via Garofalo 29, 20133 Milano - tel. 02 29408650

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

Ti trovi qui: Home / Approfondimenti / Le prossime scadenze della NIS2

Le prossime scadenze della NIS2

di Lascia un commento

La scadenza del 28 febbraio 2025 ha rappresentato un termine cruciale per la registrazione delle aziende NIS2 presso l’Agenzia per la Cybersicurezza Nazionale (ACN) e le aziende che han proceduto alla registrazione dovranno ora monitorare altre scadenze:

  • Entro il 31 marzo 2025 (data indicativa), l’Agenzia informerà le imprese della loro eventuale inclusione nell’elenco dei soggetti NIS2, specificando se sono classificate come soggetti essenziali o importanti.
  • Entro aprile 2025 l’Agenzia provvederà a:
    • Costituire l’elenco dei soggetti NIS e notificherà agli stessi della loro inclusione
    • Definire modalità adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti – Le aziende dovranno implementare concretamente le misure di sicurezza richieste dalla NIS2, il che potrebbe comportare investimenti significativi in nuove tecnologie, formazione del personale e adeguamento dei processi aziendali.
  • Entro maggio 2025, le imprese dovranno aggiornare i propri dati sulla piattaforma per completare la registrazione. La registrazione al portale riaprirà ogni anno tra gennaio e febbraio, e annualmente l’ACN aggiornerà l’elenco dei soggetti coinvolti.
  • Da gennaio 2026, sarà obbligatorio notificare gli incidenti secondo le nuove misure ACN. La NIS2 richiede alle aziende di segnalare rapidamente gli incidenti di sicurezza. Sarà essenziale sviluppare e testare regolarmente piani di risposta agli incidenti per garantire una gestione efficace degli attacchi.
  • Entro aprile 2026, ACN si adopererà per l’elaborazione e definizione del modello di categorizzazione delle attività e dei servizi oltre che l’elaborazione e definizione degli obblighi a lungo termine.
  • Entro settembre 2026, le organizzazioni saranno tenute a garantire la completa implementazione delle misure di sicurezza di base.

In generale, le organizzazioni che rientrano nel perimetro della NIS2 devono essere consapevoli delle sfide anche in termini di:

  • Gestione degli obblighi NIS 2 e dell’implementazione di modelli di gestione della cyber security. Questo avrà effetti significativi sulle imprese destinatarie, che dovranno tenere in considerazione anche il Modello di Organizzazione e Gestione 231, soprattutto riguardo alle modifiche sui reati informatici – ai sensi della Legge 90/2024 – e alla necessità di tutelare la sicurezza dei dati e dell’infrastruttura informatica dell’impresa.
  • Complessità di gestire la tecnologia: Le organizzazioni si trovano immerse in ambienti complessi con numerose applicazioni, infrastrutture cloud ibride e fornitori esterni, aumentando i rischi della cybersecurity e complicando la governance ed il rispetto delle tempistiche rigorose della NIS2 per la segnalazione iniziale degli incidenti critici (entro 24 ore).
  • Maggiore gestione della supply chain. La NIS2 richiede di gestire i rischi legati ai fornitori terzi e ai servizi ICT, su cui le organizzazioni hanno un controllo limitato. Per mitigare questi rischi, è fondamentale adottare termini contrattuali solidi e monitorare continuamente la sicurezza informatica dei fornitori, aumentando l’onere gestionale.
  • Incremento carico di lavoro per l’organizzazione. La conformità alla NIS2 richiede personale qualificato, tecnologie avanzate e investimenti significativi. Cosa non semplice soprattutto per le PMI che dispongono di risorse limitate. Da uno studio emerge che le attività che necessiteranno di maggiori investimenti riguardano  l’architettura e l’ingegneria della cyber security, insieme alle operazioni di cyber security, e questo porta con sé anche il tema della scarsità delle competenze disponibili.
  • Complessità dell’onere amministrativo. L’implementazione delle modifiche per adeguarsi alla NIS2 e alle normative europee richiede tempo ed è soggetta a errori. La conformità alla NIS2 deve integrarsi senza problemi con i processi di gestione del rischio, risposta agli incidenti e continuità operativa per affrontare queste sfide e gestire efficacemente le risorse.
  • La leadership responsabile della cybersicurezza può essere soggetta a sanzioni personali, che includono non solo multe, ma anche l’interdizione dalle attività manageriali. Questo rischio elevato deve essere valutato con attenzione, poiché l’analisi dei reati informatici è ormai imprescindibile e deve considerare sia gli illeciti possono avvantaggiare l’ente (responsabilità secondo il modello 231) che quelli che possono danneggiare persone giuridiche (rilevanti secondo la NIS2).
  • Monitoraggio e aggiornamento continui. La conformità alla NIS2 non è un processo statico. Le aziende devono monitorare l’efficacia delle loro misure di sicurezza, aggiornarle in base alle nuove minacce e vulnerabilità, e partecipare ad audit di conformità regolari.
  • Collaborazione e condivisione di informazioni. La NIS2 incentiva la collaborazione tra aziende per rafforzare la resilienza collettiva. Le aziende devono essere pronte a condividere informazioni sulle minacce e incidenti di sicurezza.

L’interazione tra la NIS2 e le altre normative europee

La  NIS2 si inserisce in un panorama normativo già piuttosto affollato che oltre all’ormai consolidato GDPR ha visto recentemente nascere  DORA (Digital Operational Resilience Act)Cyber Resilience Act (CRA) e Artificial Intelligence (AI Act). Sebbene ognuna abbia un focus specifico, tutte queste norme condividono l’obiettivo di rafforzare la resilienza e la sicurezza nel mondo digitale. Cerchiamo di vedere sommariamente i  punti di contatto che esistono.

NIS2 e DORA: due norme complementari

NIS2 si occupa della sicurezza informatica e della resilienza delle reti di settori critici come energia, trasporti, banche, infrastrutture digitali e pubblica amministrazione. DORA rafforza la resilienza operativa digitale del settore finanziario, stabilendo requisiti per la gestione dei rischi ICT, test di resilienza e segnalazione degli incidenti.

NIS2 offre un quadro generale per la cyber security, mentre DORA specifica i requisiti per il settore finanziario. Entrambe le normative chiedono alle aziende di gestire i rischi di sicurezza, implementare misure di protezione, testare la resilienza e segnalare gli incidenti, concentrandosi sulla gestione dei fornitori. Per gli enti finanziari, DORA prevale su NIS2 .

NIS2 e Cyber Resilience Act: sicurezza dei prodotti

Il Cyber Resilience Act propone un quadro normativo per la sicurezza dei prodotti digitali (hardware e software) durante tutto il loro ciclo di vita, dalla progettazione allo smaltimento.

NIS2 si concentra sulla resilienza delle organizzazioni, mentre CRA sulla sicurezza dei prodotti che utilizzano. Entrambe contribuiscono a un ecosistema digitale più sicuro. Inoltre, il CRA contempla la definizione di standard di sicurezza che le aziende NIS2 dovranno considerare nella scelta dei prodotti digitali.

NIS2 e AI Act: sicurezza e affidabilità dell’AI

L’AI Act mira a regolamentare AI, classificando i sistemi di AI in base al rischio e imponendo requisiti specifici per garantire sicurezza e affidabilità.

L’IA è sempre più utilizzata in diversi settori, compresi quelli soggetti a NIS2. Pertanto, l’AI Act e NIS2 si intersecano per quanto riguarda la sicurezza dei sistemi di IA e la loro resilienza. Inoltre, l’AI Act introduce requisiti specifici per la sicurezza dei sistemi di AI che le aziende NIS2 dovranno rispettare.

Cosa deve fare una azienda

In questo contesto diventa quindi necessario per l’azienda riuscire a orientarsi e a comprendere  quali requisiti le sono applicabili, in modo da non mancarne qualcuno o lavorare due volte. I possibili step potrebbero essere:

  • Mappare le normative: identificare quali normative si applicano alla propria azienda (NIS2, DORA, CRA, AI Act) e analizzare i requisiti specifici di ciascuna.
  • Effettuare una valutazione integrata dei rischi: implica l’adozione di un approccio complessivo nella valutazione dei rischi, tenendo conto di tutte le normative pertinenti e delle loro possibili interazioni.
  • Garantire un’implementazione coordinata: è necessario implementare misure di sicurezza che soddisfino i requisiti di tutte le normative pertinenti, evitando duplicazioni e ottimizzando le risorse.
  • Monitoraggio costante: si tratta di monitorare l’evoluzione delle normative e adeguare di conseguenza le proprie misure di sicurezza.
  • Collaborazione: è fondamentale, ove necessario, collaborare con esperti legali e tecnici

In conclusione

La direttiva NIS2 non richiede più solo la capacità di rispondere tempestivamente agli incidenti, ma impone un atteggiamento proattivo volto a minimizzare il rischio di incidenti grazie ad una preventiva identificazione dei problemi e loro risoluzione. E’ però assolutamente realistico affermare che, in un tessuto imprenditoriale rappresentato principalmente da PMI, questa non è una sfida alla portata di tutti, sia perché richiede notevoli investimenti sia perché c’è una forte carenza di competenze che deve essere colmata. E solo il tempo potrà dire se questa sfida sarà vinta dal Sistema Italia o meno.

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *