Cos'è la NIS2
L’Unione Europea ha introdotto la nuova normativa Network and Information Security 2 (NIS2), con l’obiettivo di rafforzare la sicurezza informatica nei settori pubblico e privato. Gli Stati membri devono adottare misure adeguate per conformarsi alla direttiva entro il 17 ottobre 2024.
La NIS2 mira a migliorare la capacità di reazione e resilienza agli attacchi informatici, contrastare la criminalità informatica e rafforzare le strategie di cybersecurity a livello nazionale ed europeo.
Quali sono gli obblighi della NIS2
Lo schema del decreto legislativo introduce diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. L’obiettivo principale della NIS2 è garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Questo obiettivo viene perseguito attraverso:
1. Ampliamento del campo di applicazione: La NIS2 estende il campo di applicazione rispetto alla direttiva precedente, includendo più settori e servizi essenziali per l’economia e la società.
2. Rafforzamento dei requisiti di sicurezza: Le aziende devono adottare misure tecniche e organizzative adeguate a gestire i rischi informatici, inclusi l’implementazione di sistemi di gestione della sicurezza delle informazioni (ISMS), la protezione delle reti, il controllo degli accessi e la gestione delle vulnerabilità.
3. Miglioramento della resilienza e della risposta agli incidenti: Le organizzazioni devono avere piani di continuità operativa e di ripristino di emergenza, nonché procedure per la gestione degli incidenti di sicurezza informatica.
4. Collaborazione e condivisione delle informazioni: La normativa promuove una maggiore cooperazione tra gli Stati membri dell’UE e incoraggia la condivisione delle informazioni sui rischi e sugli incidenti di sicurezza informatica.A chi si applica la NIS2
La Direttiva NIS2 si applica a un’ampia gamma di aziende, incluse quelle che forniscono servizi essenziali o importanti, con più di 50 dipendenti e un fatturato oltre i 10 milioni di euro. Anche piccole aziende possono essere coinvolte se rispondono a determinati requisiti. Inoltre, tutti i fornitori delle aziende regolate dalla NIS2 (indipendentemente dalle loro dimensioni) sono tenuti a conformarsi a questi standard.
Quali sono gli obblighi della NIS2
Lo schema del decreto legislativo introduce diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. L’obiettivo principale della NIS2 è garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Questo obiettivo viene perseguito attraverso:
1. Ampliamento del campo di applicazione: La NIS2 estende il campo di applicazione rispetto alla direttiva precedente, includendo più settori e servizi essenziali per l’economia e la società.
2. Rafforzamento dei requisiti di sicurezza: Le aziende devono adottare misure tecniche e organizzative adeguate a gestire i rischi informatici, inclusi l’implementazione di sistemi di gestione della sicurezza delle informazioni (ISMS), la protezione delle reti, il controllo degli accessi e la gestione delle vulnerabilità.
3. Miglioramento della resilienza e della risposta agli incidenti: Le organizzazioni devono avere piani di continuità operativa e di ripristino di emergenza, nonché procedure per la gestione degli incidenti di sicurezza informatica.
4. Collaborazione e condivisione delle informazioni: La normativa promuove una maggiore cooperazione tra gli Stati membri dell’UE e incoraggia la condivisione delle informazioni sui rischi e sugli incidenti di sicurezza informatica.Chi deve adottare la NIS2
La direttiva NIS2 è rivolta ad entità essenziali ed entità importanti.
Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità ed hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni.
Settori essenziali ad Alta Criticità (elenco 1):
- Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
- Trasporti: Strada, ferrovia, aria e acqua
- Bancario: Banche, borse, istituzioni finanziarie
- Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
- Acqua: Acque reflue e acqua potabile
- Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
- Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
- Pubblica amministrazione: Entità governative centrali e regionali
- Spazio: Operatori di infrastrutture terrestri
Settori Importanti critici (elenco 2):
- Posta e corrieri: Spedizione di posta e pacchi
- Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
- Prodotti chimici: Produzione e distribuzione di prodotti chimici
- Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
- Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
- Servizi digitali: Motori di ricerca, mercati online e reti sociali
- Ricerca: Organizzazioni di ricerca
Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati e rispettano i requisiti di fatturato/dipendenti sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:
- Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Elenco 1.
- Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Elenco 1 e aziende grandi e medie dell’Elenco 2.
Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni.
Quali sono i settori interessati
SERVIZI ESSENZIALI | Energia, Trasporti, Banche, Mercati Finanziari, Sanità, Acqua potabile, Acque reflue, Infrastrutture digitali, Pubblica Amministrazione, Spazio.
SERVIZI IMPORTANTI | Servizi postali, Rifiuti, Manifattura, Alimentari, Provider di servizi digitali, Produzione di dispositivi medici, Chimica Industriale.
Quali sono le misure di sicurezza da adottare
- Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- Gestione degli incidenti;
- Continuità operativa, backup e Disaster Recovery;
- Sicurezza della supply chain;
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione delle vulnerabilità;
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
- Pratiche di igiene informatica di base e formazione in materia di cybersecurity;
- Politiche e procedure relative all’uso della crittografia e della cifratura;
- Sicurezza delle risorse umane con strategie di controllo dell’accesso;
- Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette.
Termini e scadenze
La Direttiva NIS2 mira a rafforzare la sicurezza informatica all'interno dell'Unione Europea e prevede specifiche scadenze per l'adeguamento da parte degli Stati membri e delle organizzazioni interessate. In Italia, il Decreto Legislativo n. 138/2024 recepisce la direttiva, stabilendo le seguenti tempistiche principali:
- 17 ottobre 2024: Termine entro il quale gli Stati membri devono recepire la Direttiva NIS2 nelle rispettive legislazioni nazionali.
- 16 ottobre 2024: Entrata in vigore del Decreto Legislativo n. 138/2024 in Italia.
- 17 gennaio 2025: Entro questa data, alcune categorie specifiche di soggetti, come fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio, fornitori di cloud computing e data center, devono completare la registrazione sulla piattaforma digitale predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN).
- 28 febbraio 2025: Tutti gli altri soggetti essenziali e importanti identificati dal decreto devono completare la registrazione o l'aggiornamento delle informazioni richieste sulla piattaforma digitale dell'ACN.
- 31 marzo 2025: L'ACN redigerà l'elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate.
- 31 maggio 2025: I soggetti inseriti nell'elenco devono fornire o aggiornare informazioni aggiuntive, come lo spazio di indirizzamento IP pubblico, i nomi di dominio in uso e l'elenco degli Stati membri in cui forniscono servizi rilevanti.
- 1° gennaio 2026: I soggetti devono iniziare ad adempiere agli obblighi di notifica degli incidenti previsti dalla direttiva.
- 1° ottobre 2026: Scadenza per l'adempimento agli obblighi sulle misure di sicurezza informatica.
La nostra consulenza, un Orchestrator multidisciplinare
Mel Technologies è il partner strategico che le grandi aziende possono affidarsi per garantire la piena conformità alla normativa NIS2. Grazie alla nostra multidisciplinarità, uniamo competenze avanzate in cybersecurity, gestione del rischio e compliance normativa, offrendo un approccio integrato e su misura. Non ci limitiamo a supportarti: diventiamo il tuo orchestrator, coordinando ogni aspetto della sicurezza informatica con visione strategica e operativa. Affrontare le sfide della NIS2 richiede esperienza, metodo e una visione d’insieme: la nostra capacità di connettere tecnologie, processi e competenze rende il percorso verso la compliance più efficace, sicuro e sostenibile.
Contatti
- SEDE LEGALE: Via Tolmino 12 - 000198 Roma
- SEDE OPERATIVA: Viale Bruno Buozzi 26 – 00015 Monterotondo (Roma)
- TELEFONO: (+39) 06 90 62 35 59
- MAIL: info@meltec.it
- PEC: meltechnologies@legamail.it
2020 All Rights Reserved – Mel Technologies srl – P.iva 11203911000 – Via Tolmino N° 12 – 00198 Roma – Numero REA: RM – 1286786 Numero REA: FR 200777 Cap. Soc. 10.000,00 (i.v.)