Sei un candidato?Sei un'azienda?
About
Sei qui:
HomeConsulenza aziendalePrivacyDirettiva NIS 2
Aziende

Direttiva NIS 2

Dal 17 Ottobre 2024, la NIS 2 amplia la sua portata applicativa a nuovi settori, stabilisce requisiti di sicurezza più stringenti e introduce obblighi di segnalazione per gli incidenti di sicurezza.

Governo rischi cybersecurity
Formazione figure responsabili
videosorveglianza

La Direttiva (UE) 2022/2555, nota come "Direttiva NIS 2", pubblicata a dicembre nella Gazzetta Ufficiale dell'Unione Europea, è entrata in vigore il 17 gennaio 2023 e sarà effettiva in tutta l’Unione Europea dal 17 Ottobre 2024.

La Direttiva NIS 2, pur mantenendo gran parte degli obiettivi originari, introduce misure più stringenti e specifiche per la gestione del rischio informatico, la segnalazione e la condivisione di informazioni sugli incidenti di sicurezza, ampliando il numero di settori e soggetti coinvolti rispetto alla precedente Direttiva NIS.

I soggetti pubblici e privati coinvolti dovranno prepararsi e adeguare le proprie organizzazioni e processi ai nuovi obblighi di sicurezza.

Indice
01
Nuovi Soggetti Coinvolti
02
Ambiti di Applicazione
03
Principali Adempimenti
04
Vigilanza e Sanzioni
05
Il Nostro Approccio

Contattaci per avere maggiori informazioni sulla Direttiva

ContattiChi siamo
1

Nuovi Soggetti Coinvolti

I Soggetti coinvolti sono gli operatori privati che operano nei sette settori "essenziali" per l'Unione Europea:

  • Energia
  • Trasporti
  • Banche
  • Infrastrutture dei mercati finanziari
  • Acqua potabile
  • Sanità
  • Infrastrutture digitali

A questi si aggiungono:

  • Fornitori di servizi digitali (settori dell'e-commerce, dei motori di ricerca e del cloud computing)
  • Acque reflue
  • Gestione dei servizi ICT (business-to-business)
  • Pubblica Amministrazione
  • Spazio

La nuova direttiva introduce criteri uniformi per una più coerente e organica identificazione degli operatori pubblici e privati, suddividendoli in due nuove categorie:

SOGGETTI ESSENZIALI

  • Energia
  • Acqua Potabile e Reflue
  • Trasporti
  • Infrastrutture Digitali e dei Mercati Finanziari
  • Settore Sanitario e Bancario
  • Pubblica Amministrazione
  • Gestione dei Servizi TCL
  • Spazio

SOGGETTI IMPORTANTI

  • Fornitori di Servizi Digitali
  • Servizi Postali e Corrieri
  • Gestione dei Rifiuti
  • Ricerca
  • Produzione, Trasformazione e Distribuzione di Alimenti
  • Fabbricazione, Produzione e Distribuzione di Sostanze Chimiche
  • Fabbricazione (dispositivi medici, computer e prodotti di elettronica e ottica, apparecchiature elettriche, macchinari autoveicoli, rimorchi, mezzi di trasporto)
2

A chi si applica la Direttiva NIS2?

Il legislatore della Direttiva NIS 2 ha scelto di adottare il criterio della dimensione per determinare se un soggetto debba essere considerato essenziale o importante. La Direttiva NIS 2 si applica a tutti i soggetti, pubblici e privati, che rispettino i seguenti criteri:

DIMENSIONE

  • Medie imprese ed oltre​
  • Micro e piccole imprese in determinati casi​

SETTORE MERCEOLOGICO

Società operanti nei settori di cui all’allegato I e II della direttiva​: ENERGIA, E-COMMERCE, CORRIERI, PIATTAFORME ONLINE, CHIMICA, ELETTRONICA, SERVIZI DIGITALI, DISPOSITIVI MEDICI.

TERRITORIALITÀ

Società che prestano i loro servizi o svolgono le proprie attività in UE​

3

Principali Adempimenti della Direttiva NIS 2

La Direttiva NIS 2 impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi legati alla sicurezza dei sistemi informatici e delle reti utilizzati nelle loro attività o nella fornitura dei servizi. Tali misure sono finalizzate a prevenire o minimizzare l'impatto degli incidenti sui destinatari dei servizi e su altri servizi interconnessi. La direttiva adotta un approccio "multirischio", che richiede l'integrazione di elementi chiave:

Governance

Il management sarà responsabile delle misure e delle politiche adottate al fine di:

  • Accountability dell’organo di gestione​;
  • Formazione dei membri dell’organo di gestione​;
  • Formazione ai dipendenti​.

Gestione Rischi di Cyber Sicurezza​

Le aziende dovranno adottare adeguate misure:

  • Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cyber-sicurezza;
  • Pratiche di igiene informatica di base e formazione in materia di cyber-sicurezza;
  • Politiche e procedure relative all'uso della crittografia e, se applicabile, della cifratura;
  • Sicurezza delle risorse umane, strategie di controllo degli accessi e gestione degli attivi;
  • Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità;
  • Utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni protette (vocali, video e testuali) e di sistemi di comunicazione di emergenza protetti all'interno dell'organizzazione, se del caso.

Gestione degli Incidenti

Le società saranno tenute a notificare gli incidenti di sicurezza al CSIRT ITALIA (team di risposta degli incidenti di cyber sicurezza presso ACN).

Per determinare quando un incidente debba essere considerato significativo, bisogna valutare se:

  1. abbia causato o possa causare una grave interruzione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. se si sia ripercosso o possa ripercuotersi su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli.

