Direttiva NIS2: Scadenze e contenuti chiave da conoscere

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS2) di derivazione europea.

Il recepimento della direttiva con il decreto legislativo del 4 settembre 2024, n. 138  mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea.

Chi è interessato alla Direttiva NIS?

Il campo di applicazione è ampliato a 18 settori, di cui 11 altamente critici e 7 critici interessando oltre 80 tipologie di soggetti pubblici e privati. La Direttiva si applica ad una gamma più ampia di settori rispetto alla versione precedente. Tra i principali destinatari:

Operatori di servizi essenziali “altamente critici”:
  • Energia
  • Trasporti
  • Settore sanitario
  • Settore bancario
  • Gestione acque
  • Infrastrutture digitali
  • Pubbliche amministrazioni
 Aziende medio-grandi di settori “critici”:
  • Gestione rifiuti
  • Produzione e trasformazione e distribuzione di alimenti
  • Fabbricazione:
    • Fabbricazione apparecchiature elettriche
    • Fabbricazione di macchinari ed apparecchiature n.c.a.
    • Fabbricazione di autoveicoli, rimorchi e semirimorchi
    • Fabbricazione di altri mezzi di trasporto
  • Produzione e distribuzione di sostanze chimiche
  • Fornitori di servizi digitali

 

Per un maggior dettaglio dei settori interessati fare riferimento al sito ACN: https://www.acn.gov.it/portale/nis/ambito

 

Obblighi chiave della Direttiva NIS2

Le aziende interessate devono adeguarsi a requisiti precisi per garantire la protezione contro minacce informatiche. Gli obblighi principali includono:

  1. Gestione del rischio e misure di sicurezza: Identificazione dei potenziali punti di vulnerabilità e implementazione di politiche e processi per ridurre i rischi legati alla sicurezza informatica.
  2. Piani di risposta agli incidenti: Preparazione di strategie per la gestione e il contenimento di eventuali attacchi informatici.
  3. Obbligo di notifica: Segnalazione degli incidenti significativi entro 24 ore dall’identificazione, con un rapporto dettagliato entro 72 ore.
  4. Responsabilità della Direzione: I dirigenti aziendali sono direttamente responsabili della supervisione delle misure di sicurezza adottate.
  5. Audit e verifiche periodiche: Monitoraggio continuo per garantire la conformità e migliorare la resilienza.
Scadenza importanti

Per le organizzazioni soggette alla NIS2, le principali scadenze da rispettare sono le seguenti:

  • Entro il 28 febbraio 2025: Le organizzazioni identificate come soggetti essenziali o importanti devono registrarsi sulla piattaforma digitale messa a disposizione dall’ACN (Agenzia per la Cybersicurezza Nazionale).

IMPORTANTE: La mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.

  • Entro aprile 2025: L’ACN comunicherà l’elenco ufficiale dei soggetti coinvolti dalla direttiva NIS2
  • A partire da gennaio 2026: adempimento agli obblighi di base in materia di notifica di incidente
  • Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
  • Entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine
  • Entro settembre 2026: completa implementazione delle misure di sicurezza di base

 

Come prepararsi?

Per affrontare al meglio i requisiti della Direttiva NIS2, devono seguire i seguenti passaggi:

  • Analisi dei gap: Valutare lo stato attuale della sicurezza informatica rispetto ai requisiti della NIS2.
  • Pianificazione strategica delle misure di adeguamento: Aggiornare le infrastrutture IT ed i processi interni per soddisfare i nuovi standard.
  • Supporto tecnico monitoraggio continuo: Implementare sistemi di controllo per verificare costantemente la conformità normativa e le soluzioni richieste.
  • Formazione personalizzata del personale aziendale: sensibilizzare i dipendenti e i dirigenti sui nuovi obblighi e rischi.

 

Contattaci per una consulenza personalizzata

La Direttiva NIS2 rappresenta una sfida ma anche un’opportunità per le aziende di migliorare la propria resilienza contro le minacce informatiche. Agire tempestivamente e con un approccio strategico consentirà di non farsi trovare impreparati alle nuove scadenze normative.

Anche se la vostra azienda non rientra tra i soggetti obbligati dalla Direttiva NIS2, i vostri clienti potrebbero richiedervi l’adozione dei suoi principi o l’adesione a standard volontari sulla sicurezza dei dati, come la ISO 27001. Questa norma, infatti, copre gran parte dei requisiti previsti dalla Direttiva, rendendo più semplice l’adeguamento e garantendo una maggiore conformità alle best practice di settore.

Non aspettare l’ultimo momento! Preparati con il nostro team di esperti. Contattaci per ricevere una consulenza su misura e garantire la conformità della tua azienda alla nuova Direttiva.

Per affrontare al meglio i requisiti della Direttiva NIS2, le aziende possono contare sul supporto dello STUDIO QUALITY, che, in collaborazione con SISTECHNOLOGY (società del gruppo SISTEMI CUNEO), offre un servizio completo di consulenza e assistenza tecnica.

Insieme, offriamo soluzioni su misura per garantire la tua conformità e proteggere la tua organizzazione.

 


Sito ufficiale ACN: https://www.acn.gov.it/portale/nis/ambito 

 

Condividi: