GUIDE E HOW-TO

NIS2: a chi si applica e per quali aziende è obbligatoria

Home Executive
Indirizzo copiato

La seconda versione della Network and Information Security Directive, in vigore dallo scorso 16 ottobre, amplia il campo di attuazione della normativa a 18 settori e oltre 80 tipologie di soggetti, distinguendoli in essenziali e importanti. Una panoramica e le scadenze da rispettare

Pubblicato il 24 gen 2025
Nis2 a chi si applica

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (Direttiva NIS2) di derivazione europea. Il decreto legislativo del 4 settembre 2024, n.138 (decreto NIS), recepisce la direttiva europea e punta a migliorare la sicurezza informatica delle imprese e delle Pubbliche Amministrazioni in Italia, in linea con gli altri Paesi dell’Unione Europea.

Introduzione alla Direttiva NIS2

Pubblicata ufficialmente nel gennaio 2023, Direttiva NIS2, aggiorna e sostituisce la precedente Direttiva NIS del 2016, ampliandone significativamente il campo di applicazione e introducendo nuovi obblighi per le organizzazioni.

Lo scopo della NIS2 è rafforzare la resilienza dei sistemi informatici e garantire un livello uniforme di sicurezza in tutti gli Stati membri dell’Unione Europea, in un contesto in cui le minacce informatiche stanno diventando sempre più sofisticate, con conseguenze potenzialmente devastanti per l’economia, la società e la sicurezza nazionale.

A questo proposito, tra il 1° dicembre 2024 e il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa devono registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN). Da aprile 2025 inizierà un percorso collaborativo per rafforzare la resilienza in tema di cybersecurity.

NIS2: cosa prevede e come adeguarsi alla Direttiva che impone nuovi standard di sicurezza informatica

A chi si applica la Direttiva? I settori interessati dalla NIS2

La nuova direttiva NIS2 amplia il campo di applicazione della normativa a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti (che approfondiamo in seguito).

I settori principali sono:

  • Energia: aziende e utility operanti nella generazione, distribuzione e fornitura di energia, incluse le reti elettriche intelligenti;
  • Trasporti: infrastrutture ferroviarie, aeree, marittime e stradali;
  • Bancario e finanziario: istituti bancari e mercati finanziari, con una particolare attenzione alla sicurezza delle transazioni digitali;
  • Sanità: ospedali, fornitori di servizi sanitari e aziende farmaceutiche;
  • Fornitura e distribuzione di acqua potabile: gestori dell’infrastruttura idrica;
  • Infrastrutture digitali: fornitori di servizi cloud, data center, servizi DNS e reti di distribuzione dei contenuti (CDN);
  • Pubblica Amministrazione: enti governativi e istituzioni pubbliche che gestiscono dati sensibili;
  • Tecnologie spaziali: attività legate all’osservazione della Terra, alle telecomunicazioni satellitari e alla navigazione globale.

Nello schema a seguire è possibile avere una panoramica più dettagliata degli ambiti di applicazione (fonte: ACN).

NIS2: dettaglio ambiti di applicazionePDF Download

Comprendere le categorie di responsabili: soggetti essenziali e importanti

La NIS2 introduce una classificazione delle entità regolamentate in due categorie principali. Le differenze tra le due riguardano principalmente il livello di vigilanza e le sanzioni applicabili in caso di non conformità.

Soggetti essenziali: I settori essenziali comprendono quelle aree che, se compromesse, avrebbero un impatto grave sulla sicurezza e sull’economia di uno Stato. Si tratta di infrastrutture critiche per i servizi energetici, le telecomunicazioni, i trasporti e il settore bancario che, se interrotti, potrebbero provocare disagi significativi a livello nazionale e internazionale.

Soggetti importanti: In questa categoria rientrano i settori che, pur essendo critici, non presentano lo stesso livello di rischio immediato per l’economia in caso di interruzione. Ad esempio, i servizi sanitari o il settore dell’approvvigionamento alimentare. Sebbene questi ambiti siano fondamentali per il benessere della società, la loro interruzione non comporta le stesse conseguenze gravi di quelli essenziali.

Adempimenti principali per le aziende

1. Valutazione e gestione del rischio

La NIS2 richiede che le aziende implementino un sistema robusto di gestione dei rischi. Questo include una valutazione continua e approfondita dei rischi legati alla sicurezza informatica.

Approcci efficienti per la gestione dei rischi sotto la NIS2

Il processo dovrebbe prevedere:

  • Identificazione delle vulnerabilità: ogni organizzazione deve effettuare una mappatura accurata delle sue infrastrutture tecnologiche, identificando i punti deboli che potrebbero essere sfruttati da attaccanti esterni. L’analisi delle vulnerabilità deve coprire non solo le reti e i sistemi, ma anche i processi aziendali e la gestione delle risorse umane, che sono anch’essi obiettivi sensibili.
  • Adozione di un piano di mitigazione: dopo aver identificato i rischi, l’azienda deve elaborare e attuare un piano di mitigazione. Questo piano deve essere basato su una valutazione di impatto che consideri la probabilità di un attacco e la gravità delle conseguenze. L’adozione di misure preventive, come firewall avanzati, crittografia dei dati e accessi privilegiati ben controllati, è cruciale per limitare i danni in caso di attacco.

