Direttiva NIS 2 e cybersecurity: la tua azienda è in regola?
Scopri tutti i dettagli e le scadenze
La cybersecurity è un tema che è diventato ormai fondamentale in ogni settore, visto il numero crescente di attacchi informatici che portano non solo al furto di dati sensibili, ma in diversi casi anche al blocco totale dell’operatività di un’impresa.
Questo tema è diventato ora ancora più importante, grazie alla direttiva NIS 2, a cui molte aziende sono tenute ad adempiere.
Recepita in Italia il 17 ottobre 2024, questa normativa europea sulla sicurezza informatica ha l’obiettivo di creare una risposta comune in tutta l’UE contro gli attacchi informatici, aumentando e rendendo uniformi gli standard di sicurezza.
In vista della scadenza del 31 maggio, entro cui tutte le aziende registrate al Portale ACN dovranno integrare e confermare le informazioni inserite, è stato comunicato che a chi ha richiesto assistenza all’Agenzia per la Cybersicurezza Nazionale su questa procedura, è stata concessa una proroga fino al 31 luglio per completare l’aggiornamento.
Per fare ancora più chiarezza, cogliamo l’occasione per offrirti un riepilogo, semplice ma dettagliato, su come funziona questa normativa.
E se hai bisogno di supporto, il nostro team specializzato è a disposizione per te: clicca qui per saperne di più.
I punti chiave della NIS 2
I punti chiave della direttiva NIS 2 sono:
- Un ambito di applicazione molto più ampio rispetto alla NIS 1, e che comprende grandi e medie imprese in settori critici (es.: energia, trasporti, finanza…) e introduce le categorie di Entità essenziali (grandi aziende strategiche) ed Entità importanti (medie imprese strategiche).
- Obblighi più rigorosi, con l’adozione di misure minime tecniche e organizzative adeguate al rischio.
- La notifica obbligatoria di eventuali incidenti di sicurezza.
- La responsabilità diretta di amministratori e top management per il rispetto della norma, con eventuali sanzioni anche personali.
- I poteri dati alle autorità nazionali di ispezione, audit e applicazione di sanzioni (in alcuni casi fino a 10 milioni di euro o il 2% del fatturato globale annuo).
- Inoltre, a livello europeo sarà istituito un network più strutturato tra le autorità di cybersicurezza dei vari Paesi.
NIS 2: chi è coinvolto?
In generale, i requisiti di cui tenere conto per capire quali sono le imprese che sono tenute ad adempiere sono le dimensioni, la tipologia di servizio erogato e l’impatto che la sua interruzione o compromissione avrebbe sulla sicurezza nazionale, salute pubblica o economia.
Nello specifico, la normativa coinvolge Medie e Grandi imprese (sopra i 50 dipendenti e i 10 milioni di euro di fatturato) che lavorano in particolari settori. Nello specifico sono state istituite due categorie:
- Entità essenziali – Grandi imprese e organizzazioni pubbliche/private che operano in settori altamente critici.
- Entità importanti – Imprese medie (non solo grandi) che operano in settori critici.
I settori interessati sono stati quindi divisi in due aree diverse.
- Settori ad alta criticità: includono energia, trasporti, bancario, infrastrutture finanziarie, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
- Altri settori critici: includono servizi postali e di corriere, gestione dei rifiuti, industria manifatturiera appartenente a specifici codici ATECO, prodotti chimici, alimentare, digital service providers, fornitori di servizi ICT (come Managed Service Providers – MSP), e ricerca scientifica critica.
Anche un’azienda con meno di 50 dipendenti potrebbe essere coinvolta, come per esempio nei seguenti casi:
- se è l’unico fornitore di un servizio essenziale
- se l’interruzione del suo servizio potrebbe avere un impatto significativo sulla salute o sulla sicurezza pubbliche
- se eroga servizi essenziali a soggetti obbligati
Come ci si adegua alla NIS 2?
Adeguarsi alla direttiva NIS 2 significa, per le aziende coinvolte, affrontare un percorso strutturato che implica diverse fasi, oltre alla preparazione di documenti chiave, come ad esempio la Policy di sicurezza delle informazioni, il Piano di gestione degli incidenti, o il Registro dei rischi IT.
