DIRETTIVA NIS2: COS'È E COSA PREVEDE

La Direttiva NIS 2 (Network and Information Security Directive 2) è una revisione della precedente Direttiva NIS del 2016, che stabilisce norme minime in materia di cibersicurezza, con l’obiettivo di:

estendere la lista dei soggetti obbligati a conformarsi alla normativa, per includere nuovi settori critici;
introdurre requisiti più stringenti in materia di gestione dei rischi e di segnalazione degli incidenti;
creare un quadro normativo più armonizzato tra gli Stati membri.

In Italia, il d.lgs. 138/2024 ha recepito la direttiva europea introducendo obblighi specifici per una vasta gamma di operatori e definendo un nuovo sistema di governance che coinvolge il CSIRT (Computer Security Incident Response Team), l’ACN (Agenzia per la Cybersicurezza Nazionale) e altre autorità competenti.

Il precedente Decreto NIS individuava due principali categorie di soggetti: “operatori di servizi essenziali” (OSE) e “fornitori di servizi digitali” (DSP).

I primi, considerati “entità essenziali”, includono settori come:

Energia: fornitori di elettricità, gas, e petrolio;
Trasporti: gestione di infrastrutture ferroviarie, aeroportuali, portuali e operatori logistici;
Sanità: ospedali, laboratori medici e fornitori di prodotti farmaceutici;
Servizi finanziari: banche, infrastrutture di mercato e assicurazioni;
Infrastrutture digitali: cloud computing, DNS e data center.

I secondi, considerati “entità importanti” per l’impatto significativo in caso di disservizi, includono:

Fornitori di servizi digitali: piattaforme di e-commerce, motori di ricerca, marketplace;
Settori manifatturieri ad alta intensità tecnologica: produzione di semiconduttori, sistemi aerospaziali;
Fornitori di infrastrutture critiche: gestione di reti idriche o sistemi di telecomunicazione.

In aggiunta alle entità precedentemente citate, il decreto NIS 2 aggiunge altre entità per la loro importanza strategica da un punto di vista economico e sociale: il settore dei rifiuti e i fornitori di servizi postali da un lato, e le amministrazioni pubbliche dall’altro, dedicando particolare attenzione alla protezione dei dati personali e alla continuità operativa dei servizi digitali offerti ai cittadini.

Gli obblighi, previsti per le imprese che occupano più di 50 dipendenti e realizzano un fatturato annuo o un totale di bilancio annuo superiore a 10 mln., sono:

adozione di misure di sicurezza proporzionate al rischio, tra cui valutazioni periodiche, mitigazione delle vulnerabilità e risposta agli incidenti;
notifica obbligatoria degli incidenti significativi entro 24 ore dalla rilevazione iniziale e un report dettagliato entro 72 ore.
verifiche di conformità da parte dell’ACN, che potrà effettuare ispezioni e richiedere documentazione.

La non osservanza di suddetti obblighi prevede sanzioni amministrative che possono raggiungere anche il 2% del fatturato globale.

Anche i soggetti non obbligati possono adeguarsi alla direttiva NIS 2, traendo benefici reputazionali e competitivi, dal momento che gli utenti tendono a scegliere aziende percepite come più sicure e affidabili.

Per quanto concerne l’adeguamento, il decreto stabilisce le seguenti tempistiche:

6 mesi dalla data di entrata in vigore per identificare i soggetti obbligati e notificare all’ACN le entità essenziali.
12 mesi per implementare le misure organizzative e tecniche minime previste.
24 mesi per la piena conformità, incluse le attività di audit e formazione del personale.

Per conformarsi al d.lgs. 138/2024, le organizzazioni devono seguire una strategia strutturata. In particolare, le azioni più importanti da intraprendere saranno:

creare un team interno dedicato alla cybersecurity, e nominare un Responsabile per la Sicurezza delle Informazioni;
eseguire una mappatura dei rischi, identificando le vulnerabilità più critiche;
implementare misure di sicurezza come sistemi di rilevazione delle intrusioni (IDS/IPS), crittografia avanzata per la protezione dei dati, redazione piani di risposta agli incidenti (IRP);
organizzare corsi di formazione per tutti i dipendenti su phishing, malware e comportamenti sicuri online, ed eseguire simulazioni di attacchi (es. penetration test).
predisporre procedure per la notifica degli incidenti, con canali diretti verso l’ACN e il CSIRT e stabilire un sistema di monitoraggio continuo;
condurre audit periodici per verificare la conformità alle normative e aggiornare le misure di sicurezza in base all’evoluzione delle minacce.

Se vuoi saperne di più, contattaci su info@braincompanyhub.com .

Articolo a cura di

Dott. Kristian Russo

About the Author: admin

NUOVO PIANO TRANSIZIONE 5.0

ZES UNICA: LE NOVITÀ DELLA LEGGE DI BILANCIO 2025

MADE IN ITALY: INCENTIVI A FONDO PERDUTO PER INVESTIMENTI NEL SETTORE TESSILE, MODA E ACCESSORI

FONDO NUOVE COMPETENZE: UN’OPPORTUNITÀ PER AZIENDE E LAVORATORI

RIVALUTAZIONE DEL VALORE DELLE PARTECIPAZIONI E DEI TERRENI

Leave A Comment Annulla risposta

Articoli recenti