HOME
NIS2

NIS2: La nuova Direttiva per la sicurezza informatica

I nuovi standard dell’UE in materia di Cyber Security per rispondere alle crescenti minacce digitali con protocolli più rigidi e quadri di governance più solidi.

Il dettaglio della direttiva

A dicembre 2022 il Consiglio dell’Unione Europea e il Parlamento Europeo hanno adottato la Direttiva Network and Information Security Directive (NIS2), o Direttiva 2022/2555, sulla sicurezza delle reti e dei sistemi informativi, con l’obiettivo di potenziare i sistemi di sicurezza per far fronte agli attacchi informatici sempre più frequenti e prevedere nuovi requisiti di Cyber Security più ampi per tutti gli Stati membri dell’UE.

‍In Italia la Direttiva è stata recepita il 1° ottobre 2024 tramite il Decreto Legislativo n. 138/2024, data da cui le aziende devono iniziare il processo di adeguamento ai nuovi requisiti, e sarà pienamente operativa dal 1° gennaio 2026.

Leviahub, sempre attenta a garantire la massima sicurezza delle sue soluzioni, ha già lavorato per aderire al meglio alle nuove linee guida, per offrire ambienti sicuri ai suoi clienti e guidarli verso un business privo di rischi.

L'hardware, infatti, non dura per sempre ed è essenziale aggiornare i Data Center per restare al passo con un mercato in continua evoluzione. Prevenzione, monitoraggio e ripristino sono i tre concetti chiave per conformarsi alle normative e rimanere competitivi, e Leviahub è pronta ad affiancarti con i migliori servizi per il tuo business.

Direttiva NIS2: cosa cambia rispetto a NIS?

NIS2, è un’importante evoluzione della precedente Direttiva Network and Information Systems (NIS) che amplia la strategia in materia di Cyber Security dell’UE al fine di rafforzare la sicurezza informatica delle entità essenziali all’interno dell’organizzazione, rispondendo alle crescenti minacce digitali e proteggendo il mercato interno tramite protocolli più rigidi e quadri di governance più solidi.

Nello specifico, rispetto alla NIS1, la nuova Direttiva prevede:
GARANZIA DI BUSINESS CONTINUITY

L’obiettivo delle nuove misure è quello di garantire la continuità operativa dei soggetti anche in caso di gravi danni all’infrastruttura tecnologica, in modo da eliminare eventuali interruzioni del flusso lavorativo e perdita di dati essenziali.

COOPERAZIONE TRA STATI MEMBRI

La Direttiva ha l’obiettivo di creare e fortificare una rete di cooperazione a livello europeo per favorire lo scambio di informazioni tra gli Stati Membri. Ciò permetterà la condivisione di best practice e la risposta coordinata agli incidenti Cyber a livello transnazionale.

AMPLIAMENTO DEI SETTORI COINVOLTI

La Direttiva si applica a più industrie di medie e grandi dimensioni rispetto alla precedente NIS. I settori coinvolti passano da essere 6 a 18.

MAGGIORI RESPONSABILITÀ PER LA DIRIGENZA

La Direttiva introduce sanzioni più severe per la mancata conformità ripetuta e responsabilizza i dirigenti aziendali per la sicurezza rendendoli imputabili di eventuali violazioni.

MISURE PIÙ STRINGENTI PER LAGESTIONE DEI RISCHI

Tutte le entità coinvolte devono adottare misure tecniche e organizzative specifiche per la segnalazione degli incidenti e la gestione/risoluzione dei rischi informatici.

COINVOLGIMENTO DELLA CATENA DI APPROVVIGIONAMENTO

Si richiede una maggiore attenzione alle vulnerabilità legate ai fornitori di terze parti. In questo modo, viene coinvolta l’intera catena della Supply Chain.

DEFINIZIONE SANZIONI MASSIME

Le sanzioni previste per la violazione della normativa NIS2 sono severe e proporzionali alla gravità dell’inadempienza; variano a seconda della tipologia di soggetto coinvolto (essenziale o importante) e possono riguardare la mancata gestione dei rischi, l’inadempienza sugli obblighi di notifica degli incidenti o la mancata registrazione presso le autorità competenti.

