Cos’è la NIS 2 e chi si deve adeguare?
La Direttiva NIS 2, approvata dall’Unione Europea, mira a rafforzare la sicurezza informatica per le aziende e le infrastrutture digitali, questa richiede alle imprese di adottare misure di sicurezza avanzate per proteggere i propri sistemi e dati.
La NIS 2 si applica a molti settori, in particolare, enti essenziali (come ad esempio energia, trasporti, sanità, banche, infrastrutture digitali, servizi di cloud computing, ecc.) ed enti importanti (come servizi postali, gestione rifiuti, produzione alimentare e farmaceutica, ecc.).
Sono incluse le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.
Anche le pubbliche amministrazioni rientrano nell’ambito di questa normativa.
Scadenze NIS 2 e sanzioni
Con l’aumento degli attacchi informatici, l’Italia ha introdotto la Legge 90/2024 per migliorare la cybersicurezza, entrata in vigore il 17 luglio 2024. Questa legge si allinea con la NIS 2, direttiva europea che richiede standard di sicurezza più rigidi e maggiore cooperazione tra gli Stati membri.
La NIS 2, che deve essere recepita entro ottobre 2024, e la Legge 90/2024 condividono l’obiettivo di proteggere le infrastrutture critiche e rafforzare la resilienza operativa.
Entrambe richiedono misure come la notifica tempestiva degli attacchi e l’adozione di tecnologie avanzate di sicurezza, le aziende e le istituzioni pubbliche dovranno adeguarsi rapidamente a queste norme per garantire una protezione efficace contro le minacce informatiche in evoluzione.
È previsto un sistema di auto-identificazione basato su settore e grandezza aziendale, e le entità non europee che offrono servizi nell’UE devono nominare un rappresentante, le organizzazioni dovranno inoltre comunicare alle autorità competenti dettagli sulle loro operazioni, garantendo un maggiore controllo e trasparenza.
Le sanzioni per il mancato rispetto della NIS 2 possono essere molto elevate.
L’importo massimo di una multa può arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda, a seconda di quale sia la cifra più alta.
Le autorità competenti possono anche imporre altre misure correttive, inclusa la sospensione temporanea delle attività , in caso di gravi violazioni.
Vantaggi della conformità alla NIS 2
La NIS 2 non è un ostacolo, ma un’opportunità per la tua azienda:
Perché partecipare al webinar e cosa ti porti a casa
Per saperne di più sul nostro studio legale:
📅 Ti aspettiamo martedì 1 ottobre alle ore 11! (webinar gratuito, posti limitati)
Compila il form sottostante e ricevarai il prima possibile tutti i dettagli per partecipare al seminario
f.a.q.
domande frequenti
Per qualsiasi dubbio siamo a disposizione
Enti essenziali (energia, trasporti, sanità, banche, infrastrutture digitali) e importanti (servizi postali, gestione rifiuti, produzione alimentare e farmaceutica). Sono incluse le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.
Settori Essenziali
Stando alla Direttiva NIS 2 (UE 2022/2555), l’obiettivo è garantire un più alto livello di sicurezza cibernetica per una vasta gamma di settori considerati critici per il funzionamento dell’economia e della società nell’Unione Europea.
La direttiva stabilisce requisiti di sicurezza e obblighi di conformità specifici per due principali categorie di entità: enti essenziali ed enti importanti.
Tra i settori coinvolti troviamo:
■ Energia
◦ Elettricità: produzione, trasmissione e distribuzione.
◦ Gas: produzione, trasporto, distribuzione e stoccaggio.
◦ Petrolio: raffinazione, distribuzione e stoccaggio.
◦ Idrogeno: produzione e distribuzione.
■ Trasporti
◦ Aereo: compagnie aeree, aeroporti e servizi di controllo del traffico aereo.
◦ Ferrovie: operatori ferroviari e infrastrutture ferroviarie.
◦ Marittimo: porti, compagnie di navigazione e servizi di trasporto marittimo.
◦ Stradale: gestori delle infrastrutture stradali e servizi di trasporto su strada.
■ Banche
◦ Istituti bancari e istituzioni finanziarie che gestiscono operazioni di pagamento e servizi bancari essenziali.
■ Infrastrutture del Mercato Finanziario
◦ Borse valori, sistemi di pagamento e di compensazione.
■ Settore Sanitario
◦ Ospedali, laboratori, istituti di ricerca medica e fornitori di servizi sanitari.
■ Fornitura e Distribuzione di Acqua Potabile
◦ Gestori delle risorse idriche e infrastrutture per la distribuzione dell’acqua.
■ Infrastrutture Digitali
◦ Data Center: fornitura e gestione di servizi di data center.
◦Cloud Computing: fornitori di servizi di cloud.
