amministrazione@proximalab.it Via Don A. Pedrinelli, 16 – Carvico 035 43 97 063

NIS 2

La nuova direttiva NIS2

Cos'è la Direttiva NIS2 e cosa prevede

Cosa è la Direttiva NIS 2

L’aumento dell’interconnessione e della digitalizzazione nella società ha incrementato la vulnerabilità di istituzioni, imprese e cittadini alle minacce informatiche.

L’Unione Europea ha riconosciuto quindi la necessità di potenziare la capacità di resilienza e risposta a questi rischi sia a livello di Unione che di singoli Stati Membri, emanando la nuova direttiva UE 2022/2555 (Direttiva NIS 2).

La Direttiva, che sostituisce la precedente NIS in abrogazione a decorrere dal 18 ottobre 2024, aggiorna e rafforza la normativa sulla sicurezza delle reti e delle informazioni, introducendo misure di sorveglianza e requisiti di applicazione più severi, con sanzioni armonizzate in tutta l’UE.

Un altro elemento cruciale della NIS 2 è il ruolo potenziato delle autorità nazionali per la cybersicurezza, come l’Agenzia per la Cybersicurezza Nazionale (ACN) in Italia. Questa avrà il compito di gestire il coordinamento e l’identificazione dei soggetti interessati, oltre che di vigilare sul rispetto degli obblighi e di imporre sanzioni in caso di violazione.

Il Ruolo di ACN

A partire dal 18 ottobre 2024, è stata messa in funzione una piattaforma digitale sulla quale le organizzazioni coinvolte dovranno registrarsi, inserendo dettagli sulle proprie attività, servizi e altre informazioni rilevanti per la classificazione.

Entro 90 giorni dalla registrazione, l’ACN comunicherà se l’organizzazione è classificata come “soggetto essenziale” o “soggetto importante”. La NIS 2 sarà operativa dal 17 aprile 2025, data entro la quale l’ACN avrà verosimilmente ultimato l’elenco dei soggetti obbligati a conformarsi alla direttiva.

Questi soggetti potranno essere sottoposti a controlli periodici o mirati sulla sicurezza, condotti dall’ACN o da enti indipendenti.

Se un soggetto non rispetterà le prescrizioni della direttiva, l’ACN potrà emettere una diffida e, in caso di mancato adeguamento, applicare sanzioni. La NIS 2 prevede infatti sanzioni dettagliate per le violazioni, con multe significative soprattutto per i soggetti essenziali e importanti:

  • Per i soggetti essenziali (eccetto la PA), le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale cifra sia maggiore.
  • Per i soggetti importanti (sempre eccetto la PA), le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale.
  • Per le pubbliche amministrazioni, le multe vanno da 25.000 a 125.000 euro.

Come prepararsi alla NIS 2

Le organizzazioni devono adottare una serie di misure fondamentali per essere pronte a conformarsi alla nuova Direttiva:

  1. Valutazione delle attività aziendali: identificare i settori operativi e i dati sensibili gestiti, oltre ai potenziali rischi.
  2. Analisi dei rischi: condurre un’analisi dettagliata delle vulnerabilità e delle minacce per definire le contromisure necessarie.
  3. Implementazione delle misure di sicurezza: adottare soluzioni tecniche e organizzative per mitigare i rischi individuati.
  4. Monitoraggio costante: le misure implementate devono essere regolarmente testate e aggiornate per far fronte a nuove minacce.

Ulteriori misure:

  • Nomina di un responsabile della sicurezza informatica: un referente interno che supervisioni l’attuazione delle misure di sicurezza.
  • Formazione del personale: sensibilizzare tutti i dipendenti sulle minacce informatiche e sulle procedure di protezione dei dati.
  • Utilizzo di soluzioni avanzate di sicurezza informatica: investire in strumenti di ultima generazione per proteggere infrastrutture e dati.

Soluzioni per la Cybersecurity

Tra le soluzioni che permettono di conformarsi alla NIS 2 si segnalano:

  • Sistemi IDS/IPS: monitoraggio del traffico di rete per individuare attività sospette e prevenire intrusioni.
  • Firewall di nuova generazione: filtraggio avanzato del traffico per contrastare le minacce più recenti.
  • Crittografia: protezione dei dati sensibili sia in fase di archiviazione che durante la trasmissione.
  • Gestione delle identità e degli accessi (IAM): controllo rigoroso degli accessi ai sistemi informatici.
  • Backup e ripristino: essenziale per recuperare rapidamente i dati in caso di attacco.

Quali sono le scadenze

  1. 31 dicembre 2024: aziende e pubbliche amministrazioni devono completare un’auto-valutazione per capire se rientrano tra i soggetti obbligati dalla NIS 2.
  2. Dal 1° gennaio al 28 febbraio 2025: i soggetti pubblici e privati coinvolti saranno tenuti a registrarsi sulla piattaforma digitale messa a disposizione dall’ACN.
  3. Entro il 31 marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute.
  4. Tra il 1° e il 15 aprile 2025: l’ACN, tramite la piattaforma, notificherà ai soggetti registrati il loro inserimento nell’elenco dei soggetti essenziali o importanti.
  5. Entro il 15 aprile 2025: i soggetti che riceveranno tale comunicazione dovranno designare formalmente una persona responsabile per il rispetto degli obblighi previsti dal decreto.
  6. Tra il 15 aprile e il 31 maggio 2025: i soggetti interessati dovranno fornire le ulteriori informazioni richieste dalla normativa.
  7. Dal 1° gennaio 2026: si dovrà adempiere all’obbligo di notifica degli incidenti. I soggetti essenziali e importanti saranno tenuti a notificare entro 24 ore gli incidenti con un impatto significativo sulla fornitura dei loro servizi.

Fonte: Regulus

Vuoi ricevere maggiori informazioni?

Clicca Qui