Cos'è la normativa NIS2?
È una direttiva che stabilisce nuove regole per rafforzare la sicurezza delle reti e dei sistemi informativi in ambito lavorativo per le aziende e i loro fornitori. Rispetto alla precedente, questa nuova direttiva impone misure di sicurezza ancora più rigorose e richiede la segnalazione di incidenti legati alla cyber security alle autorità.
Quali sono i settori coinvolti?
La Direttiva NIS2 si applica a vari settori essenziali:
Banche, Finanza, Trasporti, Acqua, Digitale, Energia, Sanità, PA, Spazio, Acque reflue
e settori importanti:
Food, Produzione, Chimica, Posta, Ricerca, Rifiuti
Cosa si deve fare?
Le aziende rientranti nella NIS2 (escluse le PMI con meno di 50 dipendenti e 10 milioni di euro di fatturato) dovranno attivarsi su questi 10 punti per essere conformi.
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete.
- Gestione degli incidenti, incluse le procedure e gli strumenti per eseguire le notifiche, come previsto dagli articoli 25 e 26.
- Continuità operativa, incluse la gestione dei backup, il ripristino in caso di disastro (ove applicabile) e la gestione delle crisi.
- Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza nei rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, inclusa la gestione e divulgazione delle vulnerabilità.
- Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica.
- Pratiche di igiene di base e formazione in materia di sicurezza informatica.
- Politiche e procedure relative all’uso della crittografia e, ove necessario, della cifratura.
- Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e delle risorse aziendali.
- Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza sicuri all’interno dell’organizzazione, ove opportuno.
Pipeline ti supporta
- Verifica se l’azienda rientra nei requisiti NIS2.
- Supporta l’iscrizione al portale dell’ACN.
- Esegue un assessment infrastrutturale dettagliato.
- Gestisce il monitoraggio continuo dei sistemi.
- Assiste nella realizzazione dei processi.
- Identifica il percorso formativo più adeguato.
- Contribuisce all’attuazione dei 10 punti di conformità.
Aggiornamenti recenti
Scadenza per il recepimento nazionale:
Gli Stati membri dell’UE avevano tempo fino al 17 ottobre 2024 per recepire la Direttiva NIS2 nelle rispettive legislazioni nazionali. La direttiva NIS2 ha abrogato la precedente NIS1 a partire dal 18 ottobre 2024.
Implementazione in Italia:
In Italia, il decreto legislativo 138/2024 ha recepito la Direttiva NIS2, ampliando gli obblighi di sicurezza informatica per vari settori chiave. Dal 1° dicembre 2024, le aziende italiane nei settori ad “alta criticità” e “critici” devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) e fornire dettagli sui propri sistemi di sicurezza. Questa registrazione si concluderà a febbraio 2025, e l’ACN comunicherà ufficialmente l’elenco delle entità soggette alla direttiva entro aprile 2025.
Nuovi obblighi per le aziende:
Le aziende designate come “soggetti essenziali” o “importanti” devono adottare misure specifiche per garantire la resilienza dei loro sistemi e notificare tempestivamente qualsiasi incidente rilevante entro 24-72 ore al CSIRT Italia (Computer Security Incident Response Team).
Ampliamento dei settori interessati:
La NIS2 amplia significativamente il campo di applicazione rispetto alla precedente direttiva, includendo settori come la gestione dei rifiuti, il trasporto, l’industria alimentare, la fornitura e distribuzione di acqua potabile, le infrastrutture digitali, la pubblica amministrazione, la produzione, la ricerca e lo sviluppo di medicinali e dispositivi medici, e il settore spaziale.
Sanzioni per la non conformità:
Le organizzazioni essenziali possono essere sanzionate fino a 10 milioni di euro o al 2% del fatturato annuo globale, mentre le organizzazioni importanti possono incorrere in multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale. Anche i dirigenti possono essere ritenuti responsabili dell’incapacità di soddisfare i nuovi requisiti.