◦ DNS: gestori del sistema di nomi di dominio.
◦ Reti di Distribuzione di Contenuti: servizi che distribuiscono contenuti digitali.
■ Pubblica amministrazione
Settori Importanti
■ Servizi Postali e Corrieri
◦ Operatori di servizi postali e di consegna.
■ Gestione dei Rifiuti
◦ Aziende che gestiscono la raccolta, il trattamento e lo smaltimento dei rifiuti.
■ Industria Chimica
◦ Produzione e distribuzione di sostanze chimiche e prodotti chimici.
■ Produzione e Distribuzione di Cibo
◦ Aziende che producono, trasformano e distribuiscono alimenti.
■ Prodotti Farmaceutici
◦ Produzione e distribuzione di medicinali e prodotti farmaceutici.
■ Dispositivi Medici
◦ Produzione e distribuzione di dispositivi medici e apparecchiature sanitarie.
■ Fornitori di Servizi di ICT e Sviluppo Tecnologico
◦ Aziende che offrono servizi di tecnologia dell’informazione e della comunicazione (ICT), inclusi servizi di sviluppo software e hardware.
Le sanzioni per il mancato rispetto della NIS 2 possono essere particolarmente severe, riflettendo l’importanza della compliance per garantire la sicurezza informatica a livello dell’Unione Europea. Ecco un dettaglio ampliato su quanto possono ammontare le sanzioni e le misure correttive previste:
Sanzioni Finanziarie
■ Importo Massimo: La multa per il mancato rispetto della NIS 2 può arrivare fino a 10 milioni di euro.
■ Percentuale del Fatturato: In alternativa, la sanzione può essere pari al 2% del fatturato annuo globale dell’azienda, se questo importo è superiore ai 10 milioni di euro.
■ Scelta dell’Importo: L’importo finale della multa sarà determinato confrontando il limite massimo di 10 milioni di euro con il 2% del fatturato annuo globale, e si applicherà la cifra più alta.
Misure Correttive Addizionali
Oltre alle sanzioni pecuniarie, le autorità competenti hanno la facoltà di imporre altre misure correttive, tra cui:
■ Sospensione Temporanea delle Attività: In caso di violazioni gravi, le autorità possono decidere di sospendere temporaneamente le attività dell’azienda fino a quando non vengono adottate le misure necessarie per ripristinare la conformità.
■ Ordini di Ripristino: Le aziende potrebbero essere obbligate a implementare modifiche specifiche alle loro pratiche di sicurezza e gestione del rischio per affrontare le lacune identificate.
■ Interventi Direttivi: Le autorità possono emettere direttive specifiche su come migliorare le pratiche di sicurezza informatica e monitorare la loro attuazione.
La NIS 2 (Direttiva (UE) 2022/2555) entrerà ufficialmente in vigore il 18 ottobre 2024.
La NIS 2 amplia il campo di applicazione includendo più settori, introduce requisiti di sicurezza più rigorosi, tempi più stretti per la notifica di incidenti (entro 24 ore per una prima notifica), e prevede sanzioni più severe.
Inoltre, pone maggiore enfasi sulla governance aziendale e sull’accountability dei dirigenti.
Sì, la NIS 2 si applica anche all’industria manifatturiera, ma solo per determinati settori considerati critici.
In particolare, le aziende manifatturiere coinvolte nella produzione di prodotti essenziali o strategici, come i prodotti farmaceutici, i dispositivi medici, i prodotti chimici, macchinari, veicoli, dispositivi elettronici e altre industrie con un impatto sulla sicurezza e sulla resilienza delle infrastrutture, rientrano tra le entità soggette alla direttiva.
Ricordiamo che sono incluse le aziende con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro.
La NIS 2 attribuisce specifiche responsabilità ai dirigenti aziendali per la gestione della sicurezza delle informazioni.
Devono essere coinvolti attivamente nella supervisione delle strategie di sicurezza e garantire che l’azienda adotti le misure necessarie per la conformità.
Il mancato rispetto può comportare responsabilità personali in caso di violazioni.
Non prescrive tecnologie specifiche, ma richiede l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi.
Le tecnologie consigliate includono crittografia dei dati, autenticazione a più fattori, sistemi di rilevamento delle intrusioni (IDS/IPS), e soluzioni di gestione dei log e delle vulnerabilità.
Assolutamente no, il nostro approccio è flessibile e completamente su misura.
Ci adattiamo ai tuoi bisogni specifici, integrando le soluzioni di sicurezza con ciò che hai già implementato.
Non è necessario scegliere il pacchetto completo: puoi selezionare solo i servizi che ritieni necessari per la tua azienda, inoltre, non sei vincolato a un unico fornitore: sei libero di scegliere con chi collaborare per le tue esigenze di sicurezza.