tutti gli articoli
tempo lettura: 4 minuti
Sicurezza informatica
24 dicembre 2024

Guida semplice alla NIS2: più sicurezza informatica per la tua azienda

Sommario

    L’Europa alza il livello della cyber sicurezza per rispondere all’aumento delle minacce informatiche. La NIS2 è lo strumento essenziale per aumentare le difese in azienda.

    Entra nel vivo il percorso della NIS2, la nuova direttiva europea sulla sicurezza delle reti e delle informazioni (Direttiva UE 2022/2555) che offre un quadro normativo chiaro e dettagliato per proteggere la tua azienda dalle minacce informatiche.

    La direttiva è in vigore dal 17 ottobre 2024 ma nel 2025 vede molte scadenze importanti per le aziende. Rispettarle permette di evitare sanzioni, ma soprattutto offre un’opportunità per rafforzare la cybersecurity aziendale e rafforzare il rapporto di fiducia con i propri Clienti.

    Ma a chi si applica la direttiva e come ci si prepara per essere conformi? In questa guida troverai tutte le informazioni utili sulla NIS2, per comprendere meglio la direttiva e sapere come muoverti per rispettare tutte le tappe in calendario.

    Cos’è la NIS2?

    In un mondo sempre più interconnesso, crescono le minacce informatiche. Per far fronte a questo scenario in continua evoluzione, l’Unione Europea ha introdotto la direttiva NIS2, un provvedimento che mira a elevare i livelli di sicurezza cibernetica all’interno dei suoi Stati membri.

    La NIS2, successore della direttiva NIS, impone a un ampio spettro di organizzazioni di adottare misure di sicurezza informatica più rigorose. L’obiettivo è creare un quadro normativo comune e coerente che consenta di prevenire, rilevare e rispondere in modo efficace agli attacchi cibernetici.

    Quali sono le principali novità introdotte dalla NIS2?

    Rispetto alla precedente direttiva NIS, la direttiva NIS2:

    • elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali ed introduce nuove categorie basate sull’importanza del servizio offerto
    • estende gli obblighi di cybersecurity ad un maggior numero di settori critici, come cloud computing, data center e servizi sanitari
    • prevede misure di sicurezza più dettagliate e l’obbligo di segnalare tempestivamente incidenti significativi.

    Chi è tenuto ad applicare la NIS2

    La Direttiva NIS2 amplia notevolmente la platea di soggetti tenuti a conformarsi rispetto alla precedente normativa. Non si limita più a un numero ristretto di settori critici, ma estende l’ambito di applicazione a nuovi settori e sottosettori economici, rendendo obbligatoria l’adozione di misure di cybersecurity per un numero maggiore di aziende e organizzazioni.

    Inoltre, la NIS2 introduce criteri dimensionali che coinvolgono anche imprese di dimensioni medio-grandi, non solo quelle di grandi dimensioni. Questo significa che un numero ancora più elevato di aziende dovrà adeguarsi ai nuovi standard di sicurezza informatica.

    Infine, un’altra novità significativa è il coinvolgimento della pubblica amministrazione. Anche gli enti pubblici, a vari livelli, sono chiamati a rispettare i requisiti della NIS2, garantendo così un livello di sicurezza informatica più elevato anche nei servizi pubblici.

    Settori e dimensioni: chi rientra nell’ambito della NIS2?

    Per rientrare nel campo di applicazione della direttiva NIS2, un’organizzazione deve soddisfare tre requisiti fondamentali:

    Settore merceologico

    Devono applicare la norma le imprese che operano nei settori ad alta criticità, indicati nell’Allegato I, ovvero:

    • energia
    • trasporti
    • settore bancario
    • infrastrutture dei mercati finanziari
    • settore sanitario
    • acqua potabile
    • acque reflue
    • infrastrutture digitali
    • gestione dei servizi TLC
    • spazio

    Negli altri settori critici, indicati nell’Allegato II, ossia:

    • servizi postali e di corriere
    • gestione dei rifiuti
    • fabbricazione, produzione e distribuzione di sostanze chimiche
    • produzione, trasformazione e distribuzione di alimenti
    • fabbricazione (dispositivi medici, PC, apparecchiature elettriche, autoveicoli, ecc.)
    • fornitori di servizi digitali
    • ricerca

    Dimensioni dell’organizzazione

    La normativa NIS2 si applica alle imprese di medie dimensioni e a quelle di dimensioni maggiori. In altre parole, la direttiva riguarda tutte le imprese che hanno minimo 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro. Le organizzazioni più piccole in genere sono escluse, salvo alcune eccezioni.

    Territorialità

    La direttiva NIS2 si applica ai soggetti pubblici o privati che prestano i loro servizi o svolgono le loro attività all’interno dell’UE.