Le sanzioni devono essere stabilite dagli Stati membri ma devono essere almeno pari a:

-       1,4% del fatturato globale o 7 milioni di euro per le entità importanti;

-       2% del fatturato globale o 10 milioni di euro per le entità essenziali.

Ambiti di applicazione della NIS2

La Direttiva NIS2 suddivide le organizzazioni interessate in due categorie principali:

1. Entità essenziali

- Settori critici come energia, trasporti, sanità, infrastrutture digitali.
- Sanzioni più alte in caso di non conformità.
- Richiesta una supervisione attiva e requisiti di sicurezza stringenti.

2. Entità importanti

- Settori meno critici, ma comunque rilevanti.
- Requisiti di sicurezza più leggeri, ma ancora obbligatori.
L’appartenenza a una delle due categorie è determinata in base alla dimensione dell’azienda e alla criticità del settore di appartenenza.

Inoltre, la Direttiva aumenta i campi di applicazione: i settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti.

Modalità di gestione dei rischi

Secondo la nuova Direttiva NIS2 i soggetti responsabili devono mettere in atto azioni adeguate e proporzionate in ambito tecnico, operativo e organizzativo, per gestire i rischi alla sicurezza della rete e dei sistemi informatici usati per svolgere le proprie attività o per fornire i propri servizi, nonché per prevenire e limitare l’impatto di eventuali incidenti sui destinatari dei servizi e su altri servizi.

Le aziende devono stabilire le misure da adottare seguendo due fasi operative:
FASE DI ANALISI

In tale fase le aziende devono analizzare le circostanze del singolo caso, prendendo in considerazione il fattore umano e il livello di dipendenza dalla rete e dai sistemi informativi, al fine di stabilire le misure da intraprendere in modo proporzionato al potenziale impatto socio-economico degli eventuali incidenti informatici.

A una maggior gravità del possibile danno, dovrà corrispondere un maggior impegno che il responsabile dovrà investire nell’implementazione delle misure di gestione dei rischi.

ADOZIONE DI MISURE SPECIFICHE

L’azienda dovrà adottare specifiche politiche di analisi dei rischi e di sicurezza, nonché di gestione del backup e ripristino in caso di disastro, e gestione delle crisi; inoltre, è necessario definire misure di gestione degli incidenti, di manutenzione dei sistemi informatici e di rete, e di sicurezza della catena di approvvigionamento.

Il soggetto responsabile dovrà mettere in atto procedure per valutare l’efficacia delle misure di gestione dei rischio. A tale proposito, nell’ambito della Supply Chain potrebbero essere coinvolte indirettamente anche aziende non direttamente comprese nell’ambito di applicazione della direttiva, anche qualora non abbiano sede nell’UE ma vi operino per la catena di approvvigionamento.

Standardizzazione e Certificazioni

A seguito della Direttiva NIS2, gli Stati membri possono esigere il conseguimento di certificazioni e/o l’utilizzo di prodotti certificati da parte dei soggetti responsabili.

La certificazione dei prodotti è basata sui programmi europei per le certificazioni di Cyber Security, ai sensi del Regolamento UE 2019/881 sulla Cybersicurezza. Inoltre, secondo la Direttiva, la Commissione europea può implementare atti delegati al fine di esigere che alcune categorie specifiche di soggetti adottino soluzioni tecniche certificate o ottengano un certificato corrispondente; questi, tuttavia, possono essere adottati solo qualora la Commissione abbia precedentemente identificato livelli insufficienti di Cyber Security e abbia stabilito un termine ultimo per l’implementazione.

Obbligo di iscrizione al portale ACN

In Italia, dal 1° dicembre 2024 ed entro il 28 febbraio 2025, le aziende rientranti nella Direttiva NIS2 devono completare l’iscrizione al portale ACN (Autorità per la Cybersicurezza Nazionale), al fine di adeguarsi alla normativa europea e di non rischiare di incorrere in pesanti sanzioni.

