La Direttiva NIS2 è entrata in vigore: non farti cogliere impreparato

Compliance - Data Protection

La Direttiva NIS2 unisce gli stati membri dell’UE nella ricerca e nell’implementazione di alti standard di sicurezza informatica. Siamo pronti? Il tempo stringe, la prima scadenza è tra gennaio e febbraio 2024!

Direttiva NIS2: sei preparato?

Come ormai abbiamo appurato e come impariamo ogni giorno, più i servizi digitali diventano parte della società e delle nostre infrastrutture, più sono esposti a minacce. Ed è per questo che, nel 2016, è entrata in gioco la Direttiva NIS, o Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi, al fine di garantire un alto livello di sicurezza in tutta l’Unione Europea.

La Direttiva NIS si fonda su alcuni principi cardine:

  • Obblighi di segnalazione: I fornitori di servizi essenziali e digitali devono segnalare incidenti di sicurezza significativi, contribuendo così a una risposta coordinata e tempestiva alle minacce.
  • Migliorare la sicurezza informatica: La NIS richiede agli Stati membri di adottare misure nazionali per garantire un elevato livello di sicurezza delle reti e dei sistemi informatici, aiutando a prevenire e rispondere a incidenti, attacchi e malfunzionamenti.
  • Cooperazione europea: La direttiva promuove la cooperazione tra gli stati membri con un network europeo di cybersecurity, facilitando scambi di informazioni e best practice.

La prima scadenza: il 17 gennaio 2025

⚠️ Entro il 17 gennaio 2025 Registrazione sulla piattaforma #ACN per fornitori di servizi critici come cloud computing, data center, sicurezza gestita, mercati online, motori di ricerca e social network.

⚠️ Entro il 28 febbraio 2025 Registrazione sulla piattaforma #ACN per tutti gli altri soggetti inclusi nel decreto.

📅 Entro metà maggio 2025: Trasmissione e aggiornamento delle informazioni dei soggetti NIS, con aggiornamenti tempestivi

📅 Entro gennaio 2026: Adempimento degli obblighi di base in materia di notifica di incidente

📅 Entro ottobre 2026: Adempimento agli obblighi di base in materia di sicurezza informatica

Il tempo stringe! Sei pronto per la Direttiva NIS2? Smart Flow ti offre una consulenza gratuita per affrontare con serenità le nuove normative.

Da NIS a Direttiva NIS2

Nel 2022 si è evoluta nella Direttiva NIS2, per affrontare le nuove sfide emergenti nel panorama della cybersecurity, come l’aumento delle minacce e la digitalizzazione accelerata. In questo articolo ne abbiamo parlato anche con il nostro partner Synesthesia, esperto nel settore delle tecnologie per la comunicazione e i servizi. infatti, questa revisione amplia il campo di applicazione della direttiva, includendo più settori e tipi di entità, con l’obiettivo di rafforzare ulteriormente la sicurezza di sistemi e reti nell’UE. È ufficialmente divenuta obbligatoria il 18 ottobre di quest’anno.

Tre tipologie di target

La Direttiva NIS2 ha ampliato e migliorato la panoramica dei target a cui si applica, ora divisa in tre categorie principali di entità: OES ovvero fornitori di servizi essenziali, FSD che sta per fornitori di servizi digitali, e i fornitori di servizi critici.

La categoria degli OES è stata notevolmente ampliata con l’avvento della NIS2, quanto meno per le grandi imprese. Alcune delle categorie comprendono le medie imprese, mentre le piccole e micro imprese sono per ora ritenute fuori ambito dalla portata della NIS2. L’elenco OES ora comprende, infatti:

  • Energia: Produzione, trasmissione e distribuzione di energia elettrica, gas e combustibili
  • Servizi postali e di corriere
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione (sostanze chimiche, dispositivi medici e diagnostici, computer, prodotti di elettronica e ottica, apparecchiature elettriche, autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto)
  • Trasporti: Ferrovie, navigazione marittima, trasporto aereo e gestione del traffico
  • Banche e Finanza: Istituzioni finanziarie, mercati finanziari e infrastrutture di pagamento
  • Sanità: Fornitura di assistenza sanitaria, gestione di strutture sanitarie e infrastrutture correlate
  • Acqua potabile e gestione delle acque reflue: Fornitura e trattamento dell’acqua
  • Gestione dei rifiuti
  • Digitale: Infrastrutture digitali essenziali, inclusi i data center, i fornitori di servizi cloud e la gestione del traffico Internet
  • Spazio: Infrastrutture satellitari e sistemi correlati
  • Amministrazione pubblica: Servizi pubblici essenziali forniti dalle amministrazioni pubbliche.

