NIS 2 in pillole: le info pratiche per la compliance e la resilienza digitale

Tabella dei Contenuti

Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che ancora non sanno di esserlo.
John Chambers, ex CEO di Cisco

Nell’ultimo anno il panorama delle minacce informatiche, italiano e global, ha raggiunto livelli senza precedenti, con un preoccupante incremento del 23% attacchi rispetto al semestre precedente (Rapporto Clusit 2024).

La gravità della situazione, anche in relazione alla sempre maggiore pericolosità e sofisticatezza degli attacchi, è diventata tale da richiedere un intervento chiaro e strutturato da parte dell’Unione Europea.

Nasce così la NIS 2 – acronimo di Network and Information Security 2 – evoluzione della precedente Direttiva (UE) 2016/1148 del 2016, elaborata e studiata per rafforzare in maniera significativa il livello di sicurezza e resilienza informatica nei ventisette Paesi Membri.

Cos’è la NIS 2?

La NIS 2 è la nuova direttiva europea sulla cybersicurezza, pensata per allineare e innalzare gli standard di sicurezza digitale nei 27 Stati membri. Rispetto alla prima direttiva, la NIS 2 introduce regole più stringenti, un ambito applicativo più ampio e un impianto sanzionatorio più severo.

In Italia, la direttiva è stata recepita tramite il Decreto Legislativo n. 138/2024, pubblicato sulla Gazzetta Ufficiale il 16 ottobre 2024 e rappresenta il pilastro normativo di una strategia nazionale di cybersecurity più ampia.

La normativa ruota attorno al principio di resilienza digitale, con il quale si intende la capacità di un’organizzazione non solo di prevenire gli attacchi, ma anche di resistere, rispondere e recuperare prontamente in caso di incidente, garantendo la continuità operativa dei servizi critici.

Cosa prevede?

La direttiva NIS 2 non è un semplice elenco di raccomandazioni, ma piuttosto un quadro normativo vincolante che introduce obblighi precisi. Tra i principali:

  • Obblighi di sicurezza per i quali le aziende dovranno implementare misure tecniche e organizzative adeguate, nonché piani di gestione del rischio.
  • Obbligo di notifica degli incidenti che devono essere comunicati all’ACN (Autorità Nazionale Competente) entro 24 ore dal rilevamento. Inoltre, l’obbligo prevede che siano notificati anche gli aggiornamenti successivi tramite una notifica intermedia entro 72 ore, nonché una relazione finale entro un mese dall’accaduto.
  • Obbligo di mettere a punto un programma di formazione del personale, fondamentale per ridurre l’impatto dovuto all’errore umano e diffondere consapevolezza in materia di sicurezza informatica.
  • Obbligo di gestione della supply chain per valutare e gestire anche i rischi derivanti dai fornitori e dai partner terzi.
  • Responsabilità del management: si tratta di uno degli aspetti più innovativi della direttiva, introdotto affinché la sicurezza IT non sia più delegabile, ma rientri pienamente nelle responsabilità degli organi ai vertici.

Chi è coinvolto?

Come abbiamo già accennato, con la NIS 2 è stato ampliato notevolmente il raggio d’azione, estendendolo a nuovi settori strategici e classificando le organizzazioni in due categorie principali: essenziali e importanti. Vediamoli nel dettaglio.

Per Soggetti Essenziali ci si vuole riferire alle organizzazioni di dimensioni medio-grandi che operano in settori critici come l’energia, i trasporti, la sanità, le acque, le istituzioni finanziare e la pubblica amministrazione.

Invece, nei Soggetti Importanti rientrano le aziende operanti in settori ad alto impatto come i servizi postali, la produzione, distribuzione e trasformazione alimentare, la ricerca, i fornitori digitali, la manifattura ed altri.

Entrambe le categorie sono sottoposte a verifiche periodiche, audit e obblighi di rendicontazione, ma i Soggetti Essenziali avranno controlli più stringenti e regolari.

Ricordiamo che l’ACN ha attivato un registro pubblico dei soggetti essenziali e importanti, consultabile dalle imprese per capire se rientrano tra i destinatari della norma.

Quali sono le sanzioni previste?

Le sanzioni previste per la non conformità sono elevate e commisurate alla gravità dell’infrazione:

  • Fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i Soggetti Essenziali
  • Fino a 7 milioni di euro o all’1,4% del fatturato mondiale annuo per i Soggetti Importanti

Inoltre, in caso di violazioni gravi, è prevista la possibilità di sospensione temporanea delle attività e responsabilità personali per gli amministratori.

Cosa fare per essere compliant?

Premettendo che la complessità della normativa e i suoi continui aggiornamenti rendono necessario affidarsi ad un partener esperto, vediamo insieme le prime azioni che la tua azienda può intraprendere.

  1. Valutazione iniziale

Effettuare un’analisi dello stato attuale di sicurezza, identificando i gap rispetto ai requisiti NIS 2.

  1. Designazione di un responsabile NIS

Nomina di un team interno o esterno responsabile della compliance e delle comunicazioni con l’ACN.

  1. Piano di adeguamento

Sviluppare un piano dettagliato con obiettivi, tempistiche e risorse dedicate alla messa in conformità.

Ready Digital da anni accompagna le PMI italiane nel loro percorso di digitalizzazione, fornendo consulenze specializzate e soluzioni avanzate in grado di garantire altissimi livelli di sicurezza IT, preservando la reputazione delle aziende e la sicurezza dei suoi clienti.

La sicurezza informatica non può aspettare.
Richiedi oggi una consulenza con i nostri esperti.

    Ready Digital s.r.l., in qualità di titolare del trattamento, La informa che i Suoi dati personali saranno trattati nel rispetto di quanto previsto dall’informativa resa ai sensi del Regolamento UE 2016/679 e del D. Lgs. n. 196/2003 consultabile al seguente link (Leggi informativa privacy»)

    Il sottoscritto dichiara di aver preso visione dell’informativa che precede e presta il consenso al trattamento dei propri dati per le seguenti finalità facoltative:

    *Trattamento di cui alla lettera E dell’informativa: Invio di informazioni riguardo ad attività/tematiche inerenti al gruppo Ready Group
    Trattamento di cui alla lettera F dell’informativa: Invio di comunicazioni commerciali e promozionali finalizzate ad effettuare marketing diretto, anche Profilato, di prodotti e servizi di Ready Digital e di società appartenenti al Gruppo Ready Group, anche tramite invito a fiere ed eventi aventi medesima finalità

    Lasciaci un tuo feedback

    {{ reviewsTotal }}{{ options.labels.singularReviewCountLabel }}
    {{ reviewsTotal }}{{ options.labels.pluralReviewCountLabel }}
    {{ options.labels.newReviewButton }}
    {{ userData.canReview.message }}