L’iscrizione al portale dell’Autorità per la Cyber sicurezza Nazionale permette alle aziende di:

  • attestare l’adozione di misure efficaci contro le minacce informatiche;
  • dimostrare la disponibilità alla cooperazione con le autorità competenti;
  • usufruire di uno strumento di aggiornamento grazie ad avvisi sulle novità normative e sugli strumenti da adottare.

Qualora un’azienda non si iscriva al Portale entro il 28 febbraio 2025 rischia di andare incontro a:

  • sanzioni e multe per mancato adempimento agli obblighi normativi e non conformità alla NIS2;
  • esclusione da risorse e strumenti di Cyber Security esponendo l’azienda a maggiori rischi e attacchi informatici;
  • rischi reputazionali e operativi.

LE SOLUZIONI DI LEVIAHUB PER ADEMPIERE ALLA NIS2

Leviahub, è il partner di fiducia che ti accompagna anche nell’adempimento alla nuova Direttiva NIS2.

Da sempre attenta alle evoluzioni normative e di mercato per garantire la massima efficienza ai suoi Clienti, Leviahub offre tutti gli strumenti per fornire un alto livello di sicurezza ai tuoi sistemi informatici e ai tuoi dati. In un mondo in cui le minacce digitali sono in costante evoluzione, proteggere i propri sistemi e adottare le giuste precauzioni per anticipare eventuali rischi diventa una priorità assoluta: per questo motivo lavoriamo già da tempo alle più sofisticate misure di sicurezza e ci adeguiamo sempre alle novità per restare al passo con i più avanzati sistemi di prevenzione.

Grazie ai nostri servizi di Cyber Security potrai trovare un Team di esperti pronto a suggerirti le migliori soluzioni di sicurezza informatica da implementare per la tua azienda, proteggendola da minacce e attacchi indesiderati.

La nostra esperienza ci consente di intervenire con precisione, offrendo soluzioni su misura che preservano la stabilità dei sistemi e riducono al minimo i rischi di interruzioni, garantendo che ogni azione contribuisca al rafforzamento della resilienza aziendale.

Proteggi le informazioni aziendali e i dati sensibili: grazie ai nostri servizi di Cyber Security, tecnologicamente avanzati e ideati esclusivamente per il mondo della Supply Chain, potrai contare su un ambiente digitale sicuro e affidabile.

I nostri servizi di Cyber Security includono:

  • Risk Assessment
  • Vulnerability Assessment
  • Penetration Test
  • Security Awareness (ingegneria sociale)
  • Brand reputation (dark & deep web scouting)
  • Cyber Threat Intelligence
  • SOC (Security Operations Center)
  • SIEM (Security Information and Event Management)
  • NDR (Network Detection & Response)
  • MDR (Managed Detection & Response)
  • SOAR (Security Orchestration automation and Response)
  • WAF (Web Application Firewall)
  • E-mail security Advanced
  • Monitoraggio continuo per rilevare attività sospette
  • Backup e disaster recovery per salvaguardare i dati
  • Autenticazione multi-fattore per un ulteriore livello di sicurezza

Ogni servizio gioca un ruolo chiave per costruire un ambiente IT sicuro e protetto.

Con Leviahub puoi affrontare il mondo digitale con fiducia e tranquillità, sapendo di avere un partner di fiducia al tuo fianco. Affidati a noi e adempi subito a tutti i requisiti della NIS2 per evitare sanzioni e rischi informatici!

Potrebbero interessarti anche

Ottieni la tua demo gratuita

Leviahub Spa

Sede legale: Foro Buonaparte, 71 - 20121 Milano (MI)

Tel. +39 02 611133 | info@leviahub.com

Cap. Soc. Euro 5.000.000,00i.v.

P.I. e C.F. 01233220324 | REA MI-2503338

SDI: 1YY4LRX

Privacy policy

Cookies policy

Designed by Blhack