Tutto quello che devi sapere sulla NIS2

C2 Corporate > Blog > Tecnologia > Tutto quello che devi sapere sulla NIS2

Sei sicuro che la tua azienda sia conforme alla Direttiva NIS2? ๐Ÿง

La Direttiva NIS2 รจ entrata in vigore in Italia il 18 ottobre 2024, con l’entrata in vigore del Decreto Legislativo 138/2024 che ne ha recepito le disposizioni. ECCO COSA SAPERE๐Ÿ‘‡

Definizione e utilizzo

La direttiva NIS2 รจ la proposta di revisione della direttiva NIS1, che ha introdotto lโ€™obbligo per gli Stati membri di:
โœ…adottare una strategia nazionale per la sicurezza cibernetica;
โœ…designare le autoritร  competenti e i punti di contatto;
โœ…istituire un sistema di cooperazione a livello europeo;
โœ…imporre ai fornitori di servizi essenziali e ai fornitori di servizi digitali di adottare misure appropriate per gestire i rischi e segnalare gli incidenti.

A chi si rivolge

Le aziende che dovranno conformarsi alla direttiva NIS-2 sono quelle che superano i massimali per le piccole imprese, definiti dalla raccomandazione 2003/361/CE – medie e grandi imprese:

  • Piรน di 50 dipendenti oppure
  • Fatturato annuo superiore a 10 milioni di euro.

Pertanto, le aziende che rientrano in questa classificazione, operando nei settori essenziali o critici, saranno soggette alla conformitร  con la direttiva NIS-2.

๐Ÿ‘‰๐—œ๐—ป๐—ณ๐—ฟ๐—ฎ๐˜€๐˜๐—ฟ๐˜‚๐˜๐˜๐˜‚๐—ฟ๐—ฒ ๐—ฐ๐—ฟ๐—ถ๐˜๐—ถ๐—ฐ๐—ต๐—ฒ: reti elettriche e idriche, reti di trasporto, reti di comunicazione, reti sanitarie, reti spaziali e nucleari;
๐Ÿ‘‰๐—ฆ๐—ฒ๐—ฟ๐˜ƒ๐—ถ๐˜‡๐—ถ ๐—ฒ๐˜€๐˜€๐—ฒ๐—ป๐˜‡๐—ถ๐—ฎ๐—น๐—ถ: servizi finanziari, servizi sanitari, servizi di trasporto, servizi di gestione delle acque, servizi di gestione dei rifiuti, servizi postali, servizi di pubblica amministrazione e servizi elettorali;
๐Ÿ‘‰๐—™๐—ผ๐—ฟ๐—ป๐—ถ๐˜๐—ผ๐—ฟ๐—ถ ๐—ฑ๐—ถ ๐˜€๐—ฒ๐—ฟ๐˜ƒ๐—ถ๐˜‡๐—ถ ๐—ฑ๐—ถ๐—ด๐—ถ๐˜๐—ฎ๐—น๐—ถ: mercati online, motori di ricerca, servizi di cloud computing, social network, servizi di messaggistica, servizi di videoconferenza, servizi di streaming, servizi di e-learning e servizi di e-health;
๐Ÿ‘‰๐—™๐—ผ๐—ฟ๐—ป๐—ถ๐˜๐—ผ๐—ฟ๐—ถ ๐—ฑ๐—ถ ๐˜€๐—ฒ๐—ฟ๐˜ƒ๐—ถ๐˜‡๐—ถ ๐—ฑ๐—ถ ๐˜€๐—ถ๐—ฐ๐˜‚๐—ฟ๐—ฒ๐˜‡๐˜‡๐—ฎ ๐—ฐ๐—ถ๐—ฏ๐—ฒ๐—ฟ๐—ป๐—ฒ๐˜๐—ถ๐—ฐ๐—ฎ: centri di operazioni di sicurezza, centri di risposta agli incidenti, fornitori di soluzioni di sicurezza e fornitori di servizi di certificazione;
๐Ÿ‘‰๐—”๐˜‚๐˜๐—ผ๐—ฟ๐—ถ๐˜๐—ฎฬ€ ๐—ฝ๐˜‚๐—ฏ๐—ฏ๐—น๐—ถ๐—ฐ๐—ต๐—ฒ: istituzioni, organi e agenzie dellโ€™UE, autoritร  nazionali e locali, forze dellโ€™ordine, servizi di intelligence e servizi di difesa;
๐Ÿ‘‰๐—˜๐—ป๐˜๐—ถ ๐—ฑ๐—ถ ๐—ฟ๐—ถ๐—ฐ๐—ฒ๐—ฟ๐—ฐ๐—ฎ ๐—ฒ ๐—ถ๐—ป๐—ป๐—ผ๐˜ƒ๐—ฎ๐˜‡๐—ถ๐—ผ๐—ป๐—ฒ: universitร , centri di ricerca, laboratori e progetti finanziati dallโ€™UE.

