Skip to main content

News

La Normativa NIS2: Un Nuovo Standard per la Cybersecurity in Europa. Cosa c’è da sapere

La Normativa NIS2: Un Nuovo Standard per la Cybersecurity in Europa. Cosa c’è da sapere

7 Aprile 2025

Nello scorse settimane si è parlato molto della Direttiva NIS2 e delle sue possibili applicazioni nell’ambito del settore del trasporto merci su strada. Al fine di fare chiarezza sulla questione riportiamo un’attenta analisi svolta dal Dott. Luca Befani, data protection specialist & Risk Management Consultant del Sistema ASSOTIR.

La direttiva NIS2 (Network and Information Security Directive 2), ufficialmente nota come Direttiva 2022/2555 del Parlamento Europeo e del Consiglio, rappresenta un passo significativo verso il rafforzamento della cybersecurity nell’Unione Europea. Entrata in vigore nel gennaio 2023, la NIS2 deve essere recepita dagli Stati membri entro il 17 ottobre 2024.

Obiettivi Principali

La NIS2 mira a migliorare la resilienza delle infrastrutture critiche e dei servizi digitali in Europa, imponendo obblighi di cybersecurity sia agli Stati membri che alle entità pubbliche e private di settori critici. Tra i principali obiettivi della direttiva troviamo:

  • Aumento della Cybersecurity: Stabilire un livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’UE.
  • Gestione dei Rischi: Le entità devono adottare misure tecniche, operative e organizzative per gestire i rischi di cybersecurity.
  • Notifica degli Incidenti: Le entità devono notificare tempestivamente gli incidenti significativi.
  • Sanzioni: Introduzione di sanzioni più severe in caso di mancato rispetto delle norme.

Ambito di Applicazione

La NIS2 amplia l’ambito di applicazione rispetto alla precedente direttiva NIS, includendo più settori, sottosettori e tipi di entità. Le entità sono classificate in due categorie principali:

Entità Essenziali

Le entità essenziali operano in settori altamente critici per la sicurezza e il funzionamento della società e dell’economia. Questi settori includono:

  • Energia: Energia elettrica, petrolio, gas, idrogeno, teleriscaldamento e teleraffrescamento.
  • Trasporti: Trasporto aereo, ferroviario, per vie d’acqua e su strada.
  • Settore Bancario: Banche e infrastrutture dei mercati finanziari.
  • Sanità: Servizi sanitari e ospedalieri.
  • Acqua Potabile: Fornitura e distribuzione di acqua potabile.
  • Infrastrutture Digitali: Data center, reti di comunicazione e servizi cloud.
  • Pubblica Amministrazione: Enti governativi e amministrazioni pubbliche.
  • Spazio: Servizi e infrastrutture spaziali.

Entità Importanti

Le entità importanti operano in settori che, pur non essendo classificati come altamente critici, sono comunque fondamentali per la sicurezza e la resilienza dell’economia e della società. Questi settori includono:

  • Servizi Postali e Corrieri: Servizi di consegna e logistica.
  • Gestione dei Rifiuti: Raccolta e trattamento dei rifiuti.
  • Produzione e Distribuzione di Prodotti Chimici: Industria chimica.
  • Produzione Alimentare: Industria alimentare.
  • Produzione di Dispositivi Medici: Fabbricazione di apparecchiature mediche.
  • Elettronica: Produzione di componenti elettronici.
  • Macchinari: Fabbricazione di macchinari industriali.
  • Automobili e Aerospaziale: Industria automobilistica e aerospaziale.
https://www.acn.gov.it/portale/documents/d/guest/faq-1-5_dettaglio-ambiti-di-applicazione

Misure di Cybersecurity

Le entità devono implementare misure di cybersecurity che includono:

  • Gestione dei Rischi: Valutazione e gestione dei rischi di cybersecurity.
  • Sicurezza della Catena di Fornitura: Considerazione dei rischi associati alla catena di fornitura TIC.
  • Divulgazione Coordinata delle Vulnerabilità: Procedure per la divulgazione delle vulnerabilità.

La direttiva NIS2 rappresenta un passo avanti cruciale per la sicurezza informatica in Europa. Con l’adozione di misure rigorose e un approccio coordinato, l’UE mira a creare un ambiente digitale più sicuro e resiliente per tutti i suoi cittadini e le sue imprese.

Mancata registrazione sul portale ACN

Se un’entità soggetta alla direttiva NIS2 non ha effettuato la registrazione sul portale della Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025, può incorrere in sanzioni amministrative. Per le entità essenziali, la multa può arrivare fino a un massimo dello 0,1% del fatturato.

Misure di sicurezza per la Supply Chain (Catena di approvvigionamento)

La direttiva NIS2 introduce requisiti stringenti per la gestione della supply chain, riconoscendo che la sicurezza informatica di un’entità dipende anche dalla sicurezza dei suoi fornitori. Adottare un approccio strutturato e proattivo alla gestione della supply chain è essenziale per conformarsi alla NIS2 e proteggere l’integrità delle infrastrutture critiche e dei servizi digitali. Se sei un fornitore di un’azienda essenziale, la direttiva NIS2 ti impone di adottare misure di sicurezza specifiche per proteggere la supply chain e garantire la resilienza dei servizi essenziali o importanti. Ecco alcuni punti chiave:

  • Valutazione dei Rischi: Identificare e valutare i rischi di cybersecurity associati ai tuoi servizi e prodotti forniti alle aziende essenziali.
  • Misure di Sicurezza: Implementare misure tecniche e organizzative adeguate a mitigare i rischi identificati.
  • Monitoraggio Continuo: Stabilire processi di monitoraggio continuo per rilevare e rispondere tempestivamente a eventuali vulnerabilità o incidenti di sicurezza.
  • Contratti di Sicurezza: Includere clausole di sicurezza nei contratti con le aziende essenziali per garantire che rispettino gli standard di sicurezza richiesti.

La complessità e l’interconnessione delle moderne supply chain rendono necessario un approccio sistemico alla sicurezza. Un attacco informatico a un singolo fornitore può avere ripercussioni su tutta la catena, compromettendo la continuità operativa e la sicurezza dei dati.

Ma sono un soggetto NIS2?

Per sapere se sei un soggetto interessato dalla normativa NIS2, devi verificare se la tua organizzazione soddisfa i seguenti criteri

  1. Requisito Territoriale: Operare all’interno dell’Unione Europea.
  2. Requisito Settoriale: Appartenere a uno dei settori identificati dalla direttiva NIS2, come energia, trasporti, sanità, infrastrutture digitali, ecc. ACN, a tal proposito, mette a disposizione una mappatura dei settori e delle normative di recepimento all’interno dell’ordinamento italiano che possono aiutare nella verifica di soggetto coinvolto o soggetto alla NIS2 (clicca per scaricare la tabella).
  3. Requisito Dimensionale: Avere più di 50 dipendenti e un fatturato superiore a 50 milioni di euro, oppure un bilancio superiore a 43 milioni di euro.

Se la tua organizzazione soddisfa questi criteri, è probabile che rientri nell’ambito di applicazione della NIS2.

La direttiva NIS2 generalmente non si applica alle piccole imprese. Tuttavia, ci sono alcune eccezioni. Le piccole imprese devono conformarsi alla normativa NIS2 se:

  • Identificate come “critiche” ai sensi della Direttiva RCE.
  • Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico.
  • Prestatore di servizi fiduciari.
  • Gestore di registri di dominio di primo livello o fornitore di servizi di sistema dei nomi a dominio.
  • Fornitore di servizi di registrazione dei nomi a dominio.
  • Identificate come operatore di servizi essenziali o fornitore di servizi digitali ai sensi della Direttiva NIS.
  • Unico fornitore nazionale di un servizio essenziale.
  • Fornitore di un servizio che, se perturbato, potrebbe comportare un rischio sistemico significativo.
  • Critiche per la loro particolare importanza a livello nazionale.
  • Critiche in quanto elemento sistemico della catena di approvvigionamento di soggetti essenziali o importanti

Conclusioni

La direttiva NIS2 rappresenta un passo avanti cruciale per la sicurezza informatica in Europa, imponendo obblighi rigorosi sia alle entità essenziali che ai loro fornitori. Le entità essenziali, operanti in settori critici precedentemente indicati, devono adottare misure proattive per gestire i rischi di cybersecurity e garantire la resilienza dei loro servizi.

Allo stesso tempo, i fornitori di queste entità devono implementare misure di sicurezza adeguate a proteggere la supply chain e prevenire vulnerabilità che potrebbero compromettere l’intera catena di approvvigionamento.

La gestione della sicurezza della supply chain diventa fondamentale, poiché la sicurezza di un’entità dipende anche dalla sicurezza dei suoi fornitori. Un approccio coordinato e sistemico alla cybersecurity è essenziale per proteggere le infrastrutture critiche e i servizi digitali, creando un ambiente digitale più sicuro e resiliente per tutti i cittadini e le imprese dell’Unione Europea.

Con l’adozione della NIS2, l’Europa si prepara ad affrontare le sfide future della cybersecurity, proteggendo i suoi settori vitali e garantendo la continuità operativa anche in caso di attacchi informatici sofisticati. La collaborazione tra entità essenziali e fornitori è la chiave per costruire una difesa robusta e resiliente contro le minacce informatiche.

Luca Befani

Data protection specialist & Risk Management Consultant

07/04/2025

Torna indietro
– Articoli Correlati –
Altre News
Che cos’è il Sistema Assotir

Assotir mette al tuo servizio un sistema di servizi e strumenti volti a garantire risposte efficaci e immediate alle esigenze legali, di gestione aziendale, tecniche e di formazione proprie di ogni azienda nel settore dell’autotrasporto.

Entra nel Sistema Assotir e beneficia di un’assistenza completa.

I servizi del Sistema Assotir
Iscriviti all’area riservata
Per essere aggiornato sulle ultime normative e ricevere le nostre newsletter.
Iscriviti
Torna su