La Direttiva NIS II (Network and Information Security), recepita in Italia con il D. Lgs. 138/2024 ed entrata in vigore il 16 ottobre 2024, introduce nuovi obblighi in materia di cybersicurezza per imprese, pubbliche amministrazioni ed istituzioni governative, nonché nuove misure volte a rafforzare il livello di sicurezza informatica nell’Unione Europea.
L’obiettivo è di elevare il livello di sicurezza dei dati e delle organizzazioni degli stati membri attraverso l’implementazione di un processo sistematico e continuativo nel tempo, volto a identificare, valutare e adottare misure di sicurezza sempre più adeguate e finalizzate a ridurre il rischio di vulnerabilità delle imprese di fronte ai crescenti attacchi informatici ed alle cyber-minacce (ad es., Malware, Phishing, attacchi zero-day, attacchi all’infrastruttura critica etc.).
Dette misure includono:
- Analisi dei rischi e politiche di sicurezza delle informazioni
- Gestione completa degli incidenti
- Gestione della crisi e della continuità operativa
- Sicurezza efficace della supply chain
- Sicurezza della rete estesa
- Gestione delle vulnerabilità e divulgazione
- Politiche e procedure che valutano l’efficacia della gestione del rischio di cybersicurezza
- Uso della crittografia e della cifratura
- Uso dell’autenticazione multifattore
A chi si rivolge
La direttiva NIS II amplia l’area di applicazione della precedente normativa NIS, introducendo nuove categorie di operatori distinti in “essenziali” e “importanti” a seconda del settore di riferimento.
Entità che operano nei settori essenziali:
- Trasporto
- Energia
- Banca e Finanza
- Sanità
- Servizi idrici
- Infrastrutture digitali
- Pubblica Amministrazione
Entità che operano nei settori importanti:
- Servizi postali e di spedizione
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione di dispositivi importanti (medici e diagnostici, computer, prodotti di elettronica e ottica, apparecchiature elettriche, autoveicoli, rimorchi e semirimorchi, etc.)
All’interno di questi settori la direttiva NIS 2 si applica indistintamente a soggetti pubblici o privati di medie o grandi dimensioni, in particolare alle imprese che rispettano 3 requisiti cumulativi:
- Territoriali
- Dimensionali
- Settoriali
E precisamente con:
- Numero di dipendenti: almeno 50
- Fatturato annuo: pari o superiore a 10 milioni di Euro
- Fornitori critici: Entità coinvolte nella supply chain di settori essenziali o importanti, indipendentemente dalle dimensioni o dal fatturato.
- Rilevanza nazionale: Qualsiasi entità considerata critica da uno Stato membro per ragioni di sicurezza nazionale o continuità operativa.
Come adeguarsi
Per conformarsi alla NIS II, le organizzazioni devono adottare un approccio di compliance strutturato alla cybersecurity. Tra le misure richieste, a titolo esplicativo e non esaustivo ritroviamo:
- preliminare valutazione di applicabilità ed analisi del gap in merito a governance; misure tecniche organizzative; procedure di notificazione; controllo della catena di fornitura e contratti firmati con fornitori esterni di servizi ICT);
- Definizione di un modello organizzativo di governance e delle procedure organizzative / operative interne; creazione di un singolo documento NIS2 che riporti una generale overview sulla sigurezza; correzione dei contratti con fornitori tecnologici e creazione di un Addendum alla NIS2 da allegare;
- Attività di formazione continua del personale in materia di sicurezza informatica (la formazione del personale diventa imprescindibile, poiché le persone rappresentano l’anello più debole nella sicurezza informatica);
- Gestione degli incidenti definendo procedure precise per rilevare, rispondere e segnalare attacchi informatici. In caso di violazioni significative, l’incidente deve essere notificato entro 24 ore, con un report dettagliato da fornire entro 72 ore.
Nel caso di specie, il 28 febbraio 2025 è stata la data limite per le aziende che dovevano conformarsi alla Direttiva NIS 2 attraverso la nomina di un punto di contatto (soggetto apicale all’interno dell’organizzazione o, alternativamente, un dipendente formalmente nominato dal rappresentante legale dell’organizzazione) e, quindi, la registrazione dell’impresa presso l’Agenzia per la Cybersicurezza Nazionale (ACN).
Per una consulenza in merito siete invitati a contattare l’ufficio Ambiente
al seguente numero 051.6487659 o tramite mail ambiente@ascom.bo.it