    Quali sono i soggetti esclusi

    La Direttiva NIS2 non si applica:

    • agli enti della PA che operano in settori decisivi come la sicurezza nazionale, la pubblica sicurezza, la difesa, le attività legate al contrasto, alla prevenzione, alle indagini, all’accertamento e al perseguimento dei reati. L’esenzione si estende anche a coloro che forniscono servizi esclusivamente a questi enti pubblici (Articolo 2, paragrafo 8);
    • ai soggetti esentati a norma dell’art.2, paragrafo 4, del Regolamento DORA, focalizzato sulla resilienza del settore finanziario.

    Come prepararsi alla conformità NIS2

    Per adeguarsi alla normativa NIS2, le organizzazioni devono intraprendere un percorso strutturato.

    Il primo passo è una valutazione approfondita della propria postura di sicurezza, analizzando i sistemi IT, i controlli esistenti e identificando le aree di miglioramento. Successivamente, è fondamentale sviluppare un piano d’azione dettagliato che includa la prioritizzazione delle attività e l’assegnazione delle risorse necessarie.

    Il calendario 2025 della NIS2

    L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilasciato un calendario con le scadenze che riguardano la NIS2 nel 2025.
    Ecco le principali tappe da rispettare per ACN e per i soggetti interessati:

    17 gennaio 2025
    Registrazione sulla piattaforma ACN per fornitori di servizi critici come cloud computing, data center, sicurezza gestita, mercati online, motori di ricerca e social network.

    28 febbraio 2025
    Registrazione sulla piattaforma ACN per tutti gli altri soggetti inclusi nel decreto.

    Entro metà aprile 2025
    Creazione, da parte dell’autorità competente per il NIS, dell’elenco dei soggetti NIS e adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.

    Entro metà maggio 2025
    Trasmissione e aggiornamento delle informazioni dei soggetti NIS, con aggiornamenti tempestivi (max 14 giorni)

    Entro gennaio 2026
    Adempimento degli obblighi di base in materia di notifica di incidente (entro 9 mesi dalla notifica di inclusione).

    Entro ottobre 2026
    Adempimento agli obblighi di base in materia di sicurezza informatica (entro 18 mesi dalla notifica di inclusione).

    Sanzioni per il mancato rispetto della NIS2

    Le sanzioni previste dalla normativa NIS2 sono severe.
    Le autorità competenti possono imporre multe significative, proporzionate alla gravità dell’infrazione e alla dimensione dell’azienda. Le sanzioni possono arrivare fino al 2% del fatturato globale annuo dell’azienda, oppure fino a 10 milioni di euro, a seconda di quale importo sia superiore.

    La normativa NIS2 prevede sanzioni anche per le persone fisiche in posizioni dirigenziali che possono essere ritenute responsabili in caso di violazioni.

    Perché la NIS2 non è solo un obbligo normativo

    La Direttiva NIS2 rappresenta un passo fondamentale verso una maggiore sicurezza cibernetica in Europa. Le organizzazioni che aderiscono ai suoi principi non solo si conformano a un obbligo legale, ma dimostrano anche un impegno concreto verso la protezione dei propri asset digitali e la costruzione di un futuro digitale più sicuro.

    Un elevato livello di sicurezza cibernetica consolida la fiducia dei consumatori e conferisce un vantaggio competitivo, in quanto assicura ai Clienti e ai Partner la protezione dei loro dati e delle loro attività.

    Cloud computing, cyber security, servizi in cloud

    Iscriviti alla Newsletter

    Inserisci i tuoi dati per rimanere aggiornato
    Informativa sulla privacy

    Le informazioni fornite saranno trattate per le finalità di cui al numero 6 dell'informativa sulla privacy.

    Potrebbero interessarti anche

    Cloud
    13 dicembre 2024

    Le tecnologie emergenti del 2025 che trasformeranno le imprese

     Leggi di più
    Sicurezza informatica
    22 novembre 2024

    Reti VPN, una protezione fondamentale per le aziende e i loro Clienti

     Leggi di più
    Sicurezza informatica
    8 novembre 2024

    L’AI minaccia la sicurezza informatica: 5 consigli degli esperti per proteggersi

     Leggi di più
    Cloud
    31 ottobre 2024

    Cos’è il Multicloud e perché è importante per le aziende

     Leggi di più
    Sicurezza informatica
    31 luglio 2024

    Cybersecurity: come proteggere la tua azienda con l’autenticazione a due fattori

     Leggi di più
    Smart Working
    5 luglio 2024

    Cosa serve per lo smart working nel 2024: AI e Cloud guidano il cambiamento

     Leggi di più
    ISCRIVITI ALLA NEWSLETTER