top of page
Cerca

Direttiva NIS2: Cosa prevede e come cambia la sicurezza informatica in Europa?

  • Riccardo Gianello
  • 5 mag
  • Tempo di lettura: 3 min
ree

La direttiva NIS2 (Network and Information Security 2), formalmente nota come Direttiva (UE) 2022/2555, è la nuova normativa dell'Unione Europea in materia di Cybersecurity; entrata in vigore il 16 gennaio 2023 e recepita dai singoli Stati membri entro il 17 ottobre 2024 è destinata a sostituire la precedente direttiva NIS del 2016.

Imponendo:

  • Registrazione sulla piattaforma ACN entro il 28 febbraio 2025.

  • Notifica degli incidenti: obbligatoria a partire dal 1° gennaio 2026.

  • Implementazione delle misure di sicurezza: da completare entro il 1° ottobre 2026

Con l’introduzione della NIS2 cresce lo sforzo richiesto per rafforzare la sicurezza informatica nei settori critici e per garantire una maggiore resilienza delle infrastrutture digitali in un contesto di crescente minaccia informatica.


I principali obiettivi della Direttiva NIS2 sono:

  • Ampliamento del campo di applicazione: rispetto alla NIS1, la NIS2 copre un numero molto più ampio di settori e soggetti.

  • Rafforzamento degli obblighi di sicurezza: vengono introdotti standard minimi più elevati per la gestione del rischio e la risposta agli incidenti.

  • Miglioramento della cooperazione tra Stati membri: si istituisce il "Cyber Crises Liaison Organisation Network" (EU-CyCLONe) per una risposta coordinata alle crisi informatiche su larga scala.

  • Maggiore responsabilizzazione dei vertici aziendali: i dirigenti sono direttamente responsabili della cybersecurity dell’organizzazione.


Al fine di rafforzare la sicurezza informatica e di conseguenza l’efficacia e la copertura vengono ampliati i settori coinvolti e le organizzazioni.

Le principali distinzioni che la NIS2 introduce sono due macro categorie di soggetti interessati:

Enti essenziali (Essential Entities): ovvero organizzazioni che operano in settori come:

  • Infrastrutture digitali; (DNS, IXP, TLD, TIC)

  • Energia;

  • Infrastrutture dei mercati finanziari;

  • Settore sanitario;

  • Gestione dei servizi TIC;

  • Pubblica amministrazione;

  • Spazio;

  • Trasporti;

  • Acqua potabile e acque reflue;

Enti importanti (Important Entities): includono aziende nel settore:

  • Fornitori di servizi digitali;

  • Fabbricazione;

  • Fabbricazione, produzione e distribuzione di sostanze chimiche;

  • Servizi postali e di corriere;

  • Settore sanitario;

  • Produzione, trasformazione e distribuzione di alimenti;

  • Ricerca;

  • Gestione dei rifiuti;


Obblighi Chiave:

- Gestione del rischio e misure di sicurezza

Le organizzazioni devono adottare misure tecniche e organizzative adeguate, tra cui:

·        Valutazione e gestione dei rischi informatici

·        Controlli per la sicurezza della supply chain

·        Notifica obbligatoria degli incidenti entro 24 ore

·        Piani di continuità operativa e disaster recovery


- Governance e responsabilità:

La NIS 2 introduce responsabilità specifiche (legali) per gli organi di amministrazione e direttivi, che avranno la responsabilità di:

  • formarsi in materia di cybersecurity

  • Approvare le misure di sicurezza.

  • Sovrintendere alla loro implementazione.

  • Seguire una formazione specifica in materia di cybersecurity.

  • Essere responsabili delle eventuali violazioni.


- Notifica degli incidenti:

Le organizzazioni devono notificare incidenti significativi al CSIRT (Computer Security Incident Response Team) nazionale entro:

·        24 ore per una "early warning";

·        72 ore per una relazione più dettagliata;

·        1 mese per un rapporto finale;

- Sanzioni:

Gli Stati membri devono stabilire sanzioni efficaci, proporzionate e dissuasive. Le multe possono arrivare fino a:

  • 10 milioni di euro o il 2% del fatturato globale annuo per le organizzazioni essenziali;

  • 7 milioni di euro o l’1,4% del fatturato per le entità importanti;

  • Sanzioni accessorie per i dirigenti;

- Tempi di Attuazione:

Gli Stati membri devono recepire la direttiva NIS2 nel proprio ordinamento nazionale entro il 17 ottobre 2024. Da quel momento, le nuove regole saranno legalmente vincolanti a livello nazionale.


- Impatti per le Aziende

Per molte organizzazioni, NIS2 rappresenta un vero cambio di metodo:

  • Le imprese dovranno censire e mappare periodicamente le proprie vulnerabilità digitali;

  • Sarà fondamentale rafforzare la cultura della sicurezza informatica a tutti i livelli;

  • questi obblighi potrebbero essere richiesti anche alle PMI che operano in settori critici.

La NIS2 segna un passo decisivo verso una cybersecurity europea più performante, armonizzando le norme tra gli Stati membri, alzando l’asticella per tutti i soggetti coinvolti, rendendo essenziale da parte delle organizzazioni iniziare fin da subito a predisporsi ad un corretto recepimento, adeguando processi, tecnologie e governance.

 
 

TEKHUB

L'innovazione che ti serve

Via Pagani, 16 - 25128 Brescia

Via Pianette, 59 - 25064 Gussago ( BS )

Phone: +39.030.2319779​

© 2024 by TekHub Polo tecnologico

bottom of page