• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / La Direttiva NIS2: come i temi di cybersecurity riguarderanno sempre più imprese nel 2024

La Direttiva NIS2: come i temi di cybersecurity riguarderanno sempre più imprese nel 2024

10 Novembre 2023 di Valeria Carozzi Lascia un commento

L’Unione Europea lavora da tempo a un quadro normativo che si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area UE. Qui parleremo della normativa NIS 2, entrata in vigore il 17 gennaio 2023, che interviene e cambia profondamente la precedente Direttiva NIS.

Trattandosi di una direttiva e non di un regolamento (com’è, ad esempio, il GDPR) necessita di essere recepita da tutti gli Stati Membri entro un certo periodo prestabilito, in questo caso entro il 18 ottobre 2024, sviluppando piani nazionali per la sicurezza e team specializzati per mettere in atto la direttiva.

La Direttiva NIS 2 si inserisce nel più ampio quadro normativo che si sta via via strutturando in Europa e che include strumenti quali il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Il suo obiettivo principale è quello di rafforzare le misure cybersecurity soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari e con la sua nuova release coinvolge nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP).

Quali son le aziende obbligate?

Innanzitutto, la Direttiva NIS 2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio:

  • fornitori di servizi essenziali
  1. società di produzione e distribuzione energia;
  2. servizi sanitari;
  3. trasporti;
  4. infrastrutture di comunicazione elettronica;
  5. servizi bancari e finanziari.

Queste imprese, considerate strategiche per il funzionamento dei servizi essenziali ,  devono alzare più di tutte le asticelle dei propri sistemi cyber security.

Inoltre, la Direttiva NIS 2, si applica anche ai fornitori di servizi digitali. Questi ultimi includono le piattaforme online.

  • fornitori di servizi digitali
  1. e-commerce;
  2. motori di ricerca;
  3. cloud computing;
  4. gestione dei servizi ICT, della pubblica amministrazione e dello spazio.

Queste organizzazioni, pur non essendo a livello di rischio così elevato come i primi, dovranno garantire comunque alti standard di sicurezza informatica per proteggere, sia i dati dei propri utenti che quelli di clienti e fornitori con cui operano.

La nuova Direttiva NIS 2 introduce poi una nuova platea di soggetti definiti  “altri settori critici” si seguito elencati:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • fabbricazione, la produzione e la distribuzione di sostanze chimiche;
  • produzione, la trasformazione e la distribuzione di alimenti;
  • fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
  • fabbricazione di computer e prodotti di elettronica e ottica;
  • fabbricazione di apparecchiature elettriche;
  • fabbricazione di macchinari e apparecchiature n.c.a.;
  • fabbricazione di autoveicoli, rimorchi e semirimorchi;
  • fabbricazione di altri specifici mezzi di trasporto;
  • fornitori di servizi digitali;
  • organizzazioni di ricerca.

Un’altra importante novità che introduce la NIS 2 sono due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.

Definisce anche meglio i criteri per individuare i soggetti obbligati, in particolare in base al criterio di dimensione che descriveremo di seguito.

La dimensione quale criterio per l’assoggettabilità

In particolare, la Direttiva NIS 2 definisce il criterio della “dimensione del soggetto” affermando che, l’applicazione della normativa interesserà tutti quei soggetti, pubblici o privati, compresi nelle tipologie denominate ad “alta criticità” o “altri settori critici” che:

  • prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
  • siano considerati medie imprese (hanno meno di 250 occupati; hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro).

In ogni caso  sarà a cura degli Stati membri definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni. Tali soggetti dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Gli step

Vediamo quali saranno i passaggi una volta che i singoli Stati membri avranno adottato il loro piano nazionale (entro ottobre 2024).

Innanzitutto bisogna capire se si rientra in una delle categorie assoggettate alla Direttiva.

Una volta stabilito se si rientra fra i soggetti obbligati, bisogna procedere con un risk assessment per verificare quali misure tecniche , operative ed organizzative bisogna implementare  con riferimento diretto al principio di “Accountability” del Gdpr, per proteggere i sistemi informatici e le reti adottando un tipo di approccio multirischio.

A tal riguardo la  Direttiva NIS 2 fornisce qualche indicazione su quali possono essere queste misure che vengono qui elencate:

  1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  2. gestione degli incidenti;
  3. continuità operativa, gestione del backup ripristino in caso di evento disastroso;
  4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
  7. best practices di igiene informatica di base e formazione in materia di sicurezza informatica;
  8. policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
  9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
  10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Molto importante è anche definire un Data Breach Recovery Plan che prevede un iter di notifica ben specifico :

  1. un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
  2. una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
  3. una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo  deve essere ancora dettagliato dal singolo legislatore

Tale iter va seguito in caso di “incidente significativo”, che per essere tale:

  1. ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. può ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La direttiva NIS 2 prevede l’adozione di un approccio continuo, come per tutti i sistemi di gestione, che permetta di monitorare e tenere aggiornato  propri livelli di sicurezza informatica e aggiornare di conseguenza le misure adottate in funzione delle vulnerabilità e delle effettive minacce, sia interne che esterne, che possono compromettere la sicurezza.

Archiviato in:Approfondimenti, Privacy, Privacy Contrassegnato con: assistenza legale, consulenza, privacy

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • Le prossime scadenze della NIS2

    20 Marzo 2025
  • GDPR e NIS2: due normative con lo stesso obiettivo

    20 Marzo 2025
  • Come prepararsi a una visita ispettiva Privacy

    20 Febbraio 2025
  • Come notificare gli incidenti di sicurezza con la NIS2

    4 Febbraio 2025
  • Le credenziali sono assolutamente personali e riservate

    10 Gennaio 2025
  • La qualifica della supply chain in ottica di cybersicurezza

    10 Gennaio 2025
  • La sanzione per il backup dell’email dopo la cessazione del rapporto di lavoro

    11 Novembre 2024
  • NIS2: cosa fare se un incidente è significativo

    8 Novembre 2024
  • Decreto Recepimento NIS2: tutti gli step

    31 Ottobre 2024
  • Le sanzioni disciplinari in materia di Privacy

    16 Ottobre 2024

I nostri servizi

231 ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali certificazioni consulenza cookie coronavirus corsi covid-19 covid19 cybersecurity cybersicurezza enti controllo esg finanziamenti formazione gender gap gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi NIS2 normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazione dei rischi valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2025 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it