interno dell’azienda un sistema integrato che elimini la duplicazione delle procedure ma che porti ad un’unificazione delle stesse e dei documenti aziendali in modo puntuale e in linea alle normative coinvolte.

CloudFire propone un framework in cui, a seguito di una checklist iniziale e una Gap Analysis dei soggetti interessati, le organizzazioni possono pianificare l'adeguamento alle norme richieste, minimizzando l'impatto sui loro processi operativi.

L’adempimento alla Normativa rimane un’attività complessa e delicata, per questo motivo è giusto approcciarla affidandosi ad un partner affidabile e in grado di affiancarti quotidianamente.

Se vuoi scoprire di più o iniziare questo percorso insieme contattaci!

Potrebbe interessarti anche

Cloud Awareness
CloudFire al KubeCon + CloudNativeCon 2024 - Salt Lake City
Scopri le novità più interessanti presentate al KubeCon + CloudNativeCon 2024 a Salt Lake City con CloudFire: dalle innovazioni Kubernetes, ai casi d'uso reali di AI e Ingress API Gateway.
Leggi l'articolo →
Cloud e ISO: il nostro primo passo verso la compliance Cloud
Essere certificati ISO 27001 e ISO 9001 significa impegnarsi costantemente a garantire la sicurezza dati in cloud e la qualità dei processi.
Leggi l'articolo →
Backup Agentless: il caso Storware come soluzione innovativa
Confrontiamo i due principali metodi di backup Agentless e Agent attraverso un esempio si software concreto ed innovativo come Storware.
Leggi l'articolo →
Immutable Storage: perché utilizzarlo?
Uno storage immutabile è la risposta ad attacchi ransomware, azioni malevoli o accidentali da parte di utenti autorizzati e non. Scopri di più
Leggi l'articolo →
CloudFire logo
CloudFire Srl
Via Giambattista Vico 93
42124 – Reggio Emilia
P.IVA / CF: IT02764700353
Contatti
info@cloudfire.it+39052217534
Badge UNI EN ISO 9001Badge ISO/IEC 27001
Prodotti
Openstack as a ServiceS3 Scalable Object StoragevSphere as a ServiceBare Metal as a ServiceAcronis Cyber BackupVeeam Cloud PlatformTalky Time Direct RoutingSIP Account3CXQbox emailCloud InterconnectSOC e NOCManaged Backup
Soluzioni
Backup & Disaster RecoverySecurityManaged IaaSUnified CommunicationInternal Development PlatformComposable Stack PlatformKubernetes MulticloudKubernetes Disaster Recovery
Risorse
Accedi/RegistratiBlogKnowledge BaseTech TalksHelpdeskStatus PageInformative e Politiche
Why CloudFire
Programma PartnerCortexTecnologieInfrastrutturaCompliance e SicurezzaAbout usCareersCertificazioni e QualificheContattaci
Seguici su
Informativa Privacy
|
Informativa Cookie
Copyright © {year}  CloudFire Srl