0%
Blog » Assistenza Tecnica » Normativa NIS 2: un Nuovo Standard per la Cybersecurity nell’Unione Europea
                           
Gennaio 3, 2025
Normativa NIS 2: un Nuovo Standard per la Cybersecurity nell’Unione Europea
Post Image

Ecco la Normativa NIS 2

L’Unione Europea ha introdotto la normativa NIS 2 (Network and Information Security Directive 2), un importante aggiornamento volto a rafforzare la resilienza e la sicurezza informatica delle infrastrutture critiche e delle organizzazioni strategiche. Entrata in vigore il 16 ottobre 2024, questa direttiva sostituisce la precedente NIS 1 del 2016, rispondendo all’esigenza di adattarsi ad un panorama digitale in continua evoluzione e sempre più minacciato da attacchi informatici.

Gli Stati membri dell’UE avevano tempo fino al 17 ottobre 2024 per recepire la direttiva NIS2 nella propria legislazione nazionale; vediamo nel dettaglio cosa cambia e quali sono le principali novità introdotte in questo video.

Un Ambito più Ampio per Aziende e Organizzazioni con la Nuova NIS 2

Rispetto alla precedente, la nuova direttiva NIS 2 amplia significativamente il numero di settori e soggetti coinvolti. Essa non si limita più solo alle infrastrutture essenziali, ma include una gamma più ampia di organizzazioni medio-grandi che operano in settori critici o strategici per la società e l’economia europea. La nuova normativa NIS 2 amplia il campo di applicazione della normativa a 18 settori di cui 11 altamente critici e 7 critici, per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti.

  • Settori altamente critici:
    • Energia (elettricità, gas, petrolio, idrogeno)
    • Trasporti (aerei, marittimi, ferroviari, stradali)
    • Spazio
    • Sanità (ospedali, fornitori di servizi sanitari, laboratori)
    • Infrastrutture digitali
    • Finanza (istituzioni bancarie e assicurative)
    • Gestione dei servizi TIC (b2b)
    • Fornitura di acqua potabile e acque reflue
    • Infrastrutture dei mercati finanziari
  • Settori critici:
    • Servizi postali e di corriere
    • Produzione, trasformazione e distribuzione di alimenti
    • Gestione dei rifiuti
    • Fabbricazione
    • Fornitori di servizi digitali
    • Fabbricazione, produzione e distribuzione di sostanze chimiche
    • Ricerca
  • Ulteriore tipologia di soggetti:
    • Pubblica Amministrazione centrale
    • Pubblica Amministrazione regionale e locale
    • Ulteriori tipologie di soggetti

Per scoprire se la tua azienda è tra i destinatari della nuova NIS2 consulta gli ambiti di applicazione nel dettaglio.

Cosa Devono Fare le Aziende per Adeguarsi alla Normativa NIS 2?

La NIS 2 introduce obblighi più stringenti in termini di gestione dei rischi informatici e di risposta agli incidenti: per adeguarsi, le organizzazioni devono implementare una serie di misure specifiche.

Gestione del Rischio

  • Valutare regolarmente i rischi legati alla sicurezza informatica, identificando vulnerabilità e punti deboli nelle infrastrutture IT.
  • Adottare misure tecniche e organizzative adeguate, come sistemi di monitoraggio continuo, firewall, backup, crittografia e controlli degli accessi.

Notifica degli Incidenti

  • Implementare procedure interne per rilevare e notificare rapidamente gli incidenti di sicurezza.
  • Gli incidenti significativi devono essere segnalati alle autorità competenti entro 24 ore dall’individuazione, fornendo una descrizione iniziale.
  • Un rapporto dettagliato deve essere inviato entro 72 ore, contenente analisi approfondite e contromisure adottate.

Continuità Operativa

  • Redigere e mantenere aggiornati piani di continuità operativa e disaster recovery per garantire la resilienza anche in caso di interruzioni o attacchi.
  • Effettuare test regolari su questi piani per verificarne l’efficacia.

Gestione della Supply Chain

  • Monitorare e valutare i fornitori critici per garantire che rispettino standard adeguati di sicurezza informatica.
  • Integrare requisiti di sicurezza nei contratti con fornitori e partner, verificando periodicamente la loro conformità.

Governance Interna

  • Nominare un responsabile della sicurezza interna, con il compito di supervisionare la conformità alla normativa.
  • Integrare la gestione della cybersecurity nella strategia aziendale complessiva.
  • Organizzare programmi di formazione periodica ai dipendenti per aumentare la consapevolezza sui rischi informatici e migliorare la preparazione alle minacce.
normativa nis 2
Photo by Freepik

Il Ruolo dell’Agenzia per la Cybersicurezza Nazionale

In Italia il recepimento della direttiva NIS 2 è affidato all’ACN (Agenzia per la Cybersicurezza Nazionale), istituita per garantire la protezione delle infrastrutture critiche e del sistema paese; essa fornisce un supporto operativo nella preparazione dei piani di gestione del rischio e risposta agli incidenti. L’ACN svolge inoltre un ruolo centrale nel catalogare le aziende soggette agli obblighi della direttiva, classificandole in base a parametri specifici.

