What is the NIS2 Directive?

NIS2 è la seconda iterazione della direttiva Rete e Sicurezza delle Informazioni (NIS) dell'UE ed è il principale standard di sicurezza informatica nell'UE. NIS2 aggiorna il NIS ampliando i settori interessati dalla legge e dai suoi requisiti. Entro il 17 ottobre 2024, gli stati membri dell’UE sono tenuti a implementare NIS2 nelle loro leggi nazionali, quindi tutte le organizzazioni interessate da NIS2 devono essere in Conformità entro il quarto trimestre del 2024.

Infinity Global Services CONTATTA UN ESPERTO

What is the NIS2 Directive?

L'importanza della direttiva NIS2

NIS2 crea una serie standard di requisiti di sicurezza informatica per le organizzazioni che forniscono servizi essenziali o importanti agli Stati membri dell'UE. In questo modo, si riduce il rischio che gli attacchi informatici contro queste organizzazioni possano avere ripercussioni significative per i cittadini dell'UE.

Settori interessati dalla direttiva NIS2

La direttiva NIS2 classifica i settori in entità essenziali e importanti. Esempi di entità essenziali (EE) includono:

  • Energy
  • Trasporti
  • Finanza
  • Pubblica amministrazione
  • Sanità
  • Spazio
  • Approvvigionamento idrico
  • Infrastruttura digitale

NIS2 ha anche un impatto su entità importanti (IE), come:

  • Servizi postali
  • Gestione dei rifiuti
  • Prodotti chimici
  • Ricerca
  • Cibo
  • Manufatturiero
  • Fornitori digitali

Oltre ai settori, NIS2 Conformità è influenzata anche dalla dimensione dell'organizzazione. In generale, le EE devono avere almeno 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro o un bilancio di 43 milioni di euro. Gli IE devono generalmente avere almeno 50 dipendenti e un fatturato annuo o un bilancio di almeno 10 milioni di euro. Tuttavia, queste regole variano da settore a settore. Inoltre, le aziende che sono l'unico fornitore di un particolare servizio all'interno di uno Stato membro dell'UE possono essere classificate come EE o IE indipendentemente dalle dimensioni.

Quali sono i requisiti NIS2?

NIS2 crea quattro serie di requisiti organizzativi di alto livello, tra cui:

  • Gestione del rischio: le organizzazioni dovrebbero gestire i propri rischi informatici tramite la risposta agli incidenti, la sicurezza della catena di fornitura, la sicurezza della rete, il controllo degli accessi e l'uso della crittografia.
  • Responsabilità aziendale: La direzione aziendale è responsabile della sicurezza dell'organizzazione e dovrebbe assumere un ruolo attivo e informato nella gestione del rischio informatico.
  • Obblighi di segnalazione: NIS2 definisce i requisiti di segnalazione per incidenti di sicurezza significativi, incluso un "allarme rapido" 24 ore su 24.
  • Continuità aziendale: Le organizzazioni interessate devono disporre di strategie di continuità aziendale, tra cui la creazione di piani di ripristino, procedure di emergenza e un team di risposta alle crisi.

Inoltre, specifica una serie di dieci requisiti minimi, che includono:

  1. Esecuzione di valutazioni dei rischi e implementazione di politiche di sicurezza per i sistemi IT.
  2. Implementazione di politiche e procedure per l'uso della crittografia e della crittografia.
  3. Protezione e gestione delle vulnerabilità nell'approvvigionamento di sistemi.
  4. Implementazione di procedure di sicurezza per gli utenti che possono accedere ai dati sensibili.
  5. Utilizzando l'autenticazione a più fattori (MFA), l'autenticazione continua e le comunicazioni crittografate, ove appropriato.
  6. Valutare l'efficacia dei controlli di sicurezza messi in atto.
  7. Pianificazione del rilevamento e della risposta agli incidenti.
  8. Formazione dei dipendenti sull'igiene informatica di base.
  9. Pianificazione della continuità operativa e del ripristino di emergenza (backup, accesso continuo, ecc.)
  10. Protezione della catena di fornitura e modalità con cui l'azienda gestisce potenziali vulnerabilità nei rapporti con terzi.

Sanzioni per violazioni NIS2

NIS2 prevede varie tipologie di sanzioni che possono essere imposte ad un'organizzazione per Non Conformità, tra cui:

  • Sanzioni non pecuniarie: Le autorità di vigilanza nazionali sono autorizzate a costringere le organizzazioni a conformarsi, a seguire istruzioni vincolanti, a effettuare un audit di sicurezza o a informare i propri clienti di una potenziale minaccia.
  • Sanzioni amministrative: Le sanzioni amministrative dipendono dal tipo di entità. Le EE sono soggette a multe di importo superiore a 10 milioni di euro, pari al 2% del fatturato annuo globale. Gli IE possono essere multati fino a 7 milioni di euro o all'1,4% del fatturato annuo globale.
  • Sanzioni penali: In caso di negligenza grave, NIS2 consente ai vertici aziendali di essere ritenuti personalmente responsabili degli incidenti di sicurezza. Ciò include l'ordinazione alla società di rendere pubbliche le violazioni di Conformità, di dichiarare pubblicamente quale violazione è avvenuta e di chi ne è responsabile, nonché l'interdizione temporanea da incarichi dirigenziali.

Assicurati che la tua azienda sia conforme alla NIS2 con IGS

La direttiva NIS2 è concepita per limitare il rischio che gli attacchi informatici contro soggetti essenziali e importanti all'interno dell'UE incidano sulla loro capacità di fornire servizi ai cittadini dell'UE. Questo aggiornamento del NIS originale amplia l'ambito di applicazione della direttiva, implementa i requisiti aggiornati e fornisce alle autorità di regolamentazione il potere di imporre sanzioni aggiuntive e più severe contro le organizzazioni che non rispettano i suoi requisiti.

Raggiungere la conformità alla direttiva NIS2 entro le scadenze del quarto trimestre del 2024 è essenziale per tutte le organizzazioni interessate e richiede l’implementazione di un solido programma di sicurezza informatica. Check Point offre supporto alle aziende che tentano di raggiungere questo e altri obiettivi di sicurezza informatica attraverso il suo programma Infinity Global Services.

 

Check PointIl NIS2/DORA Readiness Assessment di prevede una valutazione in loco da parte dei Check Point consulenti senior di della conformità esistente di un'organizzazione con la direttiva NIS2. Sulla base di questa valutazione, Check Point fornisce indicazioni su come le organizzazioni possono colmare le lacune di sicurezza identificate e raggiungere la conformità allo standard. Per ulteriori informazioni su come raggiungere i tuoi obiettivi di Conformità NIS2 prima della scadenza, contattaci.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK