• Search in Protiviti.com

NIS2 Compliance

NIS2 Compliance

La vostra organizzazione è pronta per essere conforme a NIS2?
La direttiva NIS2 mira ad aumentare il livello di sicurezza informatica nell'UE, imponendo nuovi requisiti di sicurezza informatica alle organizzazioni di molti settori. Poiché dovrà essere recepita entro il 18 ottobre 2024, le aziende interessate devono iniziare a valutare la propria conformità e colmare eventuali gap, anche in considerazione del fatto che il mancato rispetto della NIS2 può comportare una sanzione amministrativa fino a 10 milioni di euro o il 2% del totale dei ricavi annuali globali (per i settori essenziali).

Che cosa è la NIS2?

La direttiva Network & Information System (NIS2) è focalizzata sull'aumento della sicurezza informatica nell'Unione Europea (UE) e contribuisce a definire il futuro digitale dell'UE. Un'attenzione particolare è stata data alla risposta agli incidenti di sicurezza informatica, con obblighi di segnalazione per incidenti significativi e condivisione di queste informazioni tra i Cyber Security Incident Response Team (CSIRT) degli Stati membri dell'UE per prevenirli e contenerne gli impatti.

La NIS2, entrata in vigore il 17 gennaio 2023, sostituirà la versione precedente (NIS). Gli Stati membri dell'UE devono recepire la direttiva nella legislazione nazionale entro il 18 ottobre 2024 e devono istituire autorità locali di vigilanza e di controllo.

La Commissione Europea ha concordato sanzioni significative per le organizzazioni che non rispettano i requisiti previsti dalla NIS2, che possono arrivare fino a 10 milioni di euro o il 2% del fatturato annuo totale globale e la potenziale sospensione dell’AD e/o del rappresentante legale dell’impresa per i settori essenziali, o 7 milioni di euro o l'1,4% del fatturato annuo totale per i settori importanti.

Sectors to which NIS2 applies

A quali settori si applica la NIS2

I settori nell'ambito della NIS2 sono divisi in due gruppi - essenziali e importanti:

La NIS2 si applica a un numero maggiore di settori rispetto alla NIS. Essa si applica anche alle organizzazioni al di fuori dell'UE se forniscono servizi essenziali o importanti all'interno dell'UE. Inoltre, anche i fornitori (IT) delle organizzazioni che rientrano nell’ambito di applicazione di NIS2 dovranno conformarsi ai requisiti, essendo parte delle catene di approvvigionamento.

Key requirements of NIS2

Quali sono i requisiti chiave di NIS2?

La direttiva NIS2 stabilisce una direzione generale per i requisiti di gestione del rischio di sicurezza informatica e sono in fase di sviluppo requisiti più dettagliati. Gli impatti più rilevanti sono nei seguenti ambiti:

  • Valutazione del rischio e politiche di sicurezza
  • Gestione degli incidenti
  • Continuità aziendale, disaster recovery e gestione delle crisi
  • Sicurezza della catena di approvvigionamento
  • Sicurezza nello sviluppo e nella manutenzione dei sistemi
  • Politiche e procedure di assessment di sicurezza
  • Formazione e awareness (anche del board)
  • Politiche e procedure di cifratura
  • Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
  • Obblighi di segnalazione

Uno dei nuovi requisiti è la responsabilità per il board di supervisionare, approvare e monitorare le misure di gestione del rischio di cyber security. Il board deve essere formato sulla cyber security e può essere ritenuto (personalmente) responsabile nel caso in cui l'organizzazione non soddisfi i requisiti della NIS2.

Un altro importante requisito è la segnalazione di incidenti di sicurezza rilevanti verso le autorità di vigilanza, che deve avvenire entro 24 ore dal momento in cui si viene a conoscenza di un incidente significativo. Entro 72 ore deve inoltre essere fornito un report dell’incidente, seguito da un report finale un mese dopo. Inoltre, i clienti finali devono essere informati dell’incidente e devono ricevere indicazioni su come proteggersi da eventuali minacce legate all'incidente stesso.

Key requirements of NIS2

Come possiamo supportare?

Poiché la NIS2 dovrà essere recepita entro il 18 ottobre 2024, le organizzazioni devono iniziare a valutare la propria conformità e a porre rimedio a eventuali lacune. Protiviti può supportare fornendo:

  • Formazione ed awareness sulla NIS2 a tutti i livelli aziendali, incluso il board: per far sì che l’organizzazione e in particolare i membri del board comprendano gli obblighi derivanti dalla NIS2 e l'importanza della compliance per l'organizzazione.
  • Assessment rispetto alla NIS2: per determinare le lacune di compliance dell'organizzazione rispetto ai requisiti NIS2 e la roadmap di adeguamento.
  • Implementazione di quanto previsto dalla NIS2: per rimediare alle lacune di compliance dell’organizzazione e implementare i necessari processi di controllo e gestione, anche mediante strumenti di GRC.
  • Sviluppo di un framework di controllo integrato: per aiutare l’organizzazione a soddisfare i requisiti di sicurezza delle diverse normative in modo efficiente ed efficace, utilizzando un framework di controllo integrato, per soddisfare la conformità a NIS2, PSNC, DORA, ISO27001, GDPR, PCI-DSS e altri.

I nostri team sono composti da esperti professionisti della sicurezza che possono aiutarvi in questo percorso e a rendere la vostra organizzazione conforme ai requisiti della Direttiva NIS2.

Insights paper

July 31, 2024

Direttiva NIS 2 (Network and Information Security): i punti chiave per l’applicazione

La Direttiva (UE) 2022/2555 (NIS 2), recepita in Italia tramite Decreto Legislativo approvato da parte del Consiglio dei Ministri lo scorso 10 Giugno 2024, rappresenta un’evoluzione significativa nell'ambito della cybersecurity a livello europeo, sottolineando il ruolo cruciale degli Stati membri nella creazione e nel mantenimento di un ecosistema digitale sicuro e...
Read more
Loading...