  • Settore di appartenenza: energia, trasporti, sanità, finanza o infrastrutture digitali.
  • Rilevanza strategica: il contributo dell’azienda alla sicurezza e alla stabilità nazionale.
  • Esposizione ai rischi: la vulnerabilità delle loro infrastrutture IT e il potenziale impatto di un attacco.

Come Avviene la Registrazione al Portale dell’ACN per la NIS 2?

La registrazione al portale dell’Autorità per la Cybersicurezza Nazionale della NIS 2 è attiva dal 1 dicembre 2024 al 28 febbraio 2025 e avviene attraverso una serie di passaggi, necessari per garantire che le organizzazioni rientranti nella sua applicazione possano conformarsi agli obblighi di sicurezza informatica previsti dalla normativa.

Le organizzazioni che rientrano nel perimetro della direttiva NIS2 devono essere identificate correttamente per accedere al portale. Qui trovi il nuovo ampliamento degli ambiti di applicazione nella direttiva NIS 2 in pdf.

Prima di procedere è necessario designare un punto di contatto all’interno dell’organizzazione, che si occuperà di gestire gli obblighi legati alla direttiva NIS2. In linea generale, il punto di contatto deve essere un dipendente delegato dal rappresentante legale del soggetto.

Dal primo dicembre 2024, il punto di contatto potrà autenticarsi sul portale servizi dell’ACN tramite SPID o credenziali. Per associare il punto di contatto al soggetto è necessario indicare il codice IPA (per le pubbliche amministrazioni) o il codice fiscale (per i soggetti pubblici e privati).

Il processo di censimento del punto di contatto e associazione al soggetto NIS si conclude con l’invio di un link di richiesta di convalida al domicilio digitale del soggetto stesso. La dichiarazione che il punto di contatto dovrà compilare è suddivisa in 4 sezioni:

  • CONTESTO
  • CARATTERIZZAZIONE
  • TIPOLOGIE DI SOGGETTO
  • AUTOVALUTAZIONE

Dopo aver compilato la dichiarazione, il punto di contatto dovrà prendere visione del riepilogo delle informazioni fornite, accettare le clausole di responsabilità e trasmettere la dichiarazione all’Agenzia.

Al termine della fase di registrazione, che si avvia il 1° dicembre 2024 e si conclude il 28 febbraio, l’Agenzia e le Autorità di settore vaglieranno tutte le dichiarazioni ricevute per costituire l’elenco dei soggetti NIS entro fine marzo 2025.
Nel mese di aprile 2025, l’Autorità nazionale competente NIS notificherà al domicilio digitale di tutti i soggetti registrati se rientrano nell’elenco.

Il Coordinamento Europeo per la Normativa NIS 2

L’ACN collabora con le autorità europee per garantire il rispetto degli standard comuni e promuovere una gestione unificata delle minacce informatiche. La normativa NIS 2 attribuisce poteri più ampi alle autorità nazionali competenti, che avranno il compito di vigilare sull’applicazione della stessa intervenendo in caso di inadempienze. In particolare, le autorità potranno effettuare ispezioni e audit sulle organizzazioni, imponendo sanzioni per il mancato rispetto degli obblighi previsti.

Una delle novità più significative della NIS 2 è infatti l’introduzione di un regime sanzionatorio più rigido per le organizzazioni non conformi. Le sanzioni possono raggiungere fino a 10 milioni di euro, oppure il 2% del fatturato globale annuo dell’organizzazione, scegliendo l’importo più elevato.Queste misure sottolineano l’importanza attribuita dall’UE alla sicurezza informatica e alla protezione delle infrastrutture critiche.

A livello europeo, il coordinamento sarà garantito dall’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) e dal network dei CSIRTs (Computer Security Incident Response Teams). Questo approccio mira a creare un sistema armonizzato tra i Paesi membri, eliminando le discrepanze che caratterizzavano la NIS 1.

Considerazioni sulla Direttiva NIS 2

Uno degli obiettivi principali della NIS 2 è garantire un approccio uniforme alla sicurezza informatica in tutta l’Unione Europea. La direttiva mira a ridurre le differenze normative tra i vari Stati membri, creando un quadro comune che favorisca la cooperazione e la condivisione di informazioni sulle minacce.

Essa rappresenta un passo fondamentale per rafforzare la resilienza digitale dell’Europa in un contesto sempre più minacciato da attacchi informatici complessi e sofisticati. Per le organizzazioni coinvolte, la conformità alla normativa richiederà un’attenzione maggiore alla gestione dei rischi, alla protezione della supply chain e alla preparazione di piani in risposta agli incidenti.

Dal canto suo, Zen srl offre un’ampia gamma di servizi in termini di assistenza e sicurezza informatica: dai backup remoti alle manutenzioni programmate, fino al pronto intervento tramite unita mobile in caso di necessità. Puoi approfondire visitando la pagina dedicata sul nostro sito!

In definitiva, investire nella cybersecurity non è solo una necessità normativa, ma anche una garanzia di maggiore solidità in un mondo sempre più interconnesso.

SCARICA QUI LA TUA COPIA
Comments are closed.
Back To Top