Anche la categoria degli FSD è stata ampliata:

  • Motori di ricerca: Google, Bing, ecc.
  • Social network: Facebook, Twitter, Instagram, ecc.
  • Marketplace online: Amazon, eBay, ecc.
  • Servizi di cloud computing: Amazon Web Services, Microsoft Azure, Google Cloud, ecc.
  • Gestione delle infrastrutture di rete: Fornitori di servizi di rete.

La categoria dei servizi critici include le imprese che lavorano nella produzione, trasformazione e distribuzione di alimenti, produttori e distributori nell’industria alimentare e chimica, così come la produzione e la distribuzione di elettrodomestici, macchinari, mezzi di trasporto, eccetera, oltre ad altre categorie di amministrazione pubblica.

A questo link è possibile trovare una utile infografica che riassume le categorie di applicazione.

Adempiere agli obblighi della Direttiva NIS2

Tutti gli stati membri dell’UE hanno la responsabilità di incorporare le normative della NIS2 nella legislazione nazionale. Alcuni tra i passaggi di adeguamento richiesti alle aziende erano già previsti dalla normativa precedente e da altre regolamentazioni, in particolar modo dalla certificazione ISO 27001, ma, in breve, questi sono i principi chiave da rispettare:

  1. Aggiornare le politiche di analisi dei rischi e di sicurezza dei sistemi informatici
  2. Analisi degli accessi e delle identità
  3. Come gestire al meglio la continuità operativa?
  4. Monitoraggio, valutazione della sicurezza e della catena di approvvigionamento
  5. Formazione e sensibilizzazione sulla sicurezza informativa
Vuoi avere una consulenza gratuita per la tua azienda, per capire se sei in regola con la compliance richiesta?

Rischi per il mancato adempimento alla Direttiva NIS2

Com’è giusto che sia, qualsiasi mancanza nell’adeguamento alla Direttiva NIS può portare a “sanzioni effettive, proporzionate e dissuasive rispetto alla gravità  della  violazione  degli obblighi derivanti dalla direttiva”, citando testualmente il decreto legislativo 138/2024.

A differenza della prima versione, che offriva solo linee guida generali lasciando più libertà di stabilire sanzioni e pene ai singoli stati, la NIS 2 introduce sanzioni ancora più pesanti per la mancata conformità, con sanzioni fino a 10 milioni di euro (o il 2% del fatturato globale). Inoltre, la NIS 2 introduce una novità fondamentale: la responsabilità personale dei dirigenti, che rischiano il proprio patrimonio in caso di violazione dei requisiti di sicurezza cibernetica. Per questo, infatti, a seconda del caso, sono previste anche pene in termini di carcere per i diretti responsabili.

Direttiva NIS2: sei preparato?

La tua azienda è al passo con tutte le regolamentazioni italiane ed europee relative alla sicurezza informatica? Mai sottovalutare l’importanza di questi obblighi, perché costruire un futuro digitale sicuro e responsabile dipende dal contributo di ognuno di noi.

Richiedici una consulenza gratuita: per noi di Smart Flow la compliance è di casa.

Post recenti
Il caso Vinted: il GDPR non perdona, perché la sostenibilità va oltre l’ambiente
Uso responsabile dell’AI: il decalogo universitario
Foto sui social: guida di sopravvivenza al consenso
Le regolamentazioni AI: il nostro racconto del GDPR Forum
L’impatto dell’AI Act: hai tool con intelligenza artificiale integrata? Agisci ora!