L’ACN ha stabilito poi delle misure minime, tecniche e organizzative, da adottare per procedere con un corretto adempimento alla normativa. Queste misure sono divise in 5 aree distinte e sono i pilastri da presidiare per essere compliant.
- Identify: identificare asset, rischi, ruoli, responsabilità
- Protect: proteggere sistemi e dati critici
- Detect: rilevare eventi anomali e minacce
- Respond: rispondere rapidamente agli incidenti
- Recover: ripristinare le operazioni dopo incidenti
Ognuna di queste misure implica delle azioni da implementare nella propria azienda, che vanno dall’analisi dei rischi ai sistemi di controllo, alla formazione del personale ai piani di continuità: tutte attività che vanno organizzate in maniera attenta per potersi considerare adempienti e quindi al sicuro dagli attacchi informatici e dalle sanzioni.
Due punti importanti da notare sono che:
- gli obblighi sono proporzionati, tenendo infatti conto della dimensione, della gravità potenziale degli incidenti e del rischio specifico
- gli operatori già soggetti a obblighi precedenti (ex direttiva NIS1, telco, PSNC) devono mantenere le misure già adottate finché non saranno pienamente adempienti.
Quali sono le scadenze?
La normativa è stata recepita in Italia il 17 ottobre 2024, mentre in aprile di quest’anno l’ACN ha inviato una PEC a tutti i soggetti registrati nel portale ACN per confermare la loro qualifica come soggetti obbligati (essenziali o importanti).
- Il 31 maggio scadono i termini per l’integrazione delle informazioni comunicate all’ACN.
- A chi ha richiesto formalmente assistenza all’Agenzia per la Cybersicurezza Nazionale su questa procedura, è stata però concessa una proroga fino al 31 luglio per l’aggiornamento dei dati.
- Entro 9 mesi dalla comunicazione post-registrazione (ricevuta ad Aprile 2025) i soggetti obbligati dovranno essere pronti per la notifica degli incidenti significativi (pre-notifica entro 24 ore, notifica completa entro 72 ore).
- In seguito, entro 18 mesi dalla comunicazione, i soggetti obbligati dovranno avere implementato le misure di sicurezza minime definite dall’ACN.
- Dopo un anno dalla creazione del modello di adeguamento le aziende dovranno condurre un audit di verifica delle misure informatiche, da ripetere poi annualmente.
Gli obiettivi
Gli obiettivi della nuova direttiva NIS 2 sono quelli di:
- Rafforzare il livello di cybersicurezza in tutta l’Unione Europea
- Ampliare il numero e i tipi di organizzazioni soggette agli obblighi di sicurezza e notifica
- Definire requisiti più stringenti in termini di gestione del rischio, governance, e risposta agli incidenti
La normativa può quindi diventare l’opportunità per la tua azienda di proteggersi in modo mirato dal rischio sempre più concreto di attacchi informatici, evitando blocchi nella tua operatività o il furto di dati sensibili.
Con Scuadra possiamo supportarti in ogni fase del processo di adempimento alla direttiva NIS 2, affiancandoti sia dal lato tecnico che da quello procedurale, organizzativo, formativo e legale, grazie alle competenze approfondite del nostro team specializzato.
Qui trovi tutti i dettagli sul nostro servizio.
Se preferisci, invece, contattaci direttamente per saperne di più su come possiamo aiutarti e per dimenticarti ogni pensiero a riguardo: 0423 496792 – info@scuadra.it
Articoli Correlati
NIS 2: scade il termine per la registrazione al Portale ACN
Scadono i termini per i soggetti tenuti a essere compliant al decreto NIS 2
NIS2 e Cybersecurity – Webinar Gratuito
Iscriviti gratuitamente per conoscere tutte le informazioni
Direttiva NIS2 sulla Cybersecurity: cosa cambia per la tua azienda
Scopri come deve adeguarsi la tua azienda
Whistleblowing D.Lgs 24/2023: la nuova normativa per le aziende pubbliche e private
È entrata in vigore la nuova legge: come adeguarsi