Direttiva NIS 2 – circa 50.000 operatori coinvolti, tra Aziende ed Enti Pubblici
Direttiva (UE) 2022/2555
La Direttiva (UE) 2022/2555 – chiamata anche Direttiva NIS2 – è la seconda emissione della direttiva sulla sicurezza informatica e la resilienza a livello dell’UE che mira a regolamentare le misure per migliorare il livello di sicurezza informatica nell’UE e stabilire un quadro per la cooperazione, scambio di informazioni sulle violazioni, migliori pratiche, misure di gestione della cybersicurezza, ecc.
Principali settori coinvolti: Energia, Banche, Trasporti, Pubblica Amministrazione, Sanità, Acqua, Finanza, Industria spaziale, Produzione prodotti farmaceutici, Gestione rifiuti, Servizi digitali, Servizi postali e corrieri, Ricerca, Produzione lavorazione e distribuzione alimenti, Manifattura (dispositive medici, Computer, Macchinari e Attrezzature, Veicoli a motore), ecc.
Obiettivi principali della Direttiva
– Aumentare la resilienza informatica dei fornitori di servizi essenziali
– Semplificare la resilienza informatica attraverso requisiti di sicurezza più rigorosi e sanzioni per le violazioni
– Migliorare la preparazione dell’UE ad affrontare gli attacchi informatici
Chi coinvolge
Aziende ed Enti Pubblici che ricadono nelle categorie di Soggetti Essenziali e Importanti, identificati con criteri basati sulla rilevanza del settore e sulla dimensione.
Saranno comunque coinvolti anche i Fornitori di Aziende ed Enti Pubblici che ricadranno nel perimetro della Direttiva.
Come ottenere la compliance
La Direttiva richiede l’applicazione di specifici controlli in conformità con gli standard internazionali.
E’ necessario dotarsi di una serie di tecnologie per il monitoraggio e la gestione degli incidenti, ma anche dotarsi di un Sistema di gestione (politiche, procedure, registri, nomine, processi di controllo e monitoraggio, ecc.) e competenze sia tecniche che trasversali.
Sanzioni
Sono previste pesanti sanzioni.
L’alta direzione sarà responsabile della non conformità.
Dalla compliance alla capacità reale di gestire il rischio cyber
La Direttiva NIS2 introduce un cambio di prospettiva nella gestione della cybersecurity. Non richiede soltanto misure tecniche, ma un modello organizzativo capace di governare il rischio, prevenire incidenti, garantire continuità operativa, controllare la supply chain digitale e coinvolgere direttamente gli organi direttivi.
Per molte organizzazioni, la difficoltà non è solo comprendere se si rientra nel perimetro NIS2, ma trasformare gli obblighi in un piano operativo sostenibile, proporzionato alla propria dimensione e coerente con i processi esistenti.
Cybersec4 supporta le organizzazioni in tutte le fasi del percorso: dalla verifica iniziale del livello di preparazione alla gap analysis, dalla definizione del piano di adeguamento fino all’implementazione delle misure e al mantenimento del presidio nel tempo.
Principali scadenze
DECRETO LEGISLATIVO 4 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555 NIS2, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
1
prima di effettuare la registrazione su ACN
PRIMO ASSESSMENT
Aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS 2.
2
tra 1 gennaio e 28 febbraio 2025
REGISTRAZIONE SU ACN
I soggetti che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto dovranno registrarsi sulla piattaforma digitale ACN.
3
entro il 17 gennaio 2025
REGISTRAZIONE SU ACN
Dovranno registrarsi sulla piattaforma ACN i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network.
4
entro il 31 marzo 2025
ELENCO UFFICIALE ACN
l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma.
5
tra il 1 aprile 2025 e il 15 aprile 2025
COMUNICAZIONE ACN
l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
6
entro il 15 aprile 2025
NOMINA RESPONSABILE
I soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.
7
tra il 15 aprile e il 31 maggio 2025
ULTERIORI INFORMAZIONI AD ACN
I soggetti che avranno ricevuto la comunicazione attraverso la piattaforma ACN dovranno fornire le ulteriori informazioni richieste dalla normat
8
a partire dal 1 gennaio 2026
PRIMI ADEMPIMENTI
Si dovrà adempiere all’obbligo di notifica degli incidenti.
9
entro il 1 ottobre 2026
ULTERIORI ADEMPIMENTI
Si dovrà adempiere
agli obblighi degli organi di amministrazione e direttivi,
agli obblighi in materia di misure di sicurezza,
all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.
Servizi offerti ad Aziende e PA
NIS2 Readiness Assessment
Il NIS2 Readiness Assessment è il punto di partenza per comprendere il livello di preparazione dell’organizzazione rispetto ai requisiti della direttiva.
L’attività analizza governance, gestione del rischio, misure tecniche e organizzative, procedure di incident management, business continuity, sicurezza dei fornitori, formazione e responsabilità interne.
Il risultato è una fotografia chiara dello stato attuale, accompagnata da una roadmap iniziale che indica priorità, criticità e primi interventi da avviare.
Cybersecurity, Compliance & AI Governance
NIS2 Gap Analysis
La NIS2 Gap Analysis entra nel dettaglio delle carenze rispetto ai requisiti attesi e consente di costruire un piano di adeguamento strutturato.
Rispetto a un assessment preliminare, la gap analysis produce un quadro più completo degli scostamenti e delle azioni necessarie, assegnando priorità, responsabilità, tempi e dipendenze.
È il servizio più indicato per le organizzazioni che hanno già compreso di essere coinvolte nel perimetro NIS2 o che vogliono prepararsi in modo ordinato e verificabile.
Domande frequenti – FAQ
Domanda: La mia Azienda non dovrebbe rientrare direttamente nel perimetro della Direttiva NIS 2, ci sono comunque degli adempimenti?
Risposta: Nel dubbio è necessario svolgere un Assessment iniziale, per verificare con consapevolezza il rientro o meno all’interno del perimetro della Direttiva. E’ comunque da considerare che i Fornitori di Aziende ed Enti Pubblici che rientrano nel perimetro, dovranno comunque adottare misure e controlli specifici per garantire la sicurezza.
Domanda: La mia Azienda è già certificata ISO 27001, è quindi compliance con la Direttiva NIS 2?
Risposta: Non necessariamente, occorre verificare l’ambito di applicazione e i controlli posti in essere.
Domanda: Quanto tempo e quale budget sono necessari per rispettare gli adempimenti?
Risposta: Non è possibile stimare tempi e budget in assenza di un Audit dettagliato con indicazioni del gap da colmare. Le tempistiche non vanno sottovalutate: anche se inizialmente l’obbligo riguarda assessment e comunicazioni, l’implementazione di quanto necessario sia dal punto di vista tecnologico che gestionale richiede molto tempo, considerando anche le normali gestioni aziendali per l’assegnazione dei budget.
Domanda: Gli adempimenti si rispettano acquistando soluzioni tecnologiche quali Firewall, Antivirus, ecc.?
Risposta: Le soluzioni tecnologiche sono fondamentali, ma senza un sistema di gestione che implementi i processi e li verifichi, senza procedure operative e nomine, senza registrazioni dell’operato e senza formazione sia tecnica che gestionale non è possibile ottenere un pieno rispetto degli adempimenti.
Domanda: Quale starndard o norma può essere utilizzata a riferimento per il sistema di gestione? E’ necessario essere certificati?
Risposta: La Direttiva NIS 2 richiede l’implementazione di controlli, e quindi di sistemi di gestione, “in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000”. Altri standard di riferimento possono essere il NIST Cybersecurity Framework e il Framework Nazionale per la Cyber Security e la Data Protection. Non vi è l’obbligo di certificazione.
NIS2 Remediation Program
Il NIS2 Remediation Program accompagna l’organizzazione nell’attuazione del piano di adeguamento.
Cybersec4 supporta la definizione o revisione di policy, procedure, controlli tecnici, flussi di gestione incidenti, modelli di governance, programmi formativi, misure di continuità operativa e processi di gestione fornitori.
Il programma viene costruito in modo modulare, in base alla maturità dell’organizzazione e alle priorità emerse dalla gap analysis.
Incident response e notifiche
SLa capacità di gestire un incidente è uno degli elementi centrali della resilienza cyber. Cybersec4 supporta la progettazione di piani di incident response con classificazione degli eventi, ruoli, escalation, comunicazioni, raccolta evidenze e coordinamento con le funzioni coinvolte.
Il piano viene pensato per essere utilizzabile durante una crisi reale, quando servono decisioni rapide, responsabilità chiare e flussi di comunicazione già definiti.
Supply chain e procurement ICT
La NIS2 rafforza l’attenzione sulla sicurezza della supply chain digitale. Per questo Cybersec4 supporta le organizzazioni nella valutazione e gestione del rischio associato a fornitori ICT, software house, cloud provider, outsourcer, manutentori e partner tecnologici.
Il servizio consente di introdurre criteri cyber nei processi di acquisto, qualificazione, contrattualizzazione e monitoraggio dei fornitori, riducendo il rischio che una terza parte diventi il punto debole dell’organizzazione.
Formazione
La NIS2 richiede consapevolezza a tutti i livelli. Cybersec4 progetta percorsi formativi differenziati per management, IT, procurement, legal, compliance, privacy e personale operativo.
La formazione aiuta ciascuna funzione a comprendere il proprio ruolo nella gestione del rischio cyber, nella prevenzione degli incidenti, nella risposta alle crisi e nella protezione dei processi critici.
Offriamo programmi di formazione specifici e certificati sia per la Gestione che per l’Implementazione della Direttiva NIS2, per sensibilizzare il personale sui rischi informatici e sui requisiti della Direttiva NIS2. Le nostre sessioni formative, disponibili in formato digitale e in presenza (videoconferenza), sono progettate per migliorare la consapevolezza e le competenze in ambito di sicurezza informatica, un aspetto fondamentale per prevenire incidenti e garantire la conformità normativa.
