NIS2

Tutto quello che bisogna sapere

La NIS2 è sicuramente oggetto di grande attenzione in questi giorni. La nuova direttiva è stata citata in numerosi studi, articoli e discussioni. Vi state chiedendo cosa fare e come scoprire in modo semplice e veloce cosa è importante dal punto di vista informatico? Qui troverete tutto ciò che vi serve per pianificare e implementare le nuove normative nella vostra organizzazione.

Scopri di più

Che cos'è la NIS2?

La direttiva NIS2 (Network and Information Systems Directive 2) è la normativa a livello europeo che stabilisce gli standard generali per la sicurezza informatica. La direttiva riguarda istituzioni e aziende che sono essenziali per il funzionamento della nostra società.

La NIS2 è un aggiornamento della direttiva NIS del 2016. La direttiva è stata emanata in risposta ai cambiamenti del panorama digitale e agli attacchi informatici sempre più sofisticati.

Tutti i Paesi dell'Unione Europea devono recepire la nuova direttiva nel proprio ordinamento nazionale e l'interpretazione della legge deve essere pubblicata in ogni Stato membro entro ottobre 2024.

La NIS2 stabilisce nuove regole di sicurezza per i fornitori di servizi essenziali in settori chiave. Le disposizioni della NIS2 riguardano sia le istituzioni pubbliche che le aziende private. Tra i settori di attività vi sono l'energia, le banche e la sanità.

Quali sono le principali modifiche incluse nel NIS2?

La NIS2 amplia il campo di applicazione delle entità e copre più settori dell'economia.
La direttiva impone nuovi obblighi agli enti, quali:
- implementazione di soluzioni di analisi e gestione dei rischi,
- introduzione di una politica di sicurezza dei sistemi,
- messa in sicurezza delle catene di fornitura,
- sviluppo di un piano di continuità operativa.

La direttiva NIS2 inasprisce i requisiti di segnalazione degli incidenti e aumenta le sanzioni in caso di non conformità.
Essa attribuisce la responsabilità a coloro che occupano posizioni di comando, in modo che anche i dirigenti siano responsabili del mancato rispetto delle linee guida NIS2.
La NIS2 elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, distinguendo invece tra entità critiche e importanti.
La nuova direttiva prende in considerazione le aziende di medie e grandi dimensioni in settori selezionati e può riguardare anche le entità che sono subappaltatori o fornitori di queste aziende.

Chi si deve adeguare alla NIS2?

Le previsioni indicano che la NIS2 coprirà alcune decine di migliaia di organizzazioni in più rispetto al suo predecessore. La nuova direttiva amplia il catalogo includendo le seguenti entità, classificate come medie e grandi imprese.

Settori interessati essenziali

Energia

Transporti

Infrastrutture del mercato finanziario

Salute

Acqua potabile

Acque reflue

Infrastrutture digitali

Gestione dei servizi ICT (business-to-business)

Spazio

Settori interessati importanti

Servizi postali e di corriere

Gestione dei rifiuti

Fornitori di servizi digitaliproviders

Ricerca

È importante notare che la NIS2 rende obbligatorie le valutazioni del rischio per tutti i fornitori diretti e i subappaltatori.

La NIS2 impone anche obblighi relativi al monitoraggio e alla verifica della sicurezza della catena di fornitura. Questa categoria comprende:

il processo di rilevamento e risposta agli incidenti di sicurezza e le tecnologie di supporto,
penetration-test ciclici e audit di sicurezza,
la gestione delle vulnerabilità,
controllo della sicurezza del processo di sviluppo del software del fornitore,
analisi del rischio del fornitore

Pertanto, un'azienda che non rientra direttamente nel campo di applicazione della NIS2, ma che fornisce servizi a un'organizzazione che vi rientra, può comunque essere tenuta a rispettare la direttiva.

Tempistiche di preparazione

Ciascun Paese membro dell'UE adotta e pubblica le misure necessarie per conformarsi alla presente direttiva entro il 17 ottobre 2024. Essi dovranno applicare tali misure a partire dal 18 ottobre 2024.

Tuttavia, tutti i regolamenti devono basarsi sulle disposizioni generali della Direttiva NIS2 e raggiungerne gli obiettivi e i requisiti.

I Paesi dell'UE hanno un certo margine di manovra nell'interpretazione delle disposizioni: le proposte di alcuni Paesi includono una modifica dell'importo delle sanzioni o addirittura una modifica dei soggetti interessati.

Quali sanzioni sono previste in caso di non conformità alla NIS2?

La NIS2 contiene anche le sanzioni che saranno imposte alle entità che non si conformano alla direttiva.

La direttiva menziona le pesanti sanzioni finanziarie che possono essere imposte non solo alle organizzazioni, ma anche ai dirigenti.

Settori interessati essenziali:

La sanzione massima può essere pari a 7 milioni di euro o all'1,4% del fatturato mondiale totale annuo della società dell'esercizio precedente, se superiore.

Settori importanti:

La sanzione massima può essere pari a 7 milioni di euro o all'1,4% del fatturato mondiale totale annuo della società dell'esercizio precedente, se superiore.

Come prepararsi alla NIS2?

Scoprite uno strumento che affronta molte delle sfide principali della nuova direttiva: il software di gestione IT Axence nVision^®. Scoprite come possiamo aiutarvi a prepararvi per le nuove normative e scoprite le aree in cui siamo lieti di aiutarvi.

Scarica l’e-book

Scaricate un whitepaper speciale sulla NIS2. Scoprite come prepararvi alla nuova direttiva. Scoprite quali sono le misure che la vostra azienda deve adottare per essere conforme alla NIS2.