Cos’è la NIS 2 e chi si deve adeguare?

La Direttiva NIS 2, approvata dall’Unione Europea, mira a rafforzare la sicurezza informatica per le aziende e le infrastrutture digitali, questa richiede alle imprese di adottare misure di sicurezza avanzate per proteggere i propri sistemi e dati.

La NIS 2 si applica a molti settori, in particolare, enti  essenziali (come ad esempio energia, trasporti, sanità, banche, infrastrutture digitali, servizi di cloud computing, ecc.) ed enti  importanti (come servizi postali, gestione rifiuti, produzione alimentare e farmaceutica, ecc.).

Sono incluse le aziende con più di 50 dipendenti o un  fatturato superiore a 10 milioni di euro.

Anche le pubbliche amministrazioni rientrano nell’ambito di questa normativa.


Scadenze NIS 2 e sanzioni

Con l’aumento degli attacchi informatici, l’Italia ha introdotto la Legge 90/2024 per migliorare la cybersicurezza, entrata in vigore il 17 luglio 2024. Questa legge si allinea con la  NIS 2, direttiva europea che richiede standard di sicurezza più rigidi e maggiore cooperazione tra gli Stati membri.

La NIS 2, che deve essere recepita entro ottobre 2024, e la Legge 90/2024 condividono l’obiettivo di proteggere le infrastrutture critiche e rafforzare la resilienza operativa.

Entrambe richiedono misure come la notifica tempestiva degli attacchi e l’adozione di tecnologie avanzate di sicurezza, le aziende e le istituzioni pubbliche dovranno adeguarsi rapidamente a queste norme per garantire una protezione efficace contro le minacce informatiche in evoluzione.

È previsto un sistema di auto-identificazione basato su settore e grandezza aziendale, e le entità non europee che offrono servizi nell’UE devono nominare un rappresentante, le organizzazioni dovranno inoltre comunicare alle autorità competenti dettagli sulle loro operazioni, garantendo un maggiore controllo e trasparenza.

Le sanzioni per il mancato rispetto della NIS 2 possono essere molto elevate.

L’importo massimo di una multa può arrivare fino a 10 milioni di euro o al  2% del fatturato annuo globale dell’azienda, a seconda di quale sia la cifra più alta.

Le autorità competenti possono anche imporre altre misure correttive, inclusa la sospensione temporanea delle attività , in caso di gravi violazioni.

Vantaggi della conformità alla NIS 2

La NIS 2 non è un ostacolo, ma un’opportunità per la tua azienda:

  • Aumento della Sicurezza: proteggi i tuoi dati e sistemi da minacce informatiche.
  • Riduzione dei Rischi: minimizza le vulnerabilità e previeni attacchi cyber.
  • Evitare le Sanzioni: rispetta le normative per evitare multe e penalità. (ricordiamo che la conformità alla NIS 2 è obbligatoria se sì rientra nell’ambito di applicazione)
  • Miglioramento della reputazione: Rafforza la fiducia dei clienti e dei partner.
  • Vantaggio Competitivo: essere in regola con le normative di sicurezza può costituire un vantaggio competitivo sul mercato, attirando clienti che cercano partner sicuri.
nis 2 fclex
nis2 webinar

Perché partecipare al webinar e cosa ti porti a casa

  • Accesso a documentazioni e risorse esclusive
  • Strategie per evitare sanzioni
  • Conoscenza approfondita della Direttiva NIS 2
  • Sessione Q&A con avvocato esperto di diritto dell’informatica

Per saperne di più sul nostro studio legale:

📅 Ti aspettiamo martedì 1 ottobre alle ore 11! (webinar gratuito, posti limitati)


Compila il form sottostante e ricevarai il prima possibile tutti i dettagli per partecipare al seminario

f.a.q.

domande frequenti

Per qualsiasi dubbio siamo a disposizione

Chi deve adeguarsi alla NIS2?

Enti essenziali (energia, trasporti, sanità, banche, infrastrutture digitali) e importanti (servizi postali, gestione rifiuti, produzione alimentare e farmaceutica). Sono incluse le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.

Nello specifico quali settori rientrano?

Settori Essenziali

Stando alla Direttiva NIS 2 (UE 2022/2555), l’obiettivo è garantire un più alto livello di sicurezza cibernetica per una vasta gamma di settori considerati critici per il funzionamento dell’economia e della società nell’Unione Europea.

La direttiva stabilisce requisiti di sicurezza e obblighi di conformità specifici per due principali categorie di entità: enti essenziali ed enti importanti.

Tra i settori coinvolti troviamo:

■ Energia

◦ Elettricità: produzione, trasmissione e distribuzione.

◦ Gas: produzione, trasporto, distribuzione e stoccaggio.

◦ Petrolio: raffinazione, distribuzione e stoccaggio.

◦ Idrogeno: produzione e distribuzione.

■ Trasporti

◦ Aereo: compagnie aeree, aeroporti e servizi di controllo del traffico aereo.

◦ Ferrovie: operatori ferroviari e infrastrutture ferroviarie.

◦ Marittimo: porti, compagnie di navigazione e servizi di trasporto marittimo.

◦ Stradale: gestori delle infrastrutture stradali e servizi di trasporto su strada.

■ Banche

◦ Istituti bancari e istituzioni finanziarie che gestiscono operazioni di pagamento e servizi bancari essenziali.

■ Infrastrutture del Mercato Finanziario

◦ Borse valori, sistemi di pagamento e di compensazione.

■ Settore Sanitario

◦ Ospedali, laboratori, istituti di ricerca medica e fornitori di servizi sanitari.

■ Fornitura e Distribuzione di Acqua Potabile

◦ Gestori delle risorse idriche e infrastrutture per la distribuzione dell’acqua.

■ Infrastrutture Digitali

◦ Data Center: fornitura e gestione di servizi di data center.

Cloud Computing: fornitori di servizi di cloud.

◦ DNS: gestori del sistema di nomi di dominio.

◦ Reti di Distribuzione di Contenuti: servizi che distribuiscono contenuti digitali.

■ Pubblica amministrazione

Settori Importanti

■ Servizi Postali e Corrieri

◦ Operatori di servizi postali e di consegna.

■ Gestione dei Rifiuti

◦ Aziende che gestiscono la raccolta, il trattamento e lo smaltimento dei rifiuti.

■ Industria Chimica

◦ Produzione e distribuzione di sostanze chimiche e prodotti chimici.

■ Produzione e Distribuzione di Cibo

◦ Aziende che producono, trasformano e distribuiscono alimenti.

■ Prodotti Farmaceutici

◦ Produzione e distribuzione di medicinali e prodotti farmaceutici.

■ Dispositivi Medici

◦ Produzione e distribuzione di dispositivi medici e apparecchiature sanitarie.

■ Fornitori di Servizi di ICT e Sviluppo Tecnologico

◦ Aziende che offrono servizi di tecnologia dell’informazione e della comunicazione (ICT), inclusi servizi di sviluppo software e hardware.

A quanto può ammontare una sanzione per il mancato rispetto della direttiva NIS 2?

Le sanzioni per il mancato rispetto della NIS 2 possono essere particolarmente severe, riflettendo l’importanza della compliance per garantire la sicurezza informatica a livello dell’Unione Europea. Ecco un dettaglio ampliato su quanto possono ammontare le sanzioni e le misure correttive previste:

Sanzioni Finanziarie

■ Importo Massimo: La multa per il mancato rispetto della NIS 2 può arrivare fino a 10 milioni di euro

■ Percentuale del Fatturato: In alternativa, la sanzione può essere pari al 2% del fatturato annuo globale dell’azienda, se questo importo è superiore ai 10 milioni di euro.

■ Scelta dell’Importo: L’importo finale della multa sarà determinato confrontando il limite massimo di 10 milioni di euro con il 2% del fatturato annuo globale, e si applicherà la cifra più alta.

Misure Correttive Addizionali

Oltre alle sanzioni pecuniarie, le autorità competenti hanno la facoltà di imporre altre misure correttive, tra cui:

■ Sospensione Temporanea delle Attività: In caso di violazioni gravi, le autorità possono decidere di sospendere temporaneamente le attività dell’azienda fino a quando non vengono adottate le misure necessarie per ripristinare la conformità.

■ Ordini di Ripristino: Le aziende potrebbero essere obbligate a implementare modifiche specifiche alle loro pratiche di sicurezza e gestione del rischio per affrontare le lacune identificate.

■ Interventi Direttivi: Le autorità possono emettere direttive specifiche su come migliorare le pratiche di sicurezza informatica e monitorare la loro attuazione.

Quando entra in vigore la NIS 2?

La NIS 2 (Direttiva (UE) 2022/2555) entrerà ufficialmente in vigore il 18 ottobre 2024.

Quali sono le novità principali introdotte dalla NIS 2 rispetto alla NIS 1?

La NIS 2 amplia il campo di applicazione includendo più settori, introduce requisiti di sicurezza più rigorosi, tempi più stretti per la notifica di incidenti (entro 24 ore per una prima notifica), e prevede sanzioni più severe.

Inoltre, pone maggiore enfasi sulla governance aziendale e sull’accountability dei dirigenti.

La NIS 2 si applica anche all’industria manifatturiera?

Sì, la NIS 2 si applica anche all’industria manifatturiera, ma solo per determinati settori considerati critici.

In particolare, le aziende manifatturiere coinvolte nella produzione di prodotti essenziali o strategici, come i prodotti farmaceutici, i dispositivi medici, i prodotti chimici, macchinari, veicoli, dispositivi elettronici e altre industrie con un impatto sulla sicurezza e sulla resilienza delle infrastrutture, rientrano tra le entità soggette alla direttiva.

Ricordiamo che sono incluse le aziende con più di 50 dipendenti  o un fatturato superiore a 10 milioni di euro.

Quali sono le responsabilità dei dirigenti aziendali sotto la NIS 2?

La NIS 2 attribuisce specifiche responsabilità ai dirigenti aziendali per la gestione della sicurezza delle informazioni.

Devono essere coinvolti attivamente nella supervisione delle strategie di sicurezza e garantire che l’azienda adotti le misure necessarie per la conformità.

Il mancato rispetto può comportare responsabilità personali in caso di violazioni.

La NIS 2 richiede l’adozione di specifiche tecnologie di sicurezza?

Non prescrive tecnologie specifiche, ma richiede l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi.

Le tecnologie consigliate includono crittografia dei dati, autenticazione a più fattori, sistemi di rilevamento delle intrusioni (IDS/IPS), e soluzioni di gestione dei log e delle vulnerabilità.

Bisogna per forza usufruire di tutti i servizi presenti nel vostro pacchetto?

Assolutamente no, il nostro approccio è flessibile e completamente su misura.

Ci adattiamo ai tuoi bisogni specifici, integrando le soluzioni di sicurezza con ciò che hai già implementato.

Non è necessario scegliere il pacchetto completo: puoi selezionare solo i servizi che ritieni necessari per la tua azienda, inoltre, non sei vincolato a un unico fornitore: sei libero di scegliere con chi collaborare per le tue esigenze di sicurezza.