Sei un candidato?Sei un'azienda?
About
Sei qui:
HomeConsulenza aziendalePrivacyDirettiva NIS 2
Aziende

Direttiva NIS 2

Dal 17 Ottobre 2024, la NIS 2 amplia la sua portata applicativa a nuovi settori, stabilisce requisiti di sicurezza più stringenti e introduce obblighi di segnalazione per gli incidenti di sicurezza.

Governo rischi cybersecurity
Formazione figure responsabili
Hai tempo fino al 28 FEBBRAIO 2025 per REGISTRARTI SULLA PIATTAFORMA ACN
videosorveglianza

La Direttiva (UE) 2022/2555, nota come "Direttiva NIS 2", pubblicata a dicembre nella Gazzetta Ufficiale dell'Unione Europea, è effettiva in tutta l’Unione Europea.

La Direttiva NIS 2, pur mantenendo gran parte degli obiettivi originari, introduce misure più stringenti e specifiche per la gestione del rischio informatico, la segnalazione e la condivisione di informazioni sugli incidenti di sicurezza, ampliando il numero di settori e soggetti coinvolti rispetto alla precedente Direttiva NIS.

I soggetti pubblici e privati coinvolti dovranno prepararsi e adeguare le proprie organizzazioni e processi ai nuovi obblighi di sicurezza.

Indice
01
Nuovi Soggetti Coinvolti
02
Ambiti di Applicazione
03
Principali Adempimenti
04
Vigilanza e Sanzioni
05
Il Nostro Approccio

Contattaci per avere maggiori informazioni sulla Direttiva

ContattiChi siamo
1

Nuovi Soggetti Coinvolti

I Soggetti coinvolti sono gli operatori privati che operano nei sette settori "essenziali" per l'Unione Europea:

  • Energia
  • Trasporti
  • Banche
  • Infrastrutture dei mercati finanziari
  • Acqua potabile
  • Sanità
  • Infrastrutture digitali

A questi si aggiungono:

  • Fornitori di servizi digitali (settori dell'e-commerce, dei motori di ricerca e del cloud computing)
  • Acque reflue
  • Gestione dei servizi ICT (business-to-business)
  • Pubblica Amministrazione
  • Spazio

La nuova direttiva introduce criteri uniformi per una più coerente e organica identificazione degli operatori pubblici e privati, suddividendoli in due nuove categorie:

SOGGETTI ESSENZIALI

  • Energia
  • Acqua Potabile e Reflue
  • Trasporti
  • Infrastrutture Digitali e dei Mercati Finanziari
  • Settore Sanitario e Bancario
  • Pubblica Amministrazione
  • Gestione dei Servizi TCL
  • Spazio

SOGGETTI IMPORTANTI

  • Fornitori di Servizi Digitali
  • Servizi Postali e Corrieri
  • Gestione dei Rifiuti
  • Ricerca
  • Produzione, Trasformazione e Distribuzione di Alimenti
  • Fabbricazione, Produzione e Distribuzione di Sostanze Chimiche
  • Fabbricazione (dispositivi medici, computer e prodotti di elettronica e ottica, apparecchiature elettriche, macchinari autoveicoli, rimorchi, mezzi di trasporto)
Dai un'occhiata al dettaglio approfondito degli ambiti di applicazione
2

A chi si applica la Direttiva NIS2?

Il legislatore della Direttiva NIS 2 ha scelto di adottare il criterio della dimensione per determinare se un soggetto debba essere considerato essenziale o importante. La Direttiva NIS 2 si applica a tutti i soggetti, pubblici e privati, che rispettino i seguenti criteri:

DIMENSIONE

  • Medie imprese ed oltre​
  • Micro e piccole imprese in determinati casi​

SETTORE MERCEOLOGICO

Società operanti nei settori di cui all’allegato I e II della direttiva​: ENERGIA, E-COMMERCE, CORRIERI, PIATTAFORME ONLINE, CHIMICA, ELETTRONICA, SERVIZI DIGITALI, DISPOSITIVI MEDICI.

TERRITORIALITÀ

Società che prestano i loro servizi o svolgono le proprie attività in UE​

3

Principali Adempimenti della Direttiva NIS 2

La Direttiva NIS 2 impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi legati alla sicurezza dei sistemi informatici e delle reti utilizzati nelle loro attività o nella fornitura dei servizi. Tali misure sono finalizzate a prevenire o minimizzare l'impatto degli incidenti sui destinatari dei servizi e su altri servizi interconnessi. La direttiva adotta un approccio "multirischio", che richiede l'integrazione di elementi chiave:

Governance

Il management sarà responsabile delle misure e delle politiche adottate al fine di:

  • Accountability dell’organo di gestione​;
  • Formazione dei membri dell’organo di gestione​;
  • Formazione ai dipendenti​.

Gestione Rischi di Cyber Sicurezza​

Le aziende dovranno adottare adeguate misure:

  • Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cyber-sicurezza;
  • Pratiche di igiene informatica di base e formazione in materia di cyber-sicurezza;
  • Politiche e procedure relative all'uso della crittografia e, se applicabile, della cifratura;
  • Sicurezza delle risorse umane, strategie di controllo degli accessi e gestione degli attivi;
  • Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità;
  • Utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni protette (vocali, video e testuali) e di sistemi di comunicazione di emergenza protetti all'interno dell'organizzazione, se del caso.

Gestione degli Incidenti

Le società saranno tenute a notificare gli incidenti di sicurezza al CSIRT ITALIA (team di risposta degli incidenti di cyber sicurezza presso ACN).

Per determinare quando un incidente debba essere considerato significativo, bisogna valutare se:

  1. abbia causato o possa causare una grave interruzione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. se si sia ripercosso o possa ripercuotersi su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli.

In questo contesto, i soggetti coinvolti in qualsiasi "incidente significativo" devono seguire un iter di notifica alle autorità competenti, articolato in più fasi:

- NOTIFICA DELL'INCIDENTE

I soggetti essenziali o importanti dovrebbero presentare, al proprio CSIRT o alla propria autorità competente, un preallarme entro 24 ore dalla conoscenza dell’incidente che ha un impatto significativo sulla fornitura dei loro servizi. I soggetti interessati dovrebbero presentare notifica dell’incidente entro 72 ore dalla conoscenza di tale incidente.

- TRASMISSIONE RELAZIONE INTERMEDIA

I soggetti interessati trasmettono a CSIRT o all’autorità competente una relazione intermedia sugli aggiornamenti della situazione richiesta di questi ultimi.

- TRASMISSIONE RELAZIONE FINALE

Alla notifica iniziale segue una relazione finale entro un mese dalla notifica, con una descrizione dettagliata dell’incidente, della sua gravità e dell’impatto, il tipo di minaccia o la causa che ha innescato l’incidente e le misure di attenuazione adottate e in corso di adozione.

Sicurezza della Supply-Chain

Sicurezza della catena di approvvigionamento, Inclusi gli aspetti di sicurezza legati ai rapporti con fornitori diretti o fornitori di servizi.

Continuità Operativa

  • Business Impact Analysis, che valuti in particolare l’impatto sui processi operativi dell’indisponibilità di parte o di tutto il sistema informativo aziendale
  • Gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi;

Di particolare importanza è anche la disposizione che invita gli Stati membri a prevedere che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di governance dei rischi precedentemente menzionate e ne supervisionino l'attuazione. Gli stessi organi di gestione potrebbero essere ritenuti responsabili in caso di violazione di tale obbligo, qualora ciò venga previsto nella fase di recepimento della direttiva.

4

Vigilanza e Sanzioni

Di particolare rilievo sono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti, in misura diversa, i soggetti essenziali e importanti. Queste misure includono audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ispezioni in loco, vigilanza e richieste di informazioni (per i soggetti importanti, solo ex post).

Vigilanza Soggetti Essenziali​

  • Ispezioni in loco​
  • Audit sulla sicurezza​
  • Audit ad hoc​
  • Scansioni di sicurezza
  • Richieste di informazioni necessarie a valutare le misure di gestione dei rischi adottate
  • Richieste di accesso a dati, documenti​
  • Richieste di dati che dimostrino, l’attuazione di politiche di cyber sicurezza

Vigilanza Soggetti Importanti

  • Ispezioni in loco e vigilanza ex post​
  • Audit sulla sicurezza​
  • Scansioni di sicurezza​
  • Richieste di qualsiasi informazione necessaria​
  • Richieste di accesso a dati, documenti​
  • Richieste di dati che dimostrino, l’attuazione di politiche di cyber sicurezza

La Direttiva NIS 2 prevede diverse sanzioni per le aziende che non rispettano gli obblighi di sicurezza informatica. Queste sanzioni variano a seconda del tipo di operatore (essenziale o importante) e della gravità della non conformità:

  • Fino a 7 milioni di euro o al 1.4% del fatturato per i soggetti importanti
  • Fino a 10 milioni di euro o al 2% del fatturato per i soggetti essenziali

5

Il Nostro Supporto

1 - ANALISI DEL CONTESTO

Offriamo un'analisi del contesto al fine di circoscrivere il perimetro di applicabilità

2 - GOVERNANCE

Offriamo una verifica dell’attuale livello di conformità:

  • Governo dei rischi di cybersecurity e flussi di reporting e comunicazione​
  • Gestione dei fornitori (anche non IT)​
  • Valutazioni di impatto sui processi operativi aziendali derivanti da incidenti cyber sia dell’azienda che dei fornitori, nell’ottica della continuità operativa

3 - IDENTIFICAZIONE DEI GAP

Offriamo assistenza nell’identificare i gap e pianificare le azioni di adeguamento necessarie​.

4 - FORMAZIONE

Offriamo informazioni alla direzione e le figure responsabili della gestione degli adempimenti​.

Scarica la Brochure

Vorresti saperne di più sulla Direttiva NIS 2?

Noi possiamo aiutarti!

Compila il modulo e ti risponderemo al più presto!

Chiamaci
0425 485621

Ai sensi e per gli effetti degli art. 12, 13 del Reg. UE 2016/679 – GDPR, cliccando su “Invia”, dichiaro di aver preso visione dell'informativa sulla privacy per il trattamento dei dati personali.

icon e-cons

Fantastico!
Grazie per aver completato il nostro modulo!

La tua richiesta è stata inviata con successo, il nostro team ti ricontatterà a breve.
In tanto puoi scoprire altre opportunità per te o per la tua azienda.
AgevolazioniFinanziamenti
Corsi per disoccupati
Ops! Qualcosa è andato storto durante l'invio del modulo.

Società di consulenza aziendale ed ente di formazione accreditato dalla Regione del Veneto.

Via del lavoro 4, 35040 Boara Pisani (PD)
0425485621
info@e-cons.it
Lavoro
Assegno lavoro
Sportello lavoro
Reinserimento lavorativo
Agenzia per il lavoro
Disponibilità tirocinanti
Formazione
Corsi per disoccupati
Formazione
e-learning
Company
Chi siamo
Certificazioni
FSE progetti approvati
Contatti
Il nostro staff
logo accreditamento Regione Veneto
Formazione continua
Formazione superiore
Servizi al lavoro
Agenzia del lavoro
logo consorzio EPIC
e-cons aderisce
Consulenza privacy
Servizio DPO
Audit
GPS
Videosorveglianza
Amministratore di sistema

Copyright ©2022 e-cons.it

Facebook e-consLinkedIn e-consInstagram e-cons

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.