Dal 16 ottobre 2024, la nuova direttiva europea NIS2 è ufficialmente operativa, segnando un importante passo avanti nella protezione delle infrastrutture critiche e dei servizi essenziali. L’obiettivo principale è quello di aumentare il livello di sicurezza informatica delle aziende e delle Pubbliche Amministrazioni in Italia, armonizzando le pratiche con quelle degli altri Stati membri dell’Unione Europea.
A guidare l’applicazione della normativa in Italia è l’Agenzia per la Cybersicurezza Nazionale (ACN), che funge sia da autorità competente sia da punto di contatto unico per garantire un approccio coordinato. La direttiva, con il supporto di un decreto nazionale, espande il campo di applicazione della precedente normativa NIS, focalizzandosi sui settori critici come energia, sanità, trasporti e pubbliche amministrazioni, per proteggere infrastrutture e servizi essenziali da attacchi informatici sempre più frequenti.
Testo complesso, obiettivi chiari
La NIS2 impone a organizzazioni pubbliche e private di adottare misure di protezione più solide, di segnalare tempestivamente eventuali incidenti e di collaborare con le autorità. L’obiettivo è creare standard di sicurezza uniformi a livello europeo, prevenire rischi e migliorare la capacità di risposta alle crisi informatiche. Questo significa rendere i sistemi digitali non solo più sicuri, ma anche più affidabili per tutti.
Una delle novità principali riguarda l’estensione dei settori interessati, che ora salgono a 18, divisi in 11 altamente critici e 7 critici. In totale, oltre 80 tipologie di soggetti sono coinvolte, distinte in base al livello di criticità delle attività svolte. Questi cambiamenti comportano maggiori obblighi in termini di sicurezza, con la necessità di notificare gli incidenti in modo tempestivo e di rispettare misure di prevenzione più rigorose. L’Agenzia per la Cybersicurezza Nazionale, insieme agli organi competenti, acquisisce un ruolo più incisivo nella supervisione e nella gestione delle crisi.
Tra le misure previste dalla normativa spiccano nuovi strumenti per migliorare la sicurezza, come la divulgazione coordinata delle vulnerabilità attraverso una stretta collaborazione e condivisione di informazioni sia a livello nazionale che europeo.
Come adeguarsi alla normativa
L’adeguamento alla NIS2 è pensato come un percorso progressivo. Il primo passo per le organizzazioni interessate è registrarsi sul portale dell’ACN, un processo aperto dal 1° dicembre 2024 al 28 febbraio 2025. La registrazione è obbligatoria per medie e grandi imprese, ma in alcuni casi può riguardare anche realtà più piccole.
Per semplificare il processo, gli obblighi relativi alla notifica degli incidenti e all’implementazione delle misure di sicurezza saranno introdotti gradualmente: le notifiche dovranno essere operative entro 9 mesi, mentre per le misure di sicurezza il termine sarà di 18 mesi, entrambi decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS, prevista per fine marzo 2025.
La supply chain: un tassello fondamentale
Un elemento spesso sottovalutato, ma fondamentale in questo contesto, riguarda la catena di fornitori. Anche se i fornitori non sono direttamente obbligati a conformarsi alla direttiva, diventano una parte essenziale del sistema di sicurezza. Le organizzazioni soggette alla NIS2 devono infatti garantire la protezione lungo tutta la catena di approvvigionamento, includendo specifiche misure di sicurezza nei contratti con i loro partner.
Se un fornitore subisce un incidente informatico che influisce sui servizi critici del cliente, quest’ultimo è obbligato a segnalarlo secondo quanto previsto dalla normativa. Per questo motivo, i fornitori devono rispettare standard di sicurezza informatica ben definiti, pena la perdita di collaborazioni future o l’imposizione di clausole contrattuali più restrittive.
