it
EN
Ricerca
Ricerca
MERCATI

Il nostro percorso ci ha portato ad esplorare e a realizzare progetti in mercati diversi. Scopri cosa possiamo fare nel settore della tua azienda.

Automotive Centri di ricerca Costruzioni e infrastrutture Difesa e Aerospace Ferroviario Finanza e assicurazioni Food & Beverage GDO & Retail Life Sciences Logistica e Trasporti Manufacturing Oil & Gas - Chemicals Power & Utilities Pubblica Amministrazione
AMBITI

Ti possiamo affiancare nei progetti che toccano quattro grandi aree tematiche: Sicurezza Occupazionale, Sostenibilità, Ing. del Software e Ing. dei Sistemi.

Ingegneria del Software
Big Data, Analytics & Business Intelligence Corsi di formazione professionale Cybersecurity Ricerca e Innovazione Tech Products Design & Development Verifica, Validazione e Testing Software Web Technology
Sostenibilità
Business Continuity & Emergency Management Corsi di formazione professionale Efficienza Energetica Project Management Ricerca e Innovazione Risk Management Sistemi di Gestione Integrata (HSEQ) Sostenibilità
Sicurezza occupazionale
Corsi di formazione professionale Health Safety & Environment Progettazione e Sicurezza nei Cantieri Ricerca e Innovazione Sistemi di Gestione Integrata (HSEQ)
Ingegneria dei Sistemi
Corsi di formazione professionale Design & Modelling Project Management RAMS Requirements Management & Verification Ricerca e Innovazione
TORNA AGLI ARTICOLI
19 Febbraio 2025

DIRETTIVA NIS2: SFIDA OPPURE OPPORTUNITÀ?






La sicurezza informatica è un’assoluta priorità. Per questo motivo, l’Unione Europea ha introdotto la Direttiva NIS2 (Network and Information
Security 2), un aggiornamento della precedente Direttiva NIS del 2016.

A cura di Paolo Pizi

[Head of Digital Solutions – Area Ingegneria del Software]

La crescente dipendenza dalle tecnologie digitali, unita all’aumento costante del numero di attacchi informatici, ha reso la sicurezza informatica una priorità assoluta per governi, imprese e cittadini in tutta Europa. In questo contesto, l’Unione Europea ha introdotto la Direttiva NIS2 (Network and Information Security 2), un aggiornamento della precedente, e ormai inadeguata, Direttiva NIS del 2016. Questo nuovo quadro normativo rappresenta un passo decisivo per rafforzare la resilienza delle infrastrutture critiche, migliorare la risposta agli incidenti informatici e promuovere una maggiore cooperazione tra gli Stati membri.

La NIS2 amplia il campo di applicazione della normativa originale, coinvolgendo un numero maggiore di settori ed organizzazioni, introducendo requisiti più stringenti per garantire un livello uniforme di sicurezza cibernetica in tutta l’UE. Con l’obbligo di conformità previsto entro il 1° ottobre 2026, questa direttiva pone sia nuove sfide che opportunità per tutte le organizzazioni coinvolte.

La NIS2 si integra con altre normative europee e linee guida sulla protezione dei dati e la sicurezza, tra cui:

  • GDPR (General Data Protection Regulation)
  • Regolamento DORA (Digital Operational Resilience Act)
  • Direttiva CER (Critical Entity Resilience)
  • Cyber Resilience Act (CRA)
  • A livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

DIRETTIVA NIS2: COSA PREVEDE?

La direttiva NIS2 ha l’obiettivo di rafforzare la sicurezza informatica nei Paesi membri dell’UE, introducendo misure più stringenti e ampliando il perimetro di applicazione. In particolare, prevede:

  • Espansione del campo di applicazione a un numero maggiore di settori e organizzazioni.
  • Maggiore sicurezza nella supply chain, con obblighi più rigorosi per fornitori e partner.
  • Semplificazione delle segnalazioni di incidenti di sicurezza, con procedure più chiare e uniformi.
  • Maggiori attività di monitoraggio e sorveglianza da parte delle autorità competenti.
  • Sanzioni più severe e un enforcement più rigoroso per le aziende inadempienti.
  • Maggior responsabilizzazione dei dirigenti, che saranno chiamati a garantire la compliance alla normativa.
  • Armonizzazione delle sanzioni a livello europeo, per garantire un’applicazione uniforme delle regole.

La direttiva introduce misure concrete e vincolanti per rafforzare la postura di sicurezza informatica delle organizzazioni.

PRINCIPALI OBBLIGHI PREVISTI DALLA NIS2.

  1. Registrazione sulla piattaforma ACN: Le aziende dovranno registrarsi presso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), che consentirà un monitoraggio più efficace degli incidenti e una migliore condivisione delle informazioni.
  2. Governance della sicurezza informatica: Sarà obbligatoria una governance strutturata della cybersecurity, con ruoli e responsabilità ben definiti, soprattutto a livello dirigenziale, per garantire l’implementazione e il rispetto delle politiche di sicurezza.
  3. Gestione del rischio informatico: Le organizzazioni dovranno adottare un approccio sistematico per identificare, valutare e mitigare i rischi legati alla sicurezza informatica, intervenendo sia sugli aspetti tecnici che organizzativi.
  4. Gestione degli incidenti: La capacità di rilevare, rispondere e riprendersi rapidamente da un attacco informatico sarà un requisito essenziale. Le aziende dovranno predisporre procedure strutturate di monitoraggio, analisi e segnalazione degli eventi di sicurezza.
  5. Continuità operativa e backup: Per garantire resilienza in caso di attacchi o guasti, la normativa impone l’adozione di strategie di backup sicure e testate periodicamente, assicurando la rapida ripresa delle attività.
  6. Sicurezza della catena di fornitura: Dato l’aumento degli attacchi che sfruttano vulnerabilità nei fornitori, sarà necessario implementare misure per valutare e garantire la sicurezza lungo tutta la supply chain, monitorando i rischi associati ai partner.
  7. Gestione sicura delle tecnologie ICT: Le infrastrutture informatiche dovranno rispettare elevati standard di sicurezza, con controlli rigorosi sugli accessi, sulla configurazione dei sistemi e sulla protezione delle reti aziendali.
  8. Identificazione e gestione delle vulnerabilità: Le organizzazioni dovranno implementare processi per rilevare, segnalare e correggere tempestivamente eventuali vulnerabilità, garantendo la trasparenza con le autorità competenti e i fornitori di soluzioni di sicurezza.
  9. Igiene della sicurezza informatica: Sarà fondamentale mantenere un livello minimo di sicurezza informatica attraverso aggiornamenti regolari, applicazione tempestiva delle patch di sicurezza e configurazione adeguata dei sistemi critici.
  10. Formazione continua in cybersecurity: La direttiva rende obbligatori programmi di formazione e sensibilizzazione sulla sicurezza informatica per tutto il personale, con l’obiettivo di ridurre il rischio di attacchi informatici dovuti a errore umano.
  11. Affidabilità e sicurezza del personale: Le aziende dovranno garantire che chi ha accesso a dati sensibili o infrastrutture critiche sia adeguatamente formato e affidabile, riducendo il rischio di minacce interne o errori operativi.
  12. Adozione di MFA, crittografia e cifratura: Sarà obbligatorio l’uso di strumenti avanzati per la protezione delle informazioni, tra cui l’autenticazione a più fattori (MFA), la crittografia dei dati in transito e a riposo, e tecniche di cifratura per garantire la riservatezza delle informazioni.

Grazie alla NIS2, la sicurezza informatica diventa una priorità per tutte le organizzazioni coinvolte, con regole chiare e strumenti efficaci per prevenire e contrastare le minacce cibernetiche.

CRONOPROGRAMMA DELLA NIS2.

La direttiva NIS2 è stata approvata dal Parlamento Europeo il 16 gennaio 2023 e recepita in Italia con il Decreto Legislativo 138/2024. Nei mesi successivi saranno emanati ulteriori decreti governativi per completarne l’attuazione.

Questo è il cronogramma iniziale di applicazione (art. 42 – Prima fase di implementazione):

  • Entro il 31 dicembre 2024: Aziende e PA devono effettuare una valutazione per verificare se rientrano negli obblighi della NIS2, analizzando i criteri previsti dagli articoli e dagli allegati della direttiva.
  • 1 gennaio – 28 febbraio 2025: Soggetti pubblici e privati che risultano obbligati devono registrarsi volontariamente sulla piattaforma digitale fornita da ACN (Agenzia per la Cybersicurezza Nazionale).
  • Entro il 17 gennaio 2025: Fornitori di servizi essenziali (cloud computing, data center, social network, motori di ricerca, ecc.) devono registrarsi sulla piattaforma.
  • Entro il 31 marzo 2025: ACN redigerà un elenco dei soggetti essenziali e importanti basandosi sulle registrazioni.
  • 1-15 aprile 2025: ACN notificherà ai soggetti registrati il loro inserimento nell’elenco.
  • Entro il 15 aprile 2025: I soggetti notificati dovranno nominare un responsabile per l’adempimento degli obblighi previsti.
  • 15 aprile – 31 maggio 2025: I soggetti notificati forniranno ulteriori informazioni richieste dalla normativa.

Successivamente, le organizzazioni notificate dall’ACN dovranno adempiere agli obblighi previsti:

  • Dal 1° gennaio 2026: Obbligo di notifica degli incidenti di sicurezza.
  • Entro il 1° ottobre 2026: Conformità agli obblighi relativi agli organi direttivi, misure di sicurezza, e raccolta di dati sui nomi di dominio, ove applicabile.

PROVEDDIMENTI FUTURI.

Il Decreto Legislativo n. 138/2024 prevede ulteriori sviluppi normativi. Entro sei mesi dall’entrata in vigore del decreto saranno definiti i dettagli sugli obblighi per gli organi direttivi e le misure di sicurezza. Alcuni obblighi specifici verranno dettagliati non prima di 18 mesi dall’entrata in vigore del decreto.

DALLE PAROLE AI FATTI .

Contattaci per saperne di più sull’argomento dell’articolo.

    Condividi .