Cos’è la NIS 2 e chi si deve adeguare?

La Direttiva NIS 2, approvata dall’Unione Europea, mira a rafforzare la sicurezza informatica per le aziende e le infrastrutture digitali, questa richiede alle imprese di adottare misure di sicurezza avanzate per proteggere i propri sistemi e dati.

La NIS 2 si applica a molti settori, in particolare, enti essenziali (come ad esempio energia, trasporti, sanità, banche, infrastrutture digitali, servizi di cloud computing, ecc.) ed enti importanti (come servizi postali, gestione rifiuti, produzione alimentare e farmaceutica, ecc.).

➤ Per informazioni più specifiche sui settori coinvolti clicca qui.

Sono incluse tutte le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.

Anche le pubbliche amministrazioni rientrano nell’ambito di questa normativa.

Scadenze NIS 2 e DDL cybersecurity in Italia

Con l’aumento degli attacchi informatici, l’Italia ha introdotto la Legge 90/2024 per migliorare la cybersicurezza, entrata in vigore il 17 luglio 2024. Questa legge si allinea con la NIS 2, direttiva europea che richiede standard di sicurezza più rigidi e maggiore cooperazione tra gli Stati membri.

La NIS 2, che deve essere recepita entro ottobre 2024, e la Legge 90/2024 condividono l’obiettivo di proteggere le infrastrutture critiche e rafforzare la resilienza operativa.

Entrambe richiedono misure come la notifica tempestiva degli attacchi e l’adozione di tecnologie avanzate di sicurezza, le aziende e le istituzioni pubbliche dovranno adeguarsi rapidamente a queste norme per garantire una protezione efficace contro le minacce informatiche in evoluzione.

Perché è cruciale adeguarsi e quali sono le sanzioni

La conformità alla NIS 2 non è solo una questione di legge, ma un’opportunità per migliorare la sicurezza informatica della tua azienda. Implementare queste misure può ridurre significativamente i rischi di cyber attacchi e aumentare la fiducia dei tuoi clienti.

Rispetto alla versione precedente, la NIS 2 copre una gamma più ampia di settori e aziende, includendo anche le medie imprese e alcune categorie indipendentemente dalla loro dimensione.

È previsto un sistema di auto-identificazione basato su settore e grandezza aziendale, e le entità non europee che offrono servizi nell’UE devono nominare un rappresentante, le organizzazioni dovranno inoltre comunicare alle autorità competenti dettagli sulle loro operazioni, garantendo un maggiore controllo e trasparenza.

Le sanzioni per il mancato rispetto della NIS 2 possono essere molto elevate.

L’importo massimo di una multa può arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda, a seconda di quale sia la cifra più alta.

Le autorità competenti possono anche imporre altre misure correttive, inclusa la sospensione temporanea delle attività , in caso di gravi violazioni.

➤ Per maggiori informazioni sulle sanzioni clicca qui.

NIS 2 in azienda: gli obblighi

Tra gli obblighi imposti dalla direttiva NIS 2 troviamo:

■ Gestione del rischio: le organizzazioni devono adottare strategie per ridurre i rischi informatici, come il controllo degli accessi, la sicurezza della rete e la crittografia.

■ Responsabilità aziendale: i dirigenti sono tenuti a supervisionare le misure di cybersicurezza e affrontare i rischi, con sanzioni previste in caso di violazioni.

■ Valutazione dei rischi e gestione delle vulnerabilità : Le aziende devono effettuare regolari valutazioni del rischio per identificare le vulnerabilità e adottare misure per mitigarle.

■ Audit e monitoraggio continui: Le entità essenziali e importanti devono implementare processi di audit e monitoraggio regolari per verificare l’efficacia delle misure di sicurezza adottate.

■ Obblighi di segnalazione: gli incidenti devono essere notificati entro 24 ore, con una relazione completa entro 72 ore.

■ Business continuity: le aziende devono sviluppare piani per garantire la continuità operativa in caso di attacchi informatici.

■ Cooperazione e condivisione delle informazioni: Le organizzazioni sono incoraggiate a collaborare e condividere informazioni sugli incidenti di sicurezza con altre entità e autorità competenti per migliorare la resilienza collettiva.

■ Formazione obbligatoria del personale: È richiesta una formazione continua per il personale aziendale in materia di cybersicurezza per assicurarsi che siano pronti a gestire rischi e minacce informatiche.

■ Cooperazione internazionale: Le aziende che operano fuori dall’UE ma offrono servizi all’interno devono nominare un rappresentante legale nell’Unione e collaborare con le autorità europee.