Un occhio alle scadenze ๐Ÿ‘€

๐Ÿ“†Entro il 17 ottobre 2024: gli Stati membri devono adottare e rendere pubbliche le misure necessarie per conformarsi al decreto-legge;

๐Ÿ“†Entro il 31 dicembre 2024: Le aziende devono completare unโ€™autovalutazione interna per verificare se rientrano tra i soggetti obbligati. Questo passaggio richiede unโ€™analisi delle proprie attivitร  e del settore in cui operano per comprendere lโ€™impatto della normativa sulla loro struttura. Dal 18 ottobre laย piattaforma online di auto-registrazioneย realizzata dallโ€™ACN sarร  attiva, in questo modo le aziende potranno visitarla, prenderci confidenza e raccogliere le informazioni necessarie per prepararsi alla registrazione formale.

๐Ÿ“†1 dicembre โ€“ 28 febbraio 2025: Le aziende identificate come soggette alla NIS2 devono registrarsi sulla piattaforma dellโ€™Agenzia per la Cybersicurezza Nazionale (ACN) a partire dal 1ยฐ dicembre ed entro e non oltre il 28 febbraio. Questa registrazione comporta la trasmissione di informazioni dettagliate sullโ€™organizzazione e sulla propria infrastruttura digitale.

๐Ÿ“†17 gennaio 2025: Entro questa data, i fornitori di servizi digitali specifici (come cloud e infrastrutture digitali rilevanti) sono tenuti a completare la registrazione obbligatoria, garantendo cosรฌ la conformitร  ai requisiti minimi di sicurezza previsti dalla NIS2.

๐Ÿ“†31 marzo 2025: Lโ€™ACN redigerร  lโ€™elenco ufficiale dei soggetti considerati โ€œessenzialiโ€ e โ€œimportantiโ€ ai sensi della direttiva. Questo elenco rappresenta un passo chiave, in quanto stabilisce chi dovrร  rispettare formalmente gli obblighi previsti dalla normativa.

๐Ÿ“†1 โ€“ 15 aprile 2025: Lโ€™ACN invierร  una notifica formale a tutte le aziende incluse nellโ€™elenco, confermando loro lโ€™obbligo di adeguamento alla NIS2. Questo passaggio serve per informare ufficialmente i soggetti coinvolti e avviare il processo di compliance.

๐Ÿ“†15 aprile โ€“ 31 maggio 2025: Entro metร  maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7).

๐Ÿ“†Fine 2025 – fine gennaio 2026: adempimenti di gestione degli incidenti di sicurezza; entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nellโ€™elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.

๐Ÿ“†Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nellโ€™elenco dei soggetti NIS): adempimento agli obblighi di base in materia di sicurezza informatica.

Nuovi principi

๐Ÿ’ก๐—”๐—ฝ๐—ฝ๐—ฟ๐—ผ๐—ฐ๐—ฐ๐—ถ๐—ผ ๐—ฏ๐—ฎ๐˜€๐—ฎ๐˜๐—ผ ๐˜€๐˜‚๐—น ๐—ฟ๐—ถ๐˜€๐—ฐ๐—ต๐—ถ๐—ผ: natura, portata, contesto e impatti potenziali degli incidenti cibernetici;
๐Ÿ’ก๐—˜๐—น๐—ฒ๐—ป๐—ฐ๐—ผ ๐—ฑ๐—ถ ๐˜€๐—ฒ๐˜๐˜๐—ผ๐—ฟ๐—ถ ๐—ฒ ๐—ฎ๐˜๐˜๐—ผ๐—ฟ๐—ถ ๐—ฟ๐—ถ๐—น๐—ฒ๐˜ƒ๐—ฎ๐—ป๐˜๐—ถ;
๐Ÿ’ก๐—ฆ๐—ถ๐˜€๐˜๐—ฒ๐—บ๐—ฎ ๐—ฑ๐—ถ ๐—ฐ๐—น๐—ฎ๐˜€๐˜€๐—ถ๐—ณ๐—ถ๐—ฐ๐—ฎ๐˜‡๐—ถ๐—ผ๐—ป๐—ฒ ๐—ฑ๐—ฒ๐—ด๐—น๐—ถ ๐—ถ๐—ป๐—ฐ๐—ถ๐—ฑ๐—ฒ๐—ป๐˜๐—ถ: quattro livelli di gravitร  e criteri comuni per la valutazione;
๐Ÿ’ก๐— ๐—ฒ๐—ฐ๐—ฐ๐—ฎ๐—ป๐—ถ๐˜€๐—บ๐—ผ ๐—ฑ๐—ถ ๐—ฟ๐—ฒ๐˜ƒ๐—ถ๐˜€๐—ถ๐—ผ๐—ป๐—ฒ ๐—ฝ๐—ฒ๐—ฟ๐—ถ๐—ผ๐—ฑ๐—ถ๐—ฐ๐—ฎ: aggiornamento in base allโ€™evoluzione tecnologica e normativa;
๐Ÿ’ก๐—ฅ๐˜‚๐—ผ๐—น๐—ถ: Agenzia dellโ€™Unione Europea per la Cybersecurity (ENISA), Gruppo di cooperazione, Rete dei punti di contatto e Sistema di allarme rapido;
๐Ÿ’ก๐—œ๐—ป๐—ฎ๐˜€๐—ฝ๐—ฟ๐—ถ๐—บ๐—ฒ๐—ป๐˜๐—ผ ๐—ฑ๐—ฒ๐—น๐—น๐—ฒ ๐˜€๐—ฎ๐—ป๐˜‡๐—ถ๐—ผ๐—ป๐—ถ: devono essere effettive, proporzionate e dissuasive, e che possono raggiungere il 2% del fatturato annuo dei soggetti inadempienti.

๐˜š๐˜ฆ๐˜ช ๐˜ข๐˜ฏ๐˜ค๐˜ฐ๐˜ณ๐˜ข ๐˜ค๐˜ฆ๐˜ณ๐˜ต๐˜ฐ ๐˜ค๐˜ฉ๐˜ฆ ๐˜ญ๐˜ข ๐˜ต๐˜ถ๐˜ข ๐˜ข๐˜ป๐˜ช๐˜ฆ๐˜ฏ๐˜ฅ๐˜ข ๐˜ด๐˜ช๐˜ข ๐˜ค๐˜ฐ๐˜ฏ๐˜ง๐˜ฐ๐˜ณ๐˜ฎ๐˜ฆ ๐˜ข๐˜ญ๐˜ญ๐˜ข ๐˜‹๐˜ช๐˜ณ๐˜ฆ๐˜ต๐˜ต๐˜ช๐˜ท๐˜ข ๐˜•๐˜๐˜š2?
Contattaci a ๐Ÿ“ง info@c2corporate.it per una consulenza gratuita