Hard Soft Team

Information Technologies Infrastructures

NIS2

scroll down

Le aziende devono adottare la Direttiva Cyber Security NIS2: ma a chi si applica?
La direttiva si applica normalmente alle medie e grandi aziende ma…
tutte le aziende che interagiscono per lavoro con loro (tra cui c’è probabilmente la tua) dovranno fare altrettanto per garantire la cybersicurezza.

Cos’è la Direttiva NIS2?

La Direttiva NIS2 è un aggiornamento della normativa europea per la cybersicurezza, originariamente realizzata nella versione 1 (NISD). L'obiettivo della NIS2 è quello di potenziare la resilienza delle imprese per ciò che riguarda la sicurezza informatica, semplificare le segnalazioni degli incidenti e creare regole e sanzioni coerenti in tutta l’UE.
Ampliando il suo campo di applicazione, la direttiva NIS2 impone a un maggior numero di imprese e settori di adottare politiche e misure di sicurezza informatica, con l’obiettivo finale di migliorare e uniformare il livello di cybersecurity in Europa.
Con regole più severe per superare le limitazioni precedenti, la NIS2 ha un impatto su una gamma più ampia di settori. Le entità che rientrano nella NIS2 sono
classificate come essenziali o importanti, e la direttiva delinea i requisiti di sicurezza e un processo per la segnalazione degli incidenti a cui le medesime dovranno uniformarsi.

Le novità principali della NIS2

Le due principali novità rispetto la NIS originaria sono:

  • Notevole ampliamento delle imprese coinvolte;
  • Coinvolgimento della supply chain.

Tempistiche di applicazione della direttiva NIS2

  • 16 gennaio 2023 -> entrata in vigore
  • 17 Ottobre 2024 -> Termine ultimo per gli Stati Europei per adottare e pubblicare le misure per confermarsi alla NIS 2
  • 17 Gennaio 2025 -> Recepimento della direttiva col D.Lgs. 138/2024 del 04/09/2024
  • 28 febbraio 2025 -> Termine per l'iscrizione al registro nazionale
  • 17 Aprile 2025 -> Gli Stati membri stabiliscono l'elenco di entità "essenziali" e "importanti"
  • 01 gennaio 2026 -> Segnalazione degli incidenti
  • Ottobre 2026 -> Termine per l'adeguamento delle misure minime di sicurezza

Ambito di applicazione della Direttiva

La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che rientrino nelle definizioni di media impresa (almeno 50 dipendenti e più di 10 milioni di fatturato annuo) o grande impresa (almeno 250 dipendenti e più di 50 milioni di fatturato). In Italia la Direttiva è stata recepita con il D.Lgs. 138/2024 entrato in vigore il 16 ottobre 2024.

Responsabilità

La NIS2 impone obblighi diretti agli organi di gestione per quanto riguarda l’attuazione e la supervisione della conformità della loro organizzazione alla legislazione. Le conseguenze della mancata conformità comportano sanzioni pecuniarie, ma anche l’interdizione temporanea dalle mansioni manageriali dell’organizzazione per i singoli individui ritenuti responsabili di non aver rispettato gli standard di cybersicurezza richiesti.

Segnalazione

Le organizzazioni sono tenute a segnalare gli incidenti informatici significativi alle autorità competenti o ai Computer Security Incident Response Teams (CSIRT). Inoltre, le entità classificate come “essenziali” o “importanti” devono produrre e implementare un piano di risposta agli incidenti e devono riferire annualmente sui suoi progressi. La nuova direttiva introduce obblighi di notifica graduali, tra cui una prima notifica entro 24 ore dal momento in cui si viene a conoscenza dell'incidente e il successivo aggiornamento entro 72 ore. Si tratta di una modifica rispetto all’attuale obbligo di notifica “senza indebito ritardo” previsto dalla direttiva NIS. Dopo la notifica iniziale, vi sono obblighi di notifica “intermedi” e “finali”.

Sanzioni Pecuniarie NIS2

Sono previste anche sanzioni pecuniarie che dipendono dai soggetti interessati:

  • Per i soggetti essenziali: massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
  • Per i soggetti importanti: un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo

Servizi H.S.T. per le imprese

Hard Soft Team, con i propri servizi specifici di consulenza direzionale, è in grado di affiancare la tua impresa per supportarla e guidarla nel percorso di adeguamento della norma: contattaci!

Per capire come possiamo esserti di supporto affinché la tua impresa si possa adeguare alla normativa in maniera corretta ed efficiente contattaci scrivendo a sales@hst.it