2. Notifica degli incidenti

La NIS2 stabilisce che le aziende devono segnalare gli incidenti di sicurezza che abbiano un impatto significativo sulla sicurezza delle reti o dei sistemi informativi. Le specifiche sono molto chiare:

  • Segnalazione tempestiva: Gli incidenti di sicurezza devono essere notificati alle autorità competenti entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata da parte delle autorità, che possono avviare le indagini necessarie per contenere il danno.
  • Relazione dettagliata: Entro 72 ore dall’incidente, l’azienda deve fornire una relazione completa che includa la natura dell’incidente, i sistemi compromessi, le misure di contenimento adottate e i danni subiti.

3. Sicurezza della Supply Chain

Nella NIS2, non basta garantire la sicurezza interna dell’azienda. La direttiva sottolinea anche l’importanza di monitorare e gestire i rischi provenienti dalla Supply Chain. Le aziende devono:

  • Monitorare i fornitori: devono essere valutati i rischi legati ai fornitori di beni e servizi critici. Ciò include il controllo delle politiche di sicurezza informatica di ogni fornitore e la valutazione dei potenziali impatti negativi se tali fornitori dovessero subire un attacco informatico.
  • Imporre requisiti di sicurezza contrattuali: le aziende devono inserire nelle contrattazioni con i fornitori specifici requisiti di sicurezza informatica, come l’obbligo di utilizzare standard di protezione adeguati e di notificare tempestivamente qualsiasi incidente che possa compromettere la sicurezza.
Supply Chain Risk Mitigation: 10 passi per ridurre il rischio di interruzione della catena di fornitura

4. Formazione continua

La Direttiva, oltre a obbligare le aziende a implementare misure tecniche, riconosce anche l’importanza di una formazione continua per i dipendenti.
La sicurezza informatica è un campo in continuo sviluppo e il personale aziendale deve essere costantemente aggiornato per prevenire e rispondere efficacemente alle minacce emergenti. Il training deve riguardare i dipendenti a tutti i livelli, con particolare attenzione alla consapevolezza delle minacce più comuni, come il phishing e il Social Engineering. Inoltre, è importante istruire i dipendenti sulle migliori pratiche per proteggere i dati aziendali, come l’uso di password robuste, la gestione sicura delle informazioni sensibili e l’adozione di politiche di accesso rigorose.

5. Governance della sicurezza

La NIS2 attribuisce un ruolo centrale alla governance della sicurezza all’interno delle organizzazioni. Le misure di sicurezza non devono essere solo implementate, ma anche monitorate e migliorate costantemente. In particolare, il management è direttamente responsabile per l’implementazione delle politiche di sicurezza e la supervisione delle attività di protezione. Deve essere coinvolto nella definizione e nel monitoraggio delle politiche di sicurezza, assumendo la responsabilità per l’efficacia delle misure implementate.

Per questo motivo, le organizzazioni sono tenute a condurre regolarmente audit interni per verificare la conformità alle politiche di sicurezza e valutare l’efficacia delle misure adottate, rilevare eventuali debolezze e risolverle prima che diventino problematiche gravi.

Vantaggi della conformità alla NIS2 per le aziende: resilienza operativa e competitività

Adempiere agli obblighi della NIS2 aiuta a evitare sanzioni, ma offre anche vantaggi strategici significativi. Ricordiamo, intanto, che per le organizzazioni classificate come a rischio essenziale, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale. Le organizzazioni classificate come a rischio importante, invece, possono essere multate fino a 7 milioni di euro o all’1,4% del fatturato annuo globale.

In ogni caso, le aziende che rispettano la direttiva possono beneficiare di una protezione migliore contro le minacce informatiche, riducendo il rischio di incidenti che potrebbero compromettere i dati sensibili e le operazioni aziendali.

Inoltre, la conformità alla NIS2 migliora la reputazione dell’azienda, poiché dimostra un impegno concreto nella protezione delle informazioni e dei sistemi critici. Questo può tradursi in una maggiore fiducia da parte di clienti e partner commerciali, che sono sempre più sensibili alle questioni di sicurezza informatica.

Scadenze importanti per l’adeguamento alla NIS2

Le organizzazioni pubbliche o private che possiedono i requisiti specifici previsti dalla normativa devono registrarsi tramite il portale dei servizi dell’Agenzia per la cybersicurezza nazionale:

  • Entro il 28 febbraio 2025: per tutti gli altri soggetti inclusi nell’ambito di applicazione del decreto.
  • Entro il 17 gennaio 2025: per i soggetti di cui all’articolo 42, comma 1, lettera a), tra cui i fornitori di Cloud Computing, data center, servizi (anche di sicurezza) gestiti e mercati online;

L’Agenzia, entro metà aprile, notificherà a tutti i soggetti registrati se sono stati inseriti, o meno, nell’elenco dei soggetti NIS e pubblicherà gli obblighi di base in materia di notifica di incidenti e di misure di sicurezza informatica.

I soggetti NIS dovranno:

  • A partire da gennaio 2026, notificare gli incidenti;
  • Entro ottobre 2026, completare le misure di sicurezza informatica di base.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Redazione Digital4

Argomenti

Canali

Articoli correlati

  • Digital adv

    Streaming ADV: i trend del momento che guidano le decisioni degli inserzionisti

    25 Set 2024

    di Antonella Bucci

    Condividi

  • Success Story

    Prysmian, migrazione dell’ERP al Cloud in soli 4 mesi. Al via il piano di adozione dell’AI Generativa

    09 Dic 2024

    di Manuela Gianni

    Condividi

  • GUIDE E HOW-TO

    Rating ESG, come valutare la solidità di un investimento sulla base delle metriche di sostenibilità

    22 Mag 2024

    di Redazione Digital4

    Condividi

Prossimo

Streaming ADV: i trend del momento che guidano le decisioni degli inserzionisti

Articolo 1 di 4