➤ Per approfondire ulteriormente ecco la direttiva NIS 2 completa, schema di decreto legislativo e relativo parere del garante privacy:

scarica la direttiva nis2 completa scarica lo schema legislativo parere del garante privacy su schema legislativo

Vantaggi della conformità alla NIS 2

La NIS 2 non è un ostacolo, ma un’opportunità per la tua azienda:

Aumento della Sicurezza: proteggi i tuoi dati e sistemi da minacce informatiche.
Riduzione dei Rischi: minimizza le vulnerabilità e previeni attacchi cyber.
Evitare le Sanzioni: rispetta le normative per evitare multe e penalità. (ricordiamo che la conformità alla NIS 2 è obbligatoria se sì rientra nell’ambito di applicazione)
Miglioramento della reputazione: Rafforza la fiducia dei clienti e dei partner.
Vantaggio Competitivo: essere in regola con le normative di sicurezza può costituire un vantaggio competitivo sul mercato, attirando clienti che cercano partner sicuri.

Come possiamo aiutarti

Il nostro approccio si basa su una metodologia collaudata che assicura una conformità completa e sostenibile alla NIS 2:

valutazione iniziale

Analizziamo la tua infrastruttura e i tuoi processi per identificare le aree di intervento.

implementazione

Adottiamo misure tecniche, operative e organizzative adeguate al tuo contesto aziendale.

formazione

Forniamo sessioni di formazione specifiche per garantire che il tuo team sia preparato.

monitoraggio

Offriamo un monitoraggio continuo per mantenere la tua azienda conforme e protetta.

Perché scegliere noi?

Esperienza e Competenza: Oltre 15 anni di esperienza nel settore della sicurezza informatica e del diritto dell’informatica.
Soluzioni Personalizzate: Piani su misura per soddisfare le esigenze specifiche della tua azienda.
Supporto Completo: Dall’analisi iniziale alla formazione e al monitoraggio continuo, siamo al tuo fianco in ogni fase.

Contattaci per saperne di più e fissare un primo incontro, ti aspettiamo.

SCOPRI IL MONDO DI FCLEX ALTRI SERVIZI

f.a.q.

domande frequenti

Per qualsiasi dubbio siamo a disposizione

Chi deve adeguarsi alla NIS2?

Enti essenziali (energia, trasporti, sanità, banche, infrastrutture digitali) e importanti (servizi postali, gestione rifiuti, produzione alimentare e farmaceutica). Sono incluse le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.

Nello specifico quali settori rientrano?

Settori Essenziali

■ Energia

◦ Elettricità: produzione, trasmissione e distribuzione.

◦ Gas: produzione, trasporto, distribuzione e stoccaggio.

◦ Petrolio: raffinazione, distribuzione e stoccaggio.

◦ Idrogeno: produzione e distribuzione.

■ Trasporti

◦ Aereo: compagnie aeree, aeroporti e servizi di controllo del traffico aereo.

◦ Ferrovie: operatori ferroviari e infrastrutture ferroviarie.

◦ Marittimo: porti, compagnie di navigazione e servizi di trasporto marittimo.

◦ Stradale: gestori delle infrastrutture stradali e servizi di trasporto su strada.

■ Banche

◦ Istituti bancari e istituzioni finanziarie che gestiscono operazioni di pagamento e servizi bancari essenziali.

■ Infrastrutture del Mercato Finanziario

◦ Borse valori, sistemi di pagamento e di compensazione.

■ Settore Sanitario

◦ Ospedali, laboratori, istituti di ricerca medica e fornitori di servizi sanitari.

■ Fornitura e Distribuzione di Acqua Potabile

◦ Gestori delle risorse idriche e infrastrutture per la distribuzione dell’acqua.

■ Infrastrutture Digitali

◦ Data Center: fornitura e gestione di servizi di data center.

◦Cloud Computing: fornitori di servizi di cloud.

◦ DNS: gestori del sistema di nomi di dominio.

◦ Reti di Distribuzione di Contenuti: servizi che distribuiscono contenuti digitali.

■ Pubblica amministrazione

Settori Importanti

■ Servizi Postali e Corrieri

◦ Operatori di servizi postali e di consegna.

■ Gestione dei Rifiuti

◦ Aziende che gestiscono la raccolta, il trattamento e lo smaltimento dei rifiuti.

■ Industria Chimica

◦ Produzione e distribuzione di sostanze chimiche e prodotti chimici.

■ Produzione e Distribuzione di Cibo

◦ Aziende che producono, trasformano e distribuiscono alimenti.

■ Prodotti Farmaceutici

◦ Produzione e distribuzione di medicinali e prodotti farmaceutici.

■ Dispositivi Medici

◦ Produzione e distribuzione di dispositivi medici e apparecchiature sanitarie.

