Direttiva NIS2

Sicurezza delle Reti e dei Sistemi Informatici

Cos’è la Direttiva NIS2 e quali importanti cambiamenti apporta?

La Direttiva NIS2 (Network and Information Security) è una normativa fondamentale introdotta dall’Unione Europea per rafforzare la sicurezza delle reti e dei sistemi informatici all’interno dell’UE. Questa direttiva, entrata in vigore nell’ottobre 2024, mira a prevenire e mitigare le minacce informatiche in un contesto in cui gli attacchi sono sempre più frequenti e sofisticati. La direttiva impone alle aziende di adeguarsi a nuove regole stringenti, che coinvolgono non solo le loro infrastrutture IT, ma anche la loro gestione dei rischi e la formazione del personale.

La direttiva NIS2 pone una particolare responsabilità sulla dirigenza aziendale, che sarà direttamente chiamata a rispondere in caso di mancata adozione delle misure di sicurezza previste. Le sanzioni per le violazioni sono significative e possono variare in base alla gravità dell’infrazione. Le aziende che non si adeguano alla direttiva rischiano sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo dell’azienda, come stabilito dall’articolo 21 e dall’articolo 23.

I vantaggi

L’adeguamento alla Direttiva NIS2 offre numerosi vantaggi strategici e operativi per le aziende. Questi benefici non solo contribuiscono a rafforzare la sicurezza interna, ma permettono anche di migliorare la propria posizione competitiva e la reputazione aziendale.

Prevenzione dei rischi

Conformità normativa

Riduzione incidenti

Miglioramento reputazione

Direttiva NIS2

I nuovi soggetti e settori coinvolti nella normativa

La Direttiva NIS2 espande notevolmente il numero di settori coinvolti rispetto alla precedente normativa NIS, suddividendoli in settori essenziali e settori importanti. I soggetti essenziali, come previsto dall’Allegato I, includono imprese e enti che operano in settori ad alta criticità, come:

  • Energia, trasporti, infrastrutture bancarie e finanziarie.
  • Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione accessibili al pubblico.
  • Imprese con più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro.

I soggetti importanti, elencati nell’Allegato II, comprendono imprese che non rientrano nei soggetti essenziali, ma che operano in settori critici come la sanità, la distribuzione di acqua potabile, la pubblica amministrazione e la gestione di servizi di pubblica utilità. La direttiva impone anche misure di sicurezza per la supply chain, coinvolgendo indirettamente anche le aziende che, pur non essendo soggette alla NIS2, fanno parte delle catene di approvvigionamento di soggetti essenziali o importanti.

Vuoi effettuare autonomamente una prima valutazione aziendale in merito ai nuovi gap della normativa NIS2?

Direttiva NIS2

Consulenza di Scanavino & Partners

Scanavino & Partners mette a disposizione un servizio completo di consulenza per supportare le aziende nell’adeguamento alla Direttiva NIS2. Grazie alla nostra lunga esperienza nel settore, aiutiamo le organizzazioni a sviluppare un modello organizzativo integrato basato sugli standard internazionali, come ISO 27001, ISO 22301 e ISO 20000-1.

Il nostro approccio prevede una valutazione iniziale dei rischi (Risk Analysis) e l’implementazione di misure tecniche e organizzative per garantire la conformità alla normativa. Offriamo inoltre un’assistenza continuativa per monitorare e migliorare le pratiche di cybersecurity delle aziende, promuovendo un modello di gestione che permette di prevenire e mitigare eventuali incidenti. Lavoriamo a stretto contatto con i nostri clienti per sviluppare soluzioni su misura, fornendo strumenti come la check list di assessment per una prima autovalutazione dei gap rispetto ai requisiti della direttiva.

Richiedi informazioni

Privacy *

FAQs

Direttiva NIS2: aspetti generali

La Direttiva NIS2 prevede una serie di misure obbligatorie per rafforzare la sicurezza delle reti e dei sistemi informatici delle aziende europee. Tra le principali disposizioni ci sono l'obbligo di condurre una gestione del rischio approfondita, implementare piani di continuità operativa, garantire la sicurezza della supply chain e attivare protocolli di gestione degli incidenti. La direttiva introduce anche la necessità di formare adeguatamente il personale e definisce responsabilità precise per i dirigenti aziendali. Il mancato rispetto delle misure previste comporta sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo dell’azienda.
La Direttiva NIS2 è stata emanata dal Parlamento Europeo e dal Consiglio dell'Unione Europea nel 2022, con l’obiettivo di aggiornare e rafforzare la prima Direttiva NIS del 2016. La NIS2 rappresenta un'evoluzione delle normative precedenti, con criteri più stringenti e una maggiore enfasi sulla responsabilità delle aziende e dei loro dirigenti.
I tre pilastri fondamentali della Direttiva NIS sono: gestione del rischio, continuità operativa e cooperazione tra Stati membri. Ogni azienda soggetta deve sviluppare politiche per identificare e gestire i rischi informatici, attuare piani di emergenza per garantire la continuità del servizio in caso di incidenti e collaborare con le autorità nazionali e internazionali per condividere informazioni su minacce e incidenti.
La Direttiva NIS2 entrerà in vigore a partire da ottobre 2024 in tutti gli Stati membri dell'Unione Europea. Le aziende devono iniziare subito a prepararsi, poiché il 2024 e il 2025 saranno anni cruciali per completare l’adeguamento ai requisiti della direttiva e ottenere la conformità richiesta.
Le sanzioni previste dalla NIS2 sono irrogate dalle autorità competenti nazionali degli Stati membri dell’UE. Ogni Paese ha il compito di stabilire un’autorità di controllo responsabile per la vigilanza, l'applicazione delle sanzioni e il monitoraggio del rispetto della direttiva. Le sanzioni possono includere multe significative, fino a 10 milioni di euro, e altre misure correttive.

Direttiva NIS2: i soggetti e i settori coinvolti

La Direttiva NIS2 si rivolge a tutte le aziende pubbliche e private che forniscono servizi critici o che operano in settori di interesse strategico per l’economia e la sicurezza dell’Unione Europea. Gli enti inclusi devono adottare misure tecniche e organizzative per proteggere i propri sistemi informatici e garantire la continuità dei servizi offerti. La direttiva attribuisce particolare rilevanza alle imprese che superano le soglie di dimensione e fatturato indicate negli Allegati I e II della normativa.
La NIS2 si applica a tutte le aziende che operano in settori considerati critici o ad alta criticità, suddivisi in due categorie: soggetti essenziali e soggetti importanti. Rientrano in questa normativa le imprese con oltre 250 dipendenti o con un fatturato superiore a 50 milioni di euro. Includono settori come l'energia, la sanità, le telecomunicazioni, le infrastrutture bancarie e finanziarie, e i fornitori di reti e servizi di comunicazione. Anche le piccole e medie imprese possono essere coinvolte, soprattutto se fanno parte della supply chain di soggetti ritenuti essenziali.
I soggetti obbligati sono suddivisi in soggetti essenziali e soggetti importanti. I soggetti essenziali includono grandi aziende che operano in settori come energia, trasporti, salute e infrastrutture finanziarie. I soggetti importanti, invece, comprendono organizzazioni che, pur avendo un ruolo meno critico, sono comunque rilevanti per la sicurezza dell'UE, come le piccole imprese nel settore delle telecomunicazioni e della sanità.
I settori primari della Direttiva NIS2, considerati settori ad alta criticità, sono quelli elencati nell'Allegato I della normativa, tra cui: energia, trasporti, sanità, infrastrutture digitali, fornitura di acqua potabile e gestione dei rifiuti. Sono inclusi anche il settore alimentare, le banche, i mercati finanziari e le pubbliche amministrazioni. La direttiva considera essenziali le aziende che superano determinate soglie di dimensione e fatturato, con un focus su quelle che garantiscono servizi cruciali per il buon funzionamento della società.
La NIS2 richiede alle aziende di garantire la sicurezza della catena di approvvigionamento (supply chain), assicurando che tutti i fornitori e i partner commerciali rispettino i requisiti di sicurezza previsti dalla normativa. Questo implica la valutazione dei rischi legati ai fornitori, l'implementazione di misure di sicurezza specifiche lungo tutta la filiera e la gestione delle vulnerabilità nelle relazioni tra aziende e terze parti. Anche le imprese che non sono direttamente soggette alla NIS2 possono essere coinvolte se fanno parte della supply chain di soggetti essenziali o importanti.