Direttiva NIS2: come devono prepararsi le PMI

Il Decreto Legislativo 138/2024, pubblicato il 1º ottobre 2024, recepisce in Italia la Direttiva NIS 2, introducendo nuove misure per rafforzare la sicurezza delle reti e dei sistemi informativi.

Investire in certificazioni, formazione e monitoraggio è essenziale per affrontare le sfide della cybersicurezza moderna.

Ecco cosa c’è da sapere per adeguarsi e proteggere efficacemente la propria azienda dagli attacchi informatici.

Sommario

1 Obiettivo della direttiva NIS2
2 Cos’è la Direttiva NIS2
3 In cosa consiste la direttiva NIS2
4 Obblighi per gli operatori
5 Passaggi per l’adeguamento aziendale alla Direttiva NIS 2
6 Responsabilità per la dirigenza
7 Le 7 chiavi per la cybersicurezza delle PMI
8

Obiettivo della direttiva NIS2

L’obiettivo della Direttiva NIS2 è di innalzare il livello di cyber sicurezza delle infrastrutture informatiche.

Le criticità attuali, con attacchi hacker all’ordine del giorno, impongono reti ed infrastrutture globali protocolli di sicurezza serrati.

Le aziende di medie e grandi dimensioni, alcune piccole imprese e le PA devono registrarsi sul portale ACN tra dicembre 2024 e febbraio 2025, con alcune proroghe temporali.

Scoriamo nel dettaglio cos’è la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) e quali sono gli aspetti fondamentali che le PMI dovrebbero considerare.

Registrati alla piattaforma

Cos’è la Direttiva NIS2

La Direttiva NIS2 (Direttiva 2022/2555) è stata adottata dal 16 ottobre 2024 La per rafforzare la sicurezza informatica nell’Unione Europea, sostituendo la precedente Direttiva NIS1 (2016/1148).

La nuova normativa NIS (Network and Information Security), recepita in Italia con il D.Lgs. 138/2024, si è resa necessaria per rafforzare la sicurezza informatica di aziende e Pubbliche Amministrazioni in linea con gli altri Paesi UE.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’Autorità di riferimento.

Le aziende di medie e grandi dimensioni, alcune piccole imprese e le PA avrebbero dovuto registrarsi sul portale ACN tra dicembre 2024 e febbraio 2025 ma visitando il sito ufficiale è possibile consultare le proroghe.

Da aprile 2025 inizierà un percorso condiviso per il potenziamento della sicurezza informatica.

Guarda il video sulla direttiva NIS2 dell’Agenzia per la cybersicurezza nazionale.

Leggi anche Cybersecurity per pmi: le basi per proteggere il tuo business.

In cosa consiste la direttiva NIS2

Questa nuova direttiva mira ad aumentare il livello comune di cybersicurezza attraverso un quadro giuridico unificato che copre 18 settori critici, tra cui:

Energia;
Trasporti;
Sanità;
Finanza;
Gestione delle risorse idriche;
Infrastrutture digitali;
Servizi di comunicazione elettronica pubblici;
Piattaforme sociali;
Gestione delle acque reflue e dei rifiuti;
Produzione di prodotti critici;
Servizi postali e di corriere;
Pubblica amministrazione;
Spazio.

Gli Stati membri sono tenuti a includere la Direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024.

La direttiva impone agli Stati membri di adottare strategie nazionali di cybersicurezza che includano politiche per la sicurezza della catena di approvvigionamento, gestione delle vulnerabilità e sensibilizzazione in materia di sicurezza informatica.

Inoltre, gli Stati devono redigere e aggiornare regolarmente un elenco di operatori di servizi essenziali, assicurando che tali entità rispettino i requisiti stabiliti.

Le organizzazioni di medie e grandi dimensioni operanti nei settori critici sono obbligate ad adottare misure adeguate di gestione dei rischi di cybersicurezza e a notificare alle autorità nazionali competenti eventuali incidenti significativi che potrebbero causare interruzioni o danni rilevanti.

“In un’economia dell’Unione sempre più interdipendente, le perturbazioni dovute agli incidenti di cybersicurezza possono avere impatti di vasta portata in vari settori.

Il piano proposto per la cybersicurezza riflette il nostro impegno a garantire un approccio coordinato, facendo leva sulle strutture esistenti per proteggere il mercato interno e sostenere funzioni vitali della società. La presente raccomandazione rappresenta un passo avanti fondamentale per rafforzare la nostra cyberresilienza collettiva.”

Fonte: https://digital-strategy.ec.europa.eu/

Obblighi per gli operatori

Le organizzazioni identificate come soggetti essenziali o importanti dovranno adottare misure tecniche, operative e organizzative per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi.

In più, sono previsti obblighi di notifica degli incidenti significativi alle autorità competenti, con tempistiche specifiche per la comunicazione e l’aggiornamento delle informazioni.

Passaggi per l’adeguamento aziendale alla Direttiva NIS 2

Per conformarsi alla Direttiva NIS 2, le aziende dovrebbero intraprendere i seguenti passaggi:

Valutare l’applicabilità della normativa: Determinare se l’azienda rientra tra i soggetti obbligati, considerando dimensioni, settore di attività e ruolo nella catena di fornitura.
Implementare una governance del rischio cibernetico: Stabilire una struttura organizzativa che assegni chiaramente responsabilità e compiti in materia di sicurezza informatica.
Adottare misure di sicurezza adeguate: Implementare controlli tecnici e organizzativi per proteggere le reti e i sistemi informativi da minacce cibernetiche.
Gestire la supply chain: Valutare e monitorare i rischi associati ai fornitori e ai partner commerciali, assicurandosi che anch’essi rispettino standard di sicurezza adeguati.
Preparare piani di continuità operativa: Elaborare strategie per garantire la continuità delle operazioni aziendali in caso di incidenti informatici, includendo l’analisi dell’impatto sul business (BIA).
Stabilire procedure di gestione degli incidenti: Definire processi per la rilevazione, la segnalazione e la risposta agli incidenti di sicurezza, conformemente agli obblighi di notifica previsti dalla normativa.

È fondamentale che le aziende inizino tempestivamente il processo di adeguamento per garantire la conformità entro le scadenze previste e per rafforzare la propria resilienza alle minacce cibernetiche.

Registrati alla piattaforma

Responsabilità per la dirigenza

La direttiva introduce anche la responsabilità della dirigenza per il mancato rispetto delle misure di gestione dei rischi, portando la sicurezza informatica all’attenzione dei consigli di amministrazione.

Per facilitare la cooperazione e la risposta a incidenti su larga scala, la Direttiva NIS2 istituisce una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e promuove la collaborazione tra gli Stati membri e le istituzioni dell’UE.

Questa struttura mira a garantire una risposta coordinata ed efficace alle minacce informatiche transfrontaliere, rafforzando la resilienza complessiva dell’Unione Europea nel campo della cybersicurezza.

Inoltre, la Commissione Europea ha presentato una proposta per aggiornare il quadro dell’UE sulla gestione delle crisi di cybersicurezza, delineando i ruoli degli attori coinvolti durante l’intero ciclo di vita di una crisi.

Ciò include la preparazione, la condivisione delle informazioni per anticipare gli incidenti informatici, le capacità di rilevamento per identificarli e gli strumenti di risposta e recupero necessari per mitigarli, scoraggiarli e contenerli.

La proposta mira a rafforzare la collaborazione tra entità civili e militari, compresa la NATO, e promuove comunicazioni sicure e sforzi strategici per contrastare la disinformazione.

Le 7 chiavi per la cybersicurezza delle PMI

1. Adottare Certificazioni di Sicurezza Riconosciute

Utilizzare prodotti e servizi certificati secondo il sistema EUCC – European Common Criteria (Sistema europeo di certificazione della cybersicurezza basato sui criteri comuni), che garantiscono un alto livello di protezione.
Verificare che i fornitori adottino standard riconosciuti, come quelli certificati dagli Organismi di Certificazione della Sicurezza Informatica (OCSI).

2. Scegliere Soluzioni e Fornitori Certificati

Collaborare con laboratori di prova e organismi accreditati per garantire che i propri sistemi siano valutati e conformi agli standard europei.
Consultare l’elenco degli Organismi di Valutazione della Conformità (CAB) riconosciuti dall’NCCA prima di scegliere strumenti di sicurezza.

3. Implementare Strategie di Prevenzione e Monitoraggio

Eseguire regolarmente analisi dei rischi informatici per identificare vulnerabilità;
Attivare sistemi di monitoraggio continuo per rilevare minacce e rispondere tempestivamente a eventuali attacchi;
Mantenere aggiornati software e dispositivi per proteggersi da nuove vulnerabilità.

4. Formare i Dipendenti sulla Sicurezza Informatica

Sensibilizzare il personale su truffe informatiche, phishing e attacchi di ingegneria sociale;
Stabilire policy aziendali chiare sull’uso delle password, degli accessi ai sistemi e della protezione dei dati;
Simulare attacchi per testare la preparazione dell’organizzazione.

5. Adottare Soluzioni di Backup e Ripristino

Pianificare un sistema di backup sicuro per proteggere i dati aziendali;
Utilizzare soluzioni di disaster recovery per ripristinare rapidamente i sistemi in caso di attacco informatico;
Testare periodicamente la capacità di recupero dei dati.

6. Rispettare le Normative sulla Protezione dei Dati

Assicurarsi che l’azienda sia conforme alle normative europee sulla protezione dei dati (es. GDPR).
Proteggere le informazioni sensibili con strumenti di cifratura e autenticazione a più fattori (MFA).

7. Collaborare con Enti di Certificazione e Organismi di Controllo

Affidarsi a enti certificatori accreditati dall’ACN (Agenzia per la cybersicurezza nazionale) per ottenere una valutazione indipendente della sicurezza aziendale.
Monitorare eventuali aggiornamenti normativi per garantire la conformità alle ultime direttive.

Seguendo queste linee guida, le PMI possono ridurre il rischio di attacchi informatici e garantire la protezione dei propri dati e delle proprie infrastrutture.

Monitora lo stato di scurezza informatica della tua azienda, chiedi un audit ai nostri esperti.

Richiedi una consulenza gratuita

Chi è Fastbrain e perché sceglierla

Siamo Certified Partner dei principali Player tecnologici, offrendo soluzioni personalizzate, assistenza pre e post-vendita e noleggio operativo incluso.

Come Gold Partner RealWear, proponiamo soluzioni per la realtà assistita all’avanguardia, progettate per connettersi e collaborare con esperti da remoto, seguire i flussi di lavoro digitali, visualizzare i dati IoT e molto altro.

Riduci in sicurezza i tempi di inattività, migliora la qualità e la produttività dei dipendenti, realizzando al contempo un significativo ritorno sull’investimento.

Scopri tutti i vantaggi della realtà assistita intelligente per la tua Azienda.

Info: [email protected] | Tel 011.0376.054

Referenze:

https://www.acn.gov.it/portale/nis

https://digital-strategy.ec.europa.eu/it/news/commission-launches-new-cybersecurity-blueprint-enhance-eu-cyber-crisis-coordination

https://digital-strategy.ec.europa.eu/it/policies/nis2-directive

Fonte immagine in evidenza: https://www.enisa.europa.eu/topics/state-of-cybersecurity-in-the-eu/cybersecurity-policies/nis-directive-2

Cookie	Tipo	Durata	Descrizione
_GRECAPTCHA	1	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	1	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	1	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	1	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Tipo	Durata	Descrizione
_gat_gtag_UA_178431164_1	0	1 minute	No description
_gat_UA-178431164-1	0	1 minute	No description
_hjAbsoluteSessionInProgress	0	30 minutes	No description
_hjFirstSeen	0	30 minutes	No description
_hjid	1	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	0	2 minutes	No description
_hjIncludedInSessionSample	0	2 minutes	No description
CONSENT	0	16 years 11 months	No description
lightbox_popup-access-cookies	0	session	No description
UserMatchHistory	1	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Cookie	Tipo	Durata	Descrizione
_fbp	1	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
bscookie	1	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	1	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	1	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the users' browser supports cookies.
VISITOR_INFO1_LIVE	1	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Tipo	Durata	Descrizione
_ga	1	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	1	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
lissc	1	1 year	This cookie is provided by LinkedIn. This cookie is used for tracking embedded service.

Cookie	Tipo	Durata	Descrizione
bcookie	1	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	1	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1	1 day	This cookie is set by LinkedIn and used for routing.

IL TUO PARTNER IT DI FIDUCIA DAL 2006

NOVITÀ

Obblighi della Direttiva NIS2: come devono prepararsi le PMI

Obiettivo della direttiva NIS2

Cos’è la Direttiva NIS2

In cosa consiste la direttiva NIS2

Obblighi per gli operatori

Passaggi per l’adeguamento aziendale alla Direttiva NIS 2

Responsabilità per la dirigenza

Le 7 chiavi per la cybersicurezza delle PMI

1. Adottare Certificazioni di Sicurezza Riconosciute

2. Scegliere Soluzioni e Fornitori Certificati

3. Implementare Strategie di Prevenzione e Monitoraggio

4. Formare i Dipendenti sulla Sicurezza Informatica

5. Adottare Soluzioni di Backup e Ripristino

6. Rispettare le Normative sulla Protezione dei Dati

7. Collaborare con Enti di Certificazione e Organismi di Controllo

Chi è Fastbrain e perché sceglierla

Redazione Fastbrain Engineering srl

Obiettivo della direttiva NIS2

Cos’è la Direttiva NIS2

In cosa consiste la direttiva NIS2

Obblighi per gli operatori

Passaggi per l’adeguamento aziendale alla Direttiva NIS 2

Responsabilità per la dirigenza

Le 7 chiavi per la cybersicurezza delle PMI

1. Adottare Certificazioni di Sicurezza Riconosciute

2. Scegliere Soluzioni e Fornitori Certificati

3. Implementare Strategie di Prevenzione e Monitoraggio

4. Formare i Dipendenti sulla Sicurezza Informatica

5. Adottare Soluzioni di Backup e Ripristino

6. Rispettare le Normative sulla Protezione dei Dati

7. Collaborare con Enti di Certificazione e Organismi di Controllo

Chi è Fastbrain e perché sceglierla

Redazione Fastbrain Engineering srl

Il nostro team è a tua disposizione

DIVENTA FORNITORE. IL NOSTRO TEAM È A TUA DISPOSIZIONE!