■ Fornitori di Servizi di ICT e Sviluppo Tecnologico

◦ Aziende che offrono servizi di tecnologia dell’informazione e della comunicazione (ICT), inclusi servizi di sviluppo software e hardware.

A quanto può ammontare una sanzione per il mancato rispetto della direttiva NIS 2?

Le sanzioni per il mancato rispetto della NIS 2 possono essere particolarmente severe, riflettendo l’importanza della compliance per garantire la sicurezza informatica a livello dell’Unione Europea. Ecco un dettaglio ampliato su quanto possono ammontare le sanzioni e le misure correttive previste:

Sanzioni Finanziarie

■ Importo Massimo: La multa per il mancato rispetto della NIS 2 può arrivare fino a 10 milioni di euro.

■ Percentuale del Fatturato: In alternativa, la sanzione può essere pari al 2% del fatturato annuo globale dell’azienda, se questo importo è superiore ai 10 milioni di euro.

■ Scelta dell’Importo: L’importo finale della multa sarà determinato confrontando il limite massimo di 10 milioni di euro con il 2% del fatturato annuo globale, e si applicherà la cifra più alta.

Misure Correttive Addizionali

Oltre alle sanzioni pecuniarie, le autorità competenti hanno la facoltà di imporre altre misure correttive, tra cui:

■ Sospensione Temporanea delle Attività: In caso di violazioni gravi, le autorità possono decidere di sospendere temporaneamente le attività dell’azienda fino a quando non vengono adottate le misure necessarie per ripristinare la conformità.

■ Ordini di Ripristino: Le aziende potrebbero essere obbligate a implementare modifiche specifiche alle loro pratiche di sicurezza e gestione del rischio per affrontare le lacune identificate.

■ Interventi Direttivi: Le autorità possono emettere direttive specifiche su come migliorare le pratiche di sicurezza informatica e monitorare la loro attuazione.

Quando entra in vigore la NIS 2?

La NIS 2 (Direttiva (UE) 2022/2555) entrerà ufficialmente in vigore il 18 ottobre 2024.

Quali sono le novità principali introdotte dalla NIS 2 rispetto alla NIS 1?

La NIS 2 amplia il campo di applicazione includendo più settori, introduce requisiti di sicurezza più rigorosi, tempi più stretti per la notifica di incidenti (entro 24 ore per una prima notifica), e prevede sanzioni più severe.

Inoltre, pone maggiore enfasi sulla governance aziendale e sull’accountability dei dirigenti.

La NIS 2 si applica anche all’industria manifatturiera?

Sì, la NIS 2 si applica anche all’industria manifatturiera, ma solo per determinati settori considerati critici.

In particolare, le aziende manifatturiere coinvolte nella produzione di prodotti essenziali o strategici, come i prodotti farmaceutici, i dispositivi medici, i prodotti chimici, macchinari, veicoli, dispositivi elettronici e altre industrie con un impatto sulla sicurezza e sulla resilienza delle infrastrutture, rientrano tra le entità soggette alla direttiva.

Ricordiamo che sono incluse tutte le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.

Quali sono le responsabilità dei dirigenti aziendali sotto la NIS 2?

La NIS 2 attribuisce specifiche responsabilità ai dirigenti aziendali per la gestione della sicurezza delle informazioni.

Devono essere coinvolti attivamente nella supervisione delle strategie di sicurezza e garantire che l’azienda adotti le misure necessarie per la conformità.

Il mancato rispetto può comportare responsabilità personali in caso di violazioni.

La NIS 2 richiede l’adozione di specifiche tecnologie di sicurezza?

Non prescrive tecnologie specifiche, ma richiede l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi.

Le tecnologie consigliate includono crittografia dei dati, autenticazione a più fattori, sistemi di rilevamento delle intrusioni (IDS/IPS), e soluzioni di gestione dei log e delle vulnerabilità.

Bisogna per forza usufruire di tutti i servizi presenti nel vostro pacchetto?

Assolutamente no, il nostro approccio è flessibile e completamente su misura.

Ci adattiamo ai tuoi bisogni specifici, integrando le soluzioni di sicurezza con ciò che hai già implementato.

Non è necessario scegliere il pacchetto completo: puoi selezionare solo i servizi che ritieni necessari per la tua azienda, inoltre, non sei vincolato a un unico fornitore: sei libero di scegliere con chi collaborare per le tue esigenze di sicurezza.

CONTATTARE LO STUDIO FCLEX

Compilando il form sottostante verrà ricontattato dai nostri professionisti

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Conformità alla direttiva NIS 2: Servizi di Cybersecurity per la tua azienda