COMITEL PER NIS 2

Aiutiamo le aziende italiane a mettersi in regola con la nuova direttiva europea

Cos'è la NIS 2?

Dal 16 ottobre 2024 è in vigore la Direttiva NIS 2, che introduce requisiti più stringenti di cybersicurezza per aziende e organizzazioni in settori critici, con l’obiettivo di rafforzare la resilienza contro le minacce informatiche.

In Italia, il D.Lgs. 138/2023 recepisce la normativa, imponendo alle aziende essenziali e importanti l’adozione di misure tecniche, operative e organizzative per gestire i rischi e prevenire incidenti informatici. La direttiva si estende anche ai fornitori e subappaltatori delle organizzazioni coinvolte.

Per garantire un’applicazione efficace, la NIS 2:
• Impone standard di sicurezza più elevati per reti e sistemi informativi.
• Prevede obblighi di notifica per incidenti significativi.

Tutte le organizzazioni impattate dovranno adempiere agli obblighi di cybersicurezza prescritti dalla direttiva per non incorrere in sanzioni.

Richiedi contatto

Perché possiamo essere il tuo riferimento per la NIS 2?

Consulenza tecnologica
Un team di esperti in cybersecurity

Offerta completa
Tutte le soluzioni per essere in regola

Esperti della direttiva
Per ottenere la conformità passo a passo

Cosa facciamo?

Grazie alla collaborazione con i migliori partner del settore, supportiamo le aziende lungo tutto l’iter di adeguamento alla normativa, offrendo un servizio di consulenza completo.
In particolare forniamo affiancamento per:

  • L’adozione delle misure di sicurezza tecniche e organizzative
  • La predisposizione della documentazione necessaria
  • La definizione delle procedure per la gestione del rischio e degli incidenti informatici
  • La formazione del personale e della dirigenza
  • L’analisi dei fornitori esistenti per assicurare la conformità alla Direttiva NIS2

Siamo al fianco delle organizzazioni per guidarle in ogni fase del processo, assicurando un adeguamento efficace e conforme alla normativa vigente, e garantire una maggiore resilienza alle minacce informatiche.

Le 10 misure di sicurezza di NIS 2

Le misure tecniche, operative e organizzative alle quali si devono adeguare le aziende per mitigare i rischi di cybersicurezza ed essere compliance alla direttiva

Formazione

Educare dirigenza e dipendenti a rispettare pratiche di igiene informatica di base e garantire formazione in materia di cybersecurity

Gestione Incidenti

Creare piani operativi e procedure standardizzate di gestione degli incidenti informatici

Crittografia

Stabilire politiche e procedure relative all’uso della crittografia e della cifratura per le attività organizzative

Autenticazione a 2 fattori

Usare soluzioni di autenticazione e più fattori e sistemi di comunicazione protetti

Business Continuity

Assicurare la continuità operativa con backup, procedure e sistemi di disaster recovery

Supply Chain

Garantire la sicurezza della catena di approvvigionamento, compresi i rapporti con i fornitori

Sicurezza dei Sistemi

Mettere in sicurezza gli asset informatici e di rete in ogni fase, dallo sviluppo alla manutenzione

Strategie Cyber

Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cybersicurezza

Risk Management

Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici organizzativi

Sicurezza del personale

Garantire la sicurezza informatica per il personale, impostando strategie di controllo dell’accesso e gestione degli attivi

Perché è essenziale poter fare affidamento sulla
consulenza di un partner lungo tutto l’iter

PER AFFRONTARE VERIFICHE E CONTROLLI REGOLARI

Anche a regime, la NIS 2 prevede una serie di verifiche e controlli regolari. In particolare:

Ispezioni in loco e vigilanza a distanza, compresi controlli casuali
Audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’entità competente
Audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della direttiva
Scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi
Richieste di informazioni necessarie a valutare le misure di gestione dei rischi cyber adottate
Accesso a dati e documenti necessari allo svolgimento dei compiti di vigilanza
Richieste di dati che dimostrino l’attuazione di politiche di cybersecurity

