Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS2) di derivazione europea.
Il recepimento della direttiva con il decreto legislativo del 4 settembre 2024, n. 138 mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea.
Chi è interessato alla Direttiva NIS?
Il campo di applicazione è ampliato a 18 settori, di cui 11 altamente critici e 7 critici interessando oltre 80 tipologie di soggetti pubblici e privati. La Direttiva si applica ad una gamma più ampia di settori rispetto alla versione precedente. Tra i principali destinatari:
Operatori di servizi essenziali “altamente critici”:
- Energia
- Trasporti
- Settore sanitario
- Settore bancario
- Gestione acque
- Infrastrutture digitali
- Pubbliche amministrazioni
Aziende medio-grandi di settori “critici”:
- Gestione rifiuti
- Produzione e trasformazione e distribuzione di alimenti
- Fabbricazione:
- Fabbricazione apparecchiature elettriche
- Fabbricazione di macchinari ed apparecchiature n.c.a.
- Fabbricazione di autoveicoli, rimorchi e semirimorchi
- Fabbricazione di altri mezzi di trasporto
- Produzione e distribuzione di sostanze chimiche
- Fornitori di servizi digitali
Per un maggior dettaglio dei settori interessati fare riferimento al sito ACN: https://www.acn.gov.it/portale/nis/ambito
Obblighi chiave della Direttiva NIS2
Le aziende interessate devono adeguarsi a requisiti precisi per garantire la protezione contro minacce informatiche. Gli obblighi principali includono:
- Gestione del rischio e misure di sicurezza: Identificazione dei potenziali punti di vulnerabilità e implementazione di politiche e processi per ridurre i rischi legati alla sicurezza informatica.
- Piani di risposta agli incidenti: Preparazione di strategie per la gestione e il contenimento di eventuali attacchi informatici.
- Obbligo di notifica: Segnalazione degli incidenti significativi entro 24 ore dall’identificazione, con un rapporto dettagliato entro 72 ore.
- Responsabilità della Direzione: I dirigenti aziendali sono direttamente responsabili della supervisione delle misure di sicurezza adottate.
- Audit e verifiche periodiche: Monitoraggio continuo per garantire la conformità e migliorare la resilienza.
Scadenza importanti
Per le organizzazioni soggette alla NIS2, le principali scadenze da rispettare sono le seguenti:
- Entro il 28 febbraio 2025: Le organizzazioni identificate come soggetti essenziali o importanti devono registrarsi sulla piattaforma digitale messa a disposizione dall’ACN (Agenzia per la Cybersicurezza Nazionale).
IMPORTANTE: La mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.
- Entro aprile 2025: L’ACN comunicherà l’elenco ufficiale dei soggetti coinvolti dalla direttiva NIS2
- A partire da gennaio 2026: adempimento agli obblighi di base in materia di notifica di incidente
- Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
- Entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine
- Entro settembre 2026: completa implementazione delle misure di sicurezza di base
Come prepararsi?
Per affrontare al meglio i requisiti della Direttiva NIS2, devono seguire i seguenti passaggi:
- Analisi dei gap: Valutare lo stato attuale della sicurezza informatica rispetto ai requisiti della NIS2.
- Pianificazione strategica delle misure di adeguamento: Aggiornare le infrastrutture IT ed i processi interni per soddisfare i nuovi standard.
- Supporto tecnico monitoraggio continuo: Implementare sistemi di controllo per verificare costantemente la conformità normativa e le soluzioni richieste.
- Formazione personalizzata del personale aziendale: sensibilizzare i dipendenti e i dirigenti sui nuovi obblighi e rischi.
Contattaci per una consulenza personalizzata
La Direttiva NIS2 rappresenta una sfida ma anche un’opportunità per le aziende di migliorare la propria resilienza contro le minacce informatiche. Agire tempestivamente e con un approccio strategico consentirà di non farsi trovare impreparati alle nuove scadenze normative.
Anche se la vostra azienda non rientra tra i soggetti obbligati dalla Direttiva NIS2, i vostri clienti potrebbero richiedervi l’adozione dei suoi principi o l’adesione a standard volontari sulla sicurezza dei dati, come la ISO 27001. Questa norma, infatti, copre gran parte dei requisiti previsti dalla Direttiva, rendendo più semplice l’adeguamento e garantendo una maggiore conformità alle best practice di settore.
Non aspettare l’ultimo momento! Preparati con il nostro team di esperti. Contattaci per ricevere una consulenza su misura e garantire la conformità della tua azienda alla nuova Direttiva.
Per affrontare al meglio i requisiti della Direttiva NIS2, le aziende possono contare sul supporto dello STUDIO QUALITY, che, in collaborazione con SISTECHNOLOGY (società del gruppo SISTEMI CUNEO), offre un servizio completo di consulenza e assistenza tecnica.
Insieme, offriamo soluzioni su misura per garantire la tua conformità e proteggere la tua organizzazione.
Sito ufficiale ACN: https://www.acn.gov.it/portale/nis/ambito