Adeguamento alla NIS 2: chi è soggetto, scadenze e adempimenti – Tutto quello che devi sapere

Che cos’è la Direttiva NIS 2?

Il 1° ottobre 2024 l’Italia ha ufficialmente recepito la direttiva europea NIS2 (2022/2555), con la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo n.138.

La direttiva NIS2 ha l’obiettivo di promuovere il raggiungimento di un elevato livello comune di sicurezza informatica nei Paesi membri dell’Unione Europea.

Il decreto pubblicato in G.U. recepisce la direttiva e indica gli obiettivi, le modalità di attuazione, le organizzazioni soggette e le scadenze per l’adeguamento in Italia.

Vediamo nel dettaglio tutto quello che devi sapere sulla NIS 2.

Quali sono le aziende soggette alla Direttiva NIS 2?

La NIS 2 si applica ad organizzazioni pubbliche e private che sono strategiche per il Paese in quanto fornitori di servizi essenziali. Queste includono alcune tipologie di amministrazioni ed enti pubblici ed organizzazioni pubbliche e private che operano in settori ad alta criticità, come:

• Produzione e distribuzione di energia
• Sanità
• Trasporti
• Banking e finanza
• Acque potabili e reflue
• Infrastrutture digitali
• Gestione servizi TIC (B2B)
• Spazio

A queste, si aggiungono le organizzazioni che operano in altri settori critici, quali:

• Servizi postali e di corriere
• Gestione dei rifiuti
• Sostanze chimiche
• Alimentare
• Fabbricazione di dispositivi medici, computer, elettronica, ottica, apparecchiature elettriche, macchinari, mezzi di trasporto
• Fornitori di servizi digitali
• Ricerca

Nella maggior parte dei casi, la Direttiva NIS 2 si applica quando le imprese appartenenti ai suddetti settori impiegano 50 dipendenti o più e realizzano un fatturato annuo o un totale di bilancio almeno di 10 milioni di euro.

Vi sono casi in cui la Direttiva si applica a prescindere dalla dimensione dell’organizzazione, riportate nell’Art. 3 del decreto di recepimento, tra i quali i fornitori di soggetti essenziali e soggetti importanti, determinate pubbliche amministrazioni.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

I soggetti indicati sono tenuti a adottare misure tecniche, operative e organizzative proporzionali e adeguate alla gestione dei rischi posti alla sicurezza informatica, che comprendono:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
• Gestione degli incidenti
• Continuità operativa, backup e disaster recovery
• Sicurezza della catena di approvvigionamento
• Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete
• Gestione e la divulgazione delle vulnerabilità
• Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica
• Formazione
• Crittografia e cifratura
• Controllo degli accessi del personale e dell’uso di beni e asset
• Autenticazione multifattore
• Modalità di comunicazione protette

Maggiori dettagli verranno definiti dall’Agenzia per la cybersicurezza nazionale sulla base di parametri specifici come il grado di esposizione al rischio, dimensione, probabilità di incidenti e possibile impatto.

Obblighi in materia di notifica di incidente

Le organizzazioni soggette alla NIS 2 hanno l’obbligo di notificare al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.

Entro 24 ore da quando l’organizzazione è venuta a conoscenza dell’incidente, deve essere inviata una pre-notifica che indichi se l’incidente può essere stato causato da atti malevoli o se può avere impatto anche all’esterno del Paese.

Entro 72 ore da quando l’organizzazione è venuta a conoscenza dell’incidente, deve essere inviata una notifica con una prima valutazione dell’incidente.

Se richiesta dal CSIRT Italia, l’organizzazione è tenuta a fornire una relazione intermedia.

Entro un mese dall’incidente l’organizzazione deve fornire un report finale su tutti i dettagli quali cause, misure di remediation adottate e impatto transfrontaliero.

Scadenze per l’adeguamento alla Direttiva NIS 2 in Italia

L’Italia ha definito una serie di scadenze per l’adeguamento delle organizzazioni alla Direttiva NIS 2. Ne riportiamo le principali:

• 31 dicembre 2024: scadenza per lo svolgimento di un assessment volto a definire se la propria organizzazione sia soggetta a NIS 2.
• 28 febbraio 2025: scadenza per la registrazione delle organizzazioni soggette in un portale che verrà reso disponibile dall’ACN (Agenzia per la Cybersicurezza Nazionale), con alcune eccezioni per le quali la scadenza sarà più breve.
• 15 aprile 2025: scadenza per la comunicazione da parte dell’ACN dell’elenco dei soggetti essenziali e importanti.
• 1° gennaio 2026: scadenza per l’adempimento all’obbligo di notifica degli incidenti.
• 1° ottobre 2026: scadenza per l’adempimento agli obblighi sulle misure di sicurezza.

Vigilanza e sanzioni sugli adempimenti alla Direttiva NIS 2

Il Decreto di recepimento incarica l’ACN, in quanto Autorità nazionale competente NIS, di effettuare monitoraggio, ispezioni e verifiche sull’adozione delle misure tecniche previste per fronteggiare il rischio alla sicurezza informatica e sugli obblighi in materia di notifica di incidente.

In caso di inosservanza degli obblighi, l’Autorità nazionale competente NIS può imporre sanzioni commisurate alla violazione, fino ad un massimo di:

• 10 milioni o fino al 2% del fatturato annuo su scala mondiale in caso di soggetti essenziali.
• 7 milioni o fino a 1,4% del fatturato annuo su scala mondiale in caso di soggetti importanti.

Conclusione

L’entrata in vigore della Direttiva NIS 2 rappresenta un passaggio cruciale per garantire la sicurezza informatica nelle organizzazioni che offrono servizi essenziali. Le aziende coinvolte devono adottare misure adeguate a proteggersi da rischi sempre più sofisticati e adeguarsi tempestivamente alle nuove normative.

Affrontare queste sfide con la dovuta attenzione non è solo un obbligo legale, ma un’opportunità per rafforzare la fiducia dei clienti e consolidare la propria posizione competitiva nel mercato.

Resta fondamentale affidarsi a partner competenti per implementare con successo tutte le misure richieste dalla NIS 2 e garantire la continuità del business.

Distline ti aiuta a sviluppare e implementare passo-passo una strategia personalizzata per l’adeguamento alla NIS 2: richiedi una consulenza gratuita con i nostri Esperti per scoprire come possiamo aiutarti.

Continua a leggere…

• 
  Adeguamento alla NIS 2: chi è soggetto, scadenze e adempimenti – Tutto quello che devi sapere08/10/2024
  La Direttiva Europea NIS 2 ha l’obiettivo di elevare il livello comune di sicurezza informatica nell’UE. In questo articolo analizziamo il Decreto Legislativo di recepimento della NIS 2 in Italia, esaminando che cos’è la direttiva NIS 2, quali sono le organizzazioni tenute all’adeguamento, gli adempimenti previsti, le scadenze e le sanzioni in caso di inosservanza.
• 
  Microsoft Copilot: l’AI che aumenta la produttività del lavoro su Office 17/04/2024
  Copilot, la nuova AI generativa di Microsoft, è progettata per ottimizzare la produttività nelle attività quotidiane svolte con la Suite Microsoft 365. Grazie alla sua intelligenza artificiale avanzata, Copilot offre assistenza e suggerimenti per migliorare l’efficienza e semplificare le operazioni all’interno dell’ecosistema Microsoft.
• 
  La sicurezza IT in Italia: analisi del Rapporto Clusit 202404/04/2024
  Le minacce informatiche sono sempre più numerose e stare al loro passo è diventata una vera e propria sfida. Per prevenire eventuali cyber attacchi, le aziende necessitano di avere una panoramica dettagliata dei rischi del mondo digitale. Nasce per questo motivo il Rapporto Clusit, uno strumento prezioso che offre un’analisi annuale sugli incidenti di sicurezza più significativi avvenuti a livello globale, con particolare attenzione all’Italia.
• 
  Regolamento DORA e rischio informatico: pubblicato su Cybersecurity360 l’articolo del Compliance Manager di Distline19/02/2024
  La rinomata testata Cybersecurity360 ha pubblicato un articolo redatto dal nostro Compliance Manager dal titolo “DORA e rischio informatico: automazione del processo di valutazione dei fornitori di servizi ICT”.
• 
  Distline si è certificata secondo gli standard ISO 9001 e ISO/IEC 2700106/11/2023
  In Distline ci impegniamo ogni giorno a fornire servizi IT di alta qualità, sicuri, affidabili e innovativi, per soddisfare le esigenze e le aspettative dei nostri Clienti.
  Per questo siamo orgogliosi di annunciare la certificazione dei nostri Sistemi di Gestione della Qualità e della Sicurezza delle Informazioni secondo gli standard ISO 9001 e ISO/IEC 27001!
• 
  Perché l’XDR è essenziale nel 202410/07/2023
  L’XDR è una tecnologia di Cybersecurity che estende la capacità di rilevamento e di risposta a minacce emergenti e sofisticate, analizzando e correlando i dati provenienti da prodotti di sicurezza diversi.
  In un panorama in cui gli attacchi informatici sono sempre più mirati, è necessario avere una visione globale delle minacce informatiche in un’unica interfaccia, senza il bisogno di usare più piattaforme.
  Nel seguente articolo spiegheremo nel dettaglio quali sono le funzionalità dell’XDR e perché è uno strumento che Distline consiglia fortemente.