Direttiva NIS 2: il nuovo piano per la Cyber Security

Direttiva NIS 2: impatto sulle aziende, protagonisti e adeguamento.

Un nuovo strumento volto al rafforzamento delle misure di cyber security è entrato in vigore il 17 gennaio 2023 e dovrà essere recepito dagli Stati membri UE entro il 18 ottobre 2024, stiamo parlando della nuova Direttiva NIS 2.

Ma di cosa si tratta, e soprattutto quali sono i suoi obiettivi e i suoi protagonisti?

La nuova normativa per la Cyber security

La Direttiva NIS 2 modifica la precedente Direttiva NIS ed ha quale obiettivo quello di andare a creare una strategia comune e più forte tra gli Stati membri nell’ambito della cyber security. I vari stati dovranno impegnarsi nello sviluppo di piani nazionali per la sicurezza e di team specializzati nella materia.

Si tratta di una normativa che va ad aggiungersi ed integrarsi alle normative già presenti: GDPR, Regolamento DORA, Direttiva CER, Cyber Resilience Act, ed a livello nazionale al Perimetro di Sicurezza Nazionale Cibernetica.

L’obiettivo primario della nuova Direttiva è quello di andare a proteggere più fortemente i settori dell’energia, dei trasporti e dei servizi finanziari, ossia quei settori fondamentali per il Paese.

In base alle nuove previsioni, verrà richiesto alle aziende di adottare delle misure di sicurezza più rigorose, nonché di adottare un sistema di segnalazioni più rapido.

I fornitori di servizi digitali dovranno infatti notificare alle autorità gli incidenti entro 24 ore da quando ne sono venuti a conoscenza, contro le 72 ore attualmente previste dal GDPR.

Quali sono i settori coinvolti?

Ma vediamo più nello specifico quali sono le realtà in cui troverà applicazione la direttiva:

Energia;
Sanità;
Trasporti;
Comunicazione;
Servizi bancari e finanziari

Ma non solo, vi rientreranno anche le piattaforme online, quali:

E-commerce;
Motori di ricerca;
Cloud computing;
Gestione dei servizi ICT,

ed una nuova tipologia di settori definiti “altri settori critici”, come per esempio la gestione dei rifiuti o la fabbricazione di apparecchiature elettriche, piuttosto che la produzione, trasformazione e distribuzione di alimenti.

La Direttiva NIS 2 prevede altresì la creazione di due categorie di attori: i soggetti essenziali ed i soggetti importanti, per i quali gli Stati membri dovranno definire degli elenchi entro il 17 aprile 2025.

I criteri volti a stabilire quali siano i soggetti obbligati guardano all’espletamento delle attività in UE ed alle dimensioni, che devono corrispondere a quelle delle medie imprese.

Come adeguarsi alla Direttiva NIS 2?

Per quanto riguarda l’adeguamento, i soggetti obbligati dovranno adottare misure tecniche, operative ed organizzative adeguate e proporzionate a gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che utilizzano nella loro attività, anche al fine di prevenire e ridurre l’impatto degli incidenti.

Sono quattro le operazioni che i soggetti obbligati dovranno seguire:

1. Identificare sè stessi nella tipologia di soggetti essenziali o importanti;

2. Adottare una strategia andando a definire quali saranno le misure adeguate per proteggere i sistemi informatici e le reti;

3. Istituire un data Breach Recovery Plan, ossia un iter per gestire gli incidenti più significativi, normalmente composto da tre fasi principali:

a. Pre allarme, ossia avvisare le autorità competenti entro 24 ore dalla scoperta dell’incidente;

b. Notifica entro 72 ore con eventuali aggiornamenti (ove presenti);

c. Relazione finale entro 1 mese dalla notifica;

4. Monitorare costantemente i livelli di sicurezza ed aggiornare le misure adottate

In caso di incidenti, i soggetti obbligati avranno l’onere di renderli noti sui propri canali.

Le sanzioni previste in caso di mancato adeguamento.

In caso di mancato adeguamento, le sanzioni in cui si può incorrere sono di due tipi: amministrative e penali.

La NIS 2 non prevede in modo specifico le sanzioni comminabili, ma fissa un massimo che corrisponde a 10 milioni di euro o il 2% del fatturato mondiale globale per i soggetti qualificati “essenziali” e 7 milioni o il 1,4% del fatturato mondiale globale per i soggetti “importanti”.

Per quanto riguarda il settore penale, ogni stato farà affidamento alla propria normativa.

Per richiederci maggiori info clicca qui.

Personalizza i cookies attivi su questo sito

Necessary

Sempre abilitato

I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.

Cookie	Durata	Descrizione
__hssrc	Session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
JSESSIONID	Session	Utilizzato da siti scritti in JSP. Cookie di sessione della piattaforma per scopi generici che vengono utilizzati per mantenere lo stato degli utenti attraverso le richieste di pagina.
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Functional

I cookie funzionali aiutano a eseguire determinate funzionalità come condividere il contenuto del sito Web su piattaforme di social media, raccogliere feedback e altre funzionalità di terze parti.

Cookie	Durata	Descrizione
__cf_bm	30 minuti	Questo cookie, impostato da Cloudflare, viene utilizzato per supportare la gestione dei bot di Cloudflare.
__hssc	30 minuti	HubSpot imposta questo cookie per tenere traccia delle sessioni e per determinare se HubSpot deve incrementare il numero di sessione e i timestamp nel cookie __hstc.
bcookie	2 anni	LinkedIn imposta questo cookie dai pulsanti di condivisione di LinkedIn e aggiunge tag per riconoscere l'ID del browser.
lang	Session	Questo cookie viene utilizzato per memorizzare le preferenze di lingua di un utente per fornire contenuti in quella lingua memorizzata la prossima volta che l'utente visita il sito web.
lidc	1 giorno	LinkedIn imposta il cookie lidc per facilitare la selezione del data center.

Performance

Analytics

I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, della frequenza di rimbalzo, della sorgente del traffico, ecc.

Cookie	Durata	Descrizione
__hstc	1 anno 24 giorni	his is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_162571803_1	1 minuto	This cookie is set by Google and is used to distinguish users.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
CONSENT	16 years 3 months 10 days 7 hours 5 minutes	Questi cookie vengono impostati tramite video di YouTube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che non accedi al tuo account google, in tal caso le tue scelte sono legate al tuo account, ad esempio se fai clic su "mi piace" su un video.
hubspotutk	1 year 24 days	Questo cookie viene utilizzato da HubSpot per tenere traccia dei visitatori del sito web. Questo cookie viene passato a Hubspot all'invio del modulo e utilizzato durante la deduplicazione dei contatti.
UID	2 anni

Advertisment

Others