Direttiva NIS2 e cybersecurity:
cosa devono fare le aziende
La Direttiva NIS2 introduce obblighi di cybersecurity per migliaia di aziende in Europa. Il NIST CSF 2.0 è lo strumento ideale per adeguarsi.
Cos'è la Direttiva NIS2
La Direttiva (UE) 2022/2555, nota come NIS2 (Network and Information Security Directive), è la normativa europea che stabilisce misure per un livello comune elevato di cybersecurity in tutta l'Unione Europea.
Pubblicata il 27 dicembre 2022 e recepita in Italia con il D.Lgs. 138/2024, la NIS2 sostituisce la precedente Direttiva NIS (2016) ampliando significativamente il numero di soggetti obbligati e introducendo requisiti più stringenti e sanzioni più severe.
L'obiettivo è garantire che le organizzazioni che forniscono servizi essenziali o importanti adottino misure adeguate per prevenire, gestire e rispondere agli incidenti di sicurezza informatica.
Chi deve adeguarsi
La NIS2 si applica a due categorie di soggetti:
Soggetti essenziali
- • Energia (elettricità, gas, petrolio, idrogeno)
- • Trasporti (aereo, ferroviario, marittimo, stradale)
- • Sanità (ospedali, laboratori, farmaceutica)
- • Acqua potabile e acque reflue
- • Infrastrutture digitali e servizi ICT
- • Pubblica amministrazione
- • Spazio
- • Settore bancario e finanziario
Soggetti importanti
- • Servizi postali e corrieri
- • Gestione rifiuti
- • Produzione e distribuzione alimentare
- • Fabbricazione (dispositivi medici, elettronica, macchinari, autoveicoli)
- • Fornitori di servizi digitali
- • Ricerca scientifica
- • Chimica
In generale, si applica a medie e grandi imprese (oltre 50 dipendenti o oltre 10 milioni di fatturato) che operano nei settori indicati. Ma anche PMI critiche possono rientrare nel perimetro.
I requisiti principali della NIS2
Governance della cybersecurity
Il management aziendale è direttamente responsabile. Deve approvare le misure di sicurezza e seguire una formazione specifica.
Gestione del rischio
Adottare misure tecniche e organizzative proporzionate ai rischi: policy di sicurezza, gestione incidenti, continuità operativa.
Segnalazione incidenti
Obbligo di notifica al CSIRT nazionale entro 24 ore dall'identificazione di un incidente significativo, con report completo entro 72 ore.
Sicurezza della supply chain
Valutare e gestire i rischi cyber dei fornitori e dei partner nella catena di approvvigionamento.
Crittografia e controllo accessi
Utilizzo di cifratura, autenticazione multi-fattore e gestione delle identità e degli accessi.
Sanzioni
Fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali. Fino a 7 milioni o 1,4% per i soggetti importanti.
Come il NIST CSF 2.0 aiuta ad adeguarsi alla NIS2
Il NIST Cybersecurity Framework 2.0 è perfettamente allineato ai requisiti della NIS2. Le sue 6 funzioni coprono tutte le aree richieste dalla direttiva:
| Requisito NIS2 | Funzione NIST CSF 2.0 |
|---|---|
| Governance e responsabilità del management | GOVERN |
| Analisi del rischio e inventario asset | IDENTIFY |
| Misure di sicurezza, crittografia, controllo accessi | PROTECT |
| Monitoraggio e rilevamento minacce | DETECT |
| Gestione e segnalazione incidenti | RESPOND |
| Continuità operativa e ripristino | RECOVER |
Utilizzando il nostro assessment basato sul NIST CSF 2.0, puoi ottenere una fotografia immediata del livello di conformità della tua organizzazione rispetto ai requisiti della NIS2 e identificare le aree su cui intervenire prioritariamente.
Scadenze e tempistiche
17 ottobre 2024 — Scadenza per il recepimento della NIS2 negli Stati membri UE
1 ottobre 2024 — Entrata in vigore del D.Lgs. 138/2024 in Italia
2025-2026 — Periodo di adeguamento per i soggetti obbligati, con implementazione progressiva delle misure di sicurezza
Non aspettare l'ultimo momento. L'adeguamento alla NIS2 richiede tempo per valutare i rischi, implementare le misure tecniche e formare il personale. Inizia oggi con una valutazione del tuo stato attuale.
Verifica il tuo livello di conformità
Completa l'assessment NIST CSF 2.0 e scopri quanto la tua azienda è pronta per la NIS2.