In questo contesto, i soggetti coinvolti in qualsiasi "incidente significativo" devono seguire un iter di notifica alle autorità competenti, articolato in più fasi:

- NOTIFICA DELL'INCIDENTE

I soggetti essenziali o importanti dovrebbero presentare, al proprio CSIRT o alla propria autorità competente, un preallarme entro 24 ore dalla conoscenza dell’incidente che ha un impatto significativo sulla fornitura dei loro servizi. I soggetti interessati dovrebbero presentare notifica dell’incidente entro 72 ore dalla conoscenza di tale incidente.

- TRASMISSIONE RELAZIONE INTERMEDIA

I soggetti interessati trasmettono a CSIRT o all’autorità competente una relazione intermedia sugli aggiornamenti della situazione richiesta di questi ultimi.

- TRASMISSIONE RELAZIONE FINALE

Alla notifica iniziale segue una relazione finale entro un mese dalla notifica, con una descrizione dettagliata dell’incidente, della sua gravità e dell’impatto, il tipo di minaccia o la causa che ha innescato l’incidente e le misure di attenuazione adottate e in corso di adozione.

Sicurezza della Supply-Chain

Sicurezza della catena di approvvigionamento, Inclusi gli aspetti di sicurezza legati ai rapporti con fornitori diretti o fornitori di servizi.

Continuità Operativa

  • Business Impact Analysis, che valuti in particolare l’impatto sui processi operativi dell’indisponibilità di parte o di tutto il sistema informativo aziendale
  • Gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi;

Di particolare importanza è anche la disposizione che invita gli Stati membri a prevedere che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di governance dei rischi precedentemente menzionate e ne supervisionino l'attuazione. Gli stessi organi di gestione potrebbero essere ritenuti responsabili in caso di violazione di tale obbligo, qualora ciò venga previsto nella fase di recepimento della direttiva.

4

Vigilanza e Sanzioni

Di particolare rilievo sono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti, in misura diversa, i soggetti essenziali e importanti. Queste misure includono audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ispezioni in loco, vigilanza e richieste di informazioni (per i soggetti importanti, solo ex post).

Vigilanza Soggetti Essenziali​

  • Ispezioni in loco​
  • Audit sulla sicurezza​
  • Audit ad hoc​
  • Scansioni di sicurezza
  • Richieste di informazioni necessarie a valutare le misure di gestione dei rischi adottate
  • Richieste di accesso a dati, documenti​
  • Richieste di dati che dimostrino, l’attuazione di politiche di cyber sicurezza

Vigilanza Soggetti Importanti

  • Ispezioni in loco e vigilanza ex post​
  • Audit sulla sicurezza​
  • Scansioni di sicurezza​
  • Richieste di qualsiasi informazione necessaria​
  • Richieste di accesso a dati, documenti​
  • Richieste di dati che dimostrino, l’attuazione di politiche di cyber sicurezza

La Direttiva NIS 2 prevede diverse sanzioni per le aziende che non rispettano gli obblighi di sicurezza informatica. Queste sanzioni variano a seconda del tipo di operatore (essenziale o importante) e della gravità della non conformità:

  • Fino a 7 milioni di euro o al 1.4% del fatturato per i soggetti importanti
  • Fino a 10 milioni di euro o al 2% del fatturato per i soggetti essenziali

5

Il Nostro Supporto

1 - ANALISI DEL CONTESTO

Offriamo un'analisi del contesto al fine di circoscrivere il perimetro di applicabilità

2 - GOVERNANCE

Offriamo una verifica dell’attuale livello di conformità:

  • Governo dei rischi di cybersecurity e flussi di reporting e comunicazione​
  • Gestione dei fornitori (anche non IT)​
  • Valutazioni di impatto sui processi operativi aziendali derivanti da incidenti cyber sia dell’azienda che dei fornitori, nell’ottica della continuità operativa

3 - IDENTIFICAZIONE DEI GAP

Offriamo assistenza nell’identificare i gap e pianificare le azioni di adeguamento necessarie​.

4 - FORMAZIONE

Offriamo informazioni alla direzione e le figure responsabili della gestione degli adempimenti​.

Scarica la Brochure

Vorresti saperne di più sulla Direttiva NIS 2?

Noi possiamo aiutarti!

Compila il modulo e ti risponderemo al più presto!

Chiamaci
0425 485621

Ai sensi e per gli effetti degli art. 12, 13 del Reg. UE 2016/679 – GDPR, cliccando su “Invia”, dichiaro di aver preso visione dell'informativa sulla privacy per il trattamento dei dati personali.

icon e-cons

Fantastico!
Grazie per aver completato il nostro modulo!

La tua richiesta è stata inviata con successo, il nostro team ti ricontatterà a breve.
In tanto puoi scoprire altre opportunità per te o per la tua azienda.
AgevolazioniFinanziamenti
Corsi per disoccupati
Ops! Qualcosa è andato storto durante l'invio del modulo.

Società di consulenza aziendale ed ente di formazione accreditato dalla Regione del Veneto.

Via del lavoro 4, 35040 Boara Pisani (PD)
0425485621
info@e-cons.it
Lavoro
Assegno lavoro
Sportello lavoro
Reinserimento lavorativo
Agenzia per il lavoro
Disponibilità tirocinanti
Formazione
Corsi per disoccupati
Formazione
e-learning
Company
Chi siamo
Certificazioni
FSE progetti approvati
Contatti
Il nostro staff
logo accreditamento Regione Veneto
Formazione continua
Formazione superiore
Servizi al lavoro
Agenzia del lavoro
logo consorzio EPIC
e-cons aderisce
Consulenza privacy
Servizio DPO
Audit
GPS
Videosorveglianza
Amministratore di sistema

Copyright ©2022 e-cons.it

Facebook e-consLinkedIn e-consInstagram e-cons

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.

Contattaci
Invia e-mail