L’ampliamento delle misure
La direttiva NIS2 introduce un significativo ampliamento delle misure di cybersicurezza richieste alle organizzazioni. Non si limita più alla protezione della disponibilità delle reti, ma abbraccia anche la riservatezza e l’integrità dei dati e dei sistemi. Vengono richiesti piani più strutturati per la gestione del rischio, l’implementazione di misure tecniche e organizzative avanzate, come sistemi di monitoraggio continuo, e procedure per garantire la continuità operativa in caso di incidenti. Questo approccio multidimensionale riflette la necessità di fronteggiare minacce sempre più complesse, assicurando un livello di protezione adeguato alle infrastrutture critiche e i servizi essenziali.
La formazione dei dipendenti
La direttiva NIS2 pone grande enfasi sulla formazione dei dipendenti, riconoscendola come una componente fondamentale per garantire la sicurezza informatica delle organizzazioni. Ogni ente, pubblico o privato, deve assicurarsi che il proprio personale sia adeguatamente formato per riconoscere e rispondere alle minacce informatiche. Questo include sessioni di sensibilizzazione sui rischi più comuni, come phishing e malware, e corsi specifici per ruoli chiave, come gli operatori IT e i responsabili della sicurezza. La normativa richiede che queste attività formative siano periodiche e aggiornate per affrontare le nuove sfide del panorama cyber, contribuendo a costruire una cultura aziendale basata sulla consapevolezza e sulla prevenzione.
Il processo di registrazione
La registrazione è il fulcro del percorso di adeguamento alla NIS2. Ogni organizzazione deve individuare un punto di contatto, una figura incaricata di gestire il processo, che può essere un dipendente autorizzato dal rappresentante legale. Il punto di contatto accede al portale ACN utilizzando strumenti di autenticazione come lo SPID, associa la propria organizzazione fornendo il codice fiscale o il codice IPA (per le Pubbliche Amministrazioni) e completa una dichiarazione contenente informazioni sull’attività svolta e una valutazione dei rischi.
Una volta inviate, le dichiarazioni vengono analizzate dall’ACN e dalle Autorità di settore per determinare l’elenco ufficiale dei soggetti NIS, che sarà comunicato entro marzo 2025. Successivamente, ogni organizzazione riceverà una notifica al proprio domicilio digitale per confermare se è soggetta o meno alla normativa. Trovi il link alla pagina di Registrazione di ACN in fondo all’articolo.
Perché registrarsi?
La registrazione non è solo un obbligo, ma anche un’opportunità per instaurare un dialogo diretto con l’ACN e accedere a supporto e strumenti utili per rispettare le nuove regole. È anche una garanzia di conformità: evitare di registrarsi comporta sanzioni amministrative che possono raggiungere lo 0,1% del fatturato annuo globale, oltre a rischi reputazionali significativi.
Il partner ideale per la compliance
La NIS2 punta a creare un sistema di cybersicurezza più solido e coordinato, coinvolgendo non solo le organizzazioni direttamente interessate, ma anche i loro partner e fornitori. L’obiettivo è costruire una rete di protezione che renda il digitale più sicuro per tutti, affrontando le sfide di un mondo sempre più connesso.
Con oltre vent’anni di esperienza nel settore IT e della cybersicurezza, Hypergrid è il partner ideale per supportare aziende e organizzazioni nel percorso di conformità alla direttiva NIS2. Grazie a un team qualificato e a soluzioni personalizzate, Hypergrid offre assistenza completa, dalla valutazione dei rischi alla progettazione e implementazione delle misure di sicurezza richieste. Inoltre, l’azienda è in grado di affiancare i propri clienti nella gestione degli adempimenti normativi e nella formazione del personale, garantendo un approccio efficace e sostenibile per affrontare le nuove sfide della sicurezza informatica.
Scopri i nostri servizi a questa pagina 👉🏻 https://hypergrid.it
Portale ACN per la registrazione 👉🏻 https://www.acn.gov.it/portale/nis/registrazione
Devi effettuare l'accesso per postare un commento.