PER PRESIDIARE LA COMPLIANCE DI TUTTA LA FRONTIERA

I vincoli non riguardano solo la propria organizzazione, ma anche la sua supply chain. In particolare:

Ogni soggetto deve identificare le linee di fornitura che, compromesse, comporterebbero un’interruzione della produzione di beni o dell’erogazione dei servizi
Le entità NIS 2 devono chiedere ai propri fornitori di adeguarsi ai requisiti a prescindere da settore e dimensione
Queste aziende dovranno dare conto ad ACN in fase di eventuale visita ispettiva

CHIEDI AI TUOI FORNITORI DI ADEGUARSI

La direttiva NIS 2 prevede l’obbligo per qualsiasi soggetto impattato di valutare il livello di sicurezza dei propri fornitori e in particolare identificare quelle linee di fornitura che, se compromesse, comporterebbero un’interruzione della produzione. Le aziende, in generale, dovranno imporre obblighi contrattuali ai propri fornitori per accertarsi che si adeguino ai requisiti NIS 2 a prescindere da settore e dimensioni.

PER ADEMPIERE TEMPESTIVAMENTE AGLI OBBLIGHI DI COMUNICAZIONE

Gli obblighi di comunicazione vengono sistematizzati in modo rigido. In particolare:

È necessario aggiornare periodicamente (almeno una volta all’anno) la propria registrazione sulla piattaforma ACN fornendo un elenco delle attività svolte e dei servizi erogati
Gli incidenti di sicurezza devono essere notificati alle autorità competenti entro 24h dalla scoperta
Entro 72h dall’incidente, l’azienda deve fornire una relazione completa che includa la natura dell’evento, i sistemi compromessi, le misure di contenimento adottate e i danni subiti
Entro un mese deve essere presentata una descrizione dettagliata dell’incidente, evidenziando le possibili cause, le iniziative di mitigazione e l’eventuale impatto transfrontaliero

FAQ

Segnalazione incidenti

I soggetti impattati dalla NIS 2 dovranno notificare senza indebito ritardo al CSIRT (Computer Security Incident Response Team) o, se opportuno, alla propria autorità competente, eventuali incidenti “significati”.

Nel caso italiano, il CSIRT Italia è l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) preposto principalmente ad attività di natura reattiva; costituisce l’interfaccia con i soggetti esterni ai quali, oltre a fornire supporto in caso di incidente informatico, indirizza i prodotti di allertamento preventivo sulle minacce e relative attività di mitigazione.

Inoltre, se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.

Dovrà essere notificato all’autorità ogni incidente “significativo”, cioè un incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi; perdite finanziarie per il soggetto interessato; si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
La procedura prevede un preallarme entro 24 ore, con eventuali sospetti su attacchi malevoli o impatti transfrontalieri. Entro 72 ore, deve essere inviata una notifica più dettagliata con una valutazione iniziale dell’incidente, la sua gravità e gli indicatori di compromissione. Se richiesto dalle autorità competenti o dal CSIRT, possono essere inviati aggiornamenti intermedi sulla situazione.

Entro un mese, l’azienda deve fornire una relazione finale con tutti i dettagli dell’incidente, le cause, le misure adottate e, se necessario, ulteriori aggiornamenti nel caso in cui l’incidente sia ancora in corso.

Il CSIRT o l’autorità competente fornisce una risposta entro 24 ore dal preallarme, offrendo un primo riscontro e, se richiesto, supporto tecnico e operativo. In caso di sospetta attività criminale, vengono fornite indicazioni per la segnalazione alle autorità di contrasto.

Sanzioni e controlli

La direttiva stabilisce un apparato sanzionatorio che i singoli Stati Membri sono chiamati a rendere effettivo, proporzionato e dissuasivo in fase di recepimento ed è prevista la proporzionalità delle sanzioni per i soggetti essenziali e importanti.

Le sanzioni amministrative pecuniarie previste sono le seguenti:

• le organizzazioni essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2 % del fatturato mondiale annuo.”
• le organizzazioni importanti sono soggette a sanzioni “pari a un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del fatturato mondiale annuo.”

Ciò significa che l’Italia dovrà individuare un massimale per le sanzioni non inferiore a 10.000.000 o del 2% del fatturato per i soggetti essenziali e di 7.000.000 o dell’1,4% del fatturato per i soggetti importanti.

Inoltre, la non conformità di un’organizzazione essenziale può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le suddette funzioni.

Infine, la Direttiva prevede che gli Stati membri possano poter stabilire sanzioni penali in caso di violazione delle norme nazionali di recepimento.

Gli Enti Locali non sono soggetti NIS in base alla Direttiva. Sarà lo stato italiano che dovrà decidere se e come includerli. Sul punto si è pronunciato il Parlamento dopo un lungo confronto con il Governo, invitando il Governo stesso a includere gli enti locali ma solo a valle di una specifica previsione finanziaria che dia loro le risorse per coprire le maggiori spese derivanti dall’inclusione.

Gli enti della pubblica amministrazione regionale e centrali sono soggetti alla vigilanza da parte di ACN, che le misure di esecuzione in caso di inadempimento e violazione. Tuttavia, per quanto riguarda questi enti, la Direttiva lascia impregiudicato il diritto nazionale in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati.

La Direttiva NIS 2 assegna alle autorità competenti, tra cui il CSIRT Italia, il compito di monitorare l’adozione delle misure di sicurezza da parte delle aziende e garantire il rispetto della normativa attraverso un approccio basato sul rischio.

Le attività di vigilanza includono:

  • Ispezioni in loco e controlli a distanza, anche con verifiche casuali, condotte da professionisti qualificati.
  • Audit sulla sicurezza, sia periodici che mirati, effettuati da organismi indipendenti o dall’autorità competente.
  • Audit straordinari, in caso di incidenti significativi o violazioni della normativa.
  • Scansioni di sicurezza, basate su criteri di rischio obiettivi e trasparenti, in collaborazione con il soggetto interessato.
  • Richieste di informazioni, per valutare le misure di gestione del rischio adottate e verificare la conformità agli obblighi normativi.
  • Accesso a dati e documenti, per garantire la corretta applicazione delle politiche di cybersecurity.
  • Verifica dell’attuazione delle misure di sicurezza, mediante richiesta di risultati di audit effettuati da controllori qualificati.

Se emergono prove o segnalazioni di violazioni della normativa, le autorità competenti possono attivare misure di vigilanza ex post, intervenendo direttamente per verificare la situazione.

In Italia, i controlli saranno effettuati da un nucleo specializzato dell’ACN, guidato da un ufficiale della Guardia di Finanza. Inoltre, è stato istituito un meccanismo di segnalazione incrociata tra ACN e le forze dell’ordine, per garantire la cooperazione tra gli enti di vigilanza e le autorità di polizia nella rilevazione di eventuali illeciti.

NIS 2 vs altre norme/certificazioni

Seppur individuati nel contesto di una pianificazione strategica comune, la Direttiva NIS 2 e il Regolamento DORA rimangono due impianti normativi differenti, sia per la platea di soggetti alla quale si rivolgono che per la portata applicativa dei rispettivi contenuti. In particolare, l’obiettivo principale del Regolamento DORA è quello di creare un quadro normativo vincolante per la resilienza operativa digitale delle imprese del settore finanziario. Al contrario, la Direttiva NIS 2 introduce importanti obblighi e misure in ambito di gestione dei rischi di cybersecurity per una platea più ampia di soggetti ritenuti critici per il funzionamento dello Stato (incluso settore bancario e infrastrutture dei mercati finanziari).

Sebbene sia ISO 27001 che NIS 2 abbiano l’obiettivo di migliorare la sicurezza informatica, esse presentano ambiti, applicabilità e approcci complessivi diversi nei confronti della sicurezza informatica. Un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) certificato secondo ISO 27001 è un’ottima base per raggiungere la conformità alla NIS 2 ma non è sufficiente. Ad esempio, la NIS 2 impone l’obbligo di segnalazione tempestiva al CSIRT in caso di incidente significativo, non previsto dalla certificazione ISO27001. Il consiglio è di effettuare degli assesment che permettano di valutare il grado di adeguatezza alla direttiva e suggeriscano le azioni e le aree su cui lavorare.

Sei pronto per adeguarti alla NIS 2?

Chiedi di essere contattato da uno dei nostri esperti

Richiedi contatto

I PARTNER

Avv. Chiara Ciccia Romito

L’avvocata Chiara Ciccia Romito è una delle voci più autorevoli in Italia nel campo della criminalità informatica, delle investigazioni digitali e del diritto delle nuove tecnologie. Iscritta all’Ordine degli Avvocati di Modena, Romito è consulente per i temi delle nuove tecnologie presso la Commissione Parlamentare d’inchiesta alla Camera dei Deputati, dove contribuisce alla definizione di strategie e politiche di rilevanza nazionale per la sicurezza digitale e la tutela della privacy. È Data Protection Officer (DPO) per importanti organizzazioni, a cui fornisce consulenza strategica sulla protezione dei dati e sull’adeguamento alle normative digitali.

Con un dottorato in Lavoro, Sviluppo e Innovazione e una collaborazione con l’Università di Milano in Informatica giuridica, combina una solida base accademica con una visione pratica e attuale delle sfide digitali. L’avvocata è anche autrice di pubblicazioni e ha ricoperto il ruolo di Vicepresidente dell’associazione Persone e Privacy, promuovendo attivamente la cultura della sicurezza e della privacy come valori fondamentali per il mondo moderno.

Syneto

Syneto offre infrastrutture iperconvergenti all’avanguardia progettate ad hoc, in grado di garantire performance applicative superiori del 500% rispetto alle infrastrutture IT tradizionali, una protezione dati sempre attiva e funzionalità di disaster recovery integrate che consentono ai clienti di riavviare l’intera infrastruttura IT in soli 15 minuti.

ReeVo

ReeVo mette a disposizione la propria esperienza di oltre 20 anni nella gestione proattiva delle infrastrutture ICT, offrendo know how specifico, un team di professionisti altamente qualificato e specializzato ed un livello tecnologico all’avanguardia e in costante aggiornamento, alla portata anche di piccole realtà aziendali, con limitate capacità di investimento.
Aiutano gli MSP e le aziende italiane a semplificare le complessità dell’IT legate alla gestione delle infrastrutture dei clienti, fornendo loro servizi, esperienza e competenze complementari al loro business.

Fortinet

Fortinet è un leader globale nella sicurezza informatica, noto per le sue soluzioni di protezione avanzata per reti e infrastrutture aziendali. Le sue tecnologie, tra cui firewall di nuova generazione e sistemi di autenticazione multifattore, garantiscono un livello di sicurezza elevato e una protezione efficace contro le minacce informatiche.

LEGGI GLI ARTICOLI

Direttiva NIS 2 Prossimi Step E Scadenze: Adeguamento E Conformità Per Le Aziende

Prossime scadenze Direttiva NIS 2: le sfide da affrontare

06/03/2025
Leggi di più
Misure Di Sicurezza Informatica Previste Dalla NIS2

NIS2, la responsabilità diretta della dirigenza

10/02/2025
Leggi di più
Bandiere Dell'Unione Europea Che Rappresentano La Direttiva NIS2 Pubblicata In Italia

Direttiva NIS2: l’Italia pubblica il decreto in Gazzetta Ufficiale

07/10/2024
Leggi di più
Torna su