Possiamo erogare corsi personalizzati basati sulle reali esigenze includendo ad esempio:
– Strategie per la protezione delle infrastrutture critiche
– Simulazioni pratiche di scenari di attacco informatico
– Formazione mirata alle politiche e alle procedure dei sistemi di gestione
Inoltre, eroghiamo un’ampia gamma di corsi tecnici per le figure specialistiche cyber necessarie (Analista, Incident responder, Penetration Tester, ecc.), corsi specifici per il Management, la gestione del rischio e della privacy (GDPR), e corsi di Cybersecurity Awareness.
Servizi di formazione erogati in collaborazione con ICT Learning Solutions.
Richiedi informazioniGovernance continuativa con vCISO
L’adeguamento NIS2 non si esaurisce con un progetto iniziale. Serve un presidio continuo per monitorare rischi, aggiornare procedure, seguire i piani di remediation, coordinare fornitori e mantenere allineata la direzione.
Il servizio vCISO di Cybersec4 consente di avere una guida esperta e continuativa, anche in assenza di una figura interna dedicata.
Approfondisci vCISO e Cybersecurity Governance
Security operation center
– Accompagnamento all’implementazione di SOC (Security Operation Center).
– Gestione SOC esterna in outsourcing completo o ibrido, per la rilevazione, l’analisi e la mitigazione di minacce informatiche.
– Helpdesk IT e Cyber in Outsourcing o Body rental.
Il nostro Security Operation Center (SOC) offre una sorveglianza continua della vostra infrastruttura IT, garantendo una risposta rapida ed efficace a ogni minaccia. Il SOC è gestito da un team di esperti in cybersecurity che possono monitorare i sistemi 24/7, utilizzando tecnologie avanzate per rilevare, analizzare e mitigare eventuali attacchi.
– Monitoraggio continuo e rilevamento delle minacce
– Gestione e risposta agli incidenti
– Analisi forense post-incidente
– Reportistica dettagliata per la conformità normativa
Benefici:
– Riduzione dei tempi di risposta agli incidenti
– Miglioramento della resilienza aziendale
– Sicurezza proattiva e adattiva
Progettazione ed implementazione soluzioni Cybersecurity e IT
Siamo partner delle migliori aziende di cybersecurity, possiamo progettare e supportare l’implementazione di soluzioni tecnologiche avanzate che rispondano ai requisiti della Direttiva NIS2. Dalla protezione delle reti all’implementazione di sistemi di monitoraggio, offriamo strumenti all’avanguardia per difendere le vostre infrastrutture critiche.
– Sistemi di rilevamento e risposta agli incidenti (SIEM/EDR)
– Piattaforme di gestione degli accessi e delle identità
– Backup sicuri e sistemi di disaster recovery
– Implementazione di misure tecnologiche hardware e software. Firewall/IPS, AV, DLP, ecc.
– Progettazione ed ottimizzazione reti informatiche.
Analisi di Vulnerabilità
L’analisi delle vulnerabilità è un passaggio cruciale per identificare e correggere le debolezze nei sistemi IT prima che possano essere sfruttate. Utilizziamo strumenti di scanning avanzati e un approccio metodico per valutare l’intera infrastruttura tecnologica, fornendo una mappa dettagliata delle vulnerabilità e delle priorità di intervento.
Processo dell’analisi:
– Scansione automatizzata dei sistemi e delle reti
– Identificazione delle vulnerabilità critiche
– Valutazione del livello di rischio associato
– Raccomandazioni per la mitigazione
Risultati:
– Prevenzione di potenziali attacchi informatici
– Riduzione del rischio operativo
– Maggiore consapevolezza della postura di sicurezza
Penetration testing
Test di penetrazione su applicazioni web, reti e dispositivi. Verifica codice sorgente.
Il penetration testing valuta la resistenza dei sistemi IT contro le minacce esterne e interne. Il nostro team di ethical hacker certificati esegue test approfonditi per identificare e sfruttare eventuali punti deboli, fornendo un report dettagliato con le misure correttive necessarie.
– Identificazione delle lacune di sicurezza più critiche
– Rafforzamento della protezione dei sistemi IT
– Valutazione pratica delle misure di sicurezza implementate
Output del servizio:
– Report tecnico dettagliato
– Raccomandazioni prioritarie per il miglioramento
Da dove partire
Il primo passo è comprendere il livello di esposizione e preparazione della tua organizzazione.
Cybersec4 può supportarti con un assessment iniziale, una gap analysis o un percorso completo di adeguamento.
Ci trovi anche su MePa
Richiedi informazioni
Per richiedere informazioni contattaci all’email info AT cybersec4.com o utilizza il form in basso.
Rispondiamo sempre a tutte le richieste di informazioni e per questo ti preghiamo di controllare la posta indesiderata/spam in quanto la risposta potrebbe essere erroneamente scartata dal server mail.
Cybersec4®
PALERMO, ITALIA
Via Roma, 457
info@cybersec4.com