Sei sicuro che la tua azienda sia conforme alla Direttiva NIS2? 🧐
Entrata in vigore a Gennaio 2023, deve essere recepita dai singoli stati membri entro le scadenze dettate. ECCO COSA SAPERE👇
Definizione e utilizzo
La direttiva NIS2 è la proposta di revisione della direttiva NIS1, che ha introdotto l’obbligo per gli Stati membri di:
✅adottare una strategia nazionale per la sicurezza cibernetica;
✅designare le autorità competenti e i punti di contatto;
✅istituire un sistema di cooperazione a livello europeo;
✅imporre ai fornitori di servizi essenziali e ai fornitori di servizi digitali di adottare misure appropriate per gestire i rischi e segnalare gli incidenti.
Un occhio alle scadenze 👀
📆Entro il 17 ottobre 2024: gli Stati membri devono adottare e rendere pubbliche le misure necessarie per conformarsi alla direttiva;
📆Entro il 31 dicembre 2024: Le aziende devono completare un’autovalutazione interna per verificare se rientrano tra i soggetti obbligati. Questo passaggio richiede un’analisi delle proprie attività e del settore in cui operano per comprendere l’impatto della normativa sulla loro struttura. Dal 18 ottobre la piattaforma online di auto-registrazione realizzata dall’ACN sarà attiva, in questo modo le aziende potranno visitarla, prenderci confidenza e raccogliere le informazioni necessarie per prepararsi alla registrazione formale.
📆1 gennaio – 28 febbraio 2025: Le aziende identificate come soggette alla NIS2 devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questa registrazione comporta la trasmissione di informazioni dettagliate sull’organizzazione e sulla propria infrastruttura digitale.
📆17 gennaio 2025: Entro questa data, i fornitori di servizi digitali specifici (come cloud e infrastrutture digitali rilevanti) sono tenuti a completare la registrazione obbligatoria, garantendo così la conformità ai requisiti minimi di sicurezza previsti dalla NIS2.
📆31 marzo 2025: L’ACN redigerà l’elenco ufficiale dei soggetti considerati “essenziali” e “importanti” ai sensi della direttiva. Questo elenco rappresenta un passo chiave, in quanto stabilisce chi dovrà rispettare formalmente gli obblighi previsti dalla normativa.
📆1 – 15 aprile 2025: L’ACN invierà una notifica formale a tutte le aziende incluse nell’elenco, confermando loro l’obbligo di adeguamento alla NIS2. Questo passaggio serve per informare ufficialmente i soggetti coinvolti e avviare il processo di compliance.
📆15 aprile – 31 maggio 2025: Le aziende notificate avranno tempo per fornire all’ACN eventuali informazioni aggiuntive richieste, come dettagli sulle misure di sicurezza già implementate e sui processi di gestione del rischio in corso.
📆Entro fine 2025: adempimenti di gestione degli incidenti di sicurezza;
📆1 gennaio 2026: Questa è la data di piena operatività della normativa, a partire dalla quale le aziende dovranno essere in grado di rispettare gli obblighi della NIS2, inclusa la notifica degli incidenti di sicurezza informatica e l’applicazione di adeguate misure di protezione.
📆Entro settembre 2026: termine del percorso di adeguamento.
A chi si rivolge
👉𝗜𝗻𝗳𝗿𝗮𝘀𝘁𝗿𝘂𝘁𝘁𝘂𝗿𝗲 𝗰𝗿𝗶𝘁𝗶𝗰𝗵𝗲: reti elettriche e idriche, reti di trasporto, reti di comunicazione, reti sanitarie, reti spaziali e nucleari;
👉𝗦𝗲𝗿𝘃𝗶𝘇𝗶 𝗲𝘀𝘀𝗲𝗻𝘇𝗶𝗮𝗹𝗶: servizi finanziari, servizi sanitari, servizi di trasporto, servizi di gestione delle acque, servizi di gestione dei rifiuti, servizi postali, servizi di pubblica amministrazione e servizi elettorali;
👉𝗙𝗼𝗿𝗻𝗶𝘁𝗼𝗿𝗶 𝗱𝗶 𝘀𝗲𝗿𝘃𝗶𝘇𝗶 𝗱𝗶𝗴𝗶𝘁𝗮𝗹𝗶: mercati online, motori di ricerca, servizi di cloud computing, social network, servizi di messaggistica, servizi di videoconferenza, servizi di streaming, servizi di e-learning e servizi di e-health;
👉𝗙𝗼𝗿𝗻𝗶𝘁𝗼𝗿𝗶 𝗱𝗶 𝘀𝗲𝗿𝘃𝗶𝘇𝗶 𝗱𝗶 𝘀𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗰𝗶𝗯𝗲𝗿𝗻𝗲𝘁𝗶𝗰𝗮: centri di operazioni di sicurezza, centri di risposta agli incidenti, fornitori di soluzioni di sicurezza e fornitori di servizi di certificazione;
👉𝗔𝘂𝘁𝗼𝗿𝗶𝘁𝗮̀ 𝗽𝘂𝗯𝗯𝗹𝗶𝗰𝗵𝗲: istituzioni, organi e agenzie dell’UE, autorità nazionali e locali, forze dell’ordine, servizi di intelligence e servizi di difesa;
👉𝗘𝗻𝘁𝗶 𝗱𝗶 𝗿𝗶𝗰𝗲𝗿𝗰𝗮 𝗲 𝗶𝗻𝗻𝗼𝘃𝗮𝘇𝗶𝗼𝗻𝗲: università, centri di ricerca, laboratori e progetti finanziati dall’UE.
Nuovi principi
💡𝗔𝗽𝗽𝗿𝗼𝗰𝗰𝗶𝗼 𝗯𝗮𝘀𝗮𝘁𝗼 𝘀𝘂𝗹 𝗿𝗶𝘀𝗰𝗵𝗶𝗼: natura, portata, contesto e impatti potenziali degli incidenti cibernetici;
💡𝗘𝗹𝗲𝗻𝗰𝗼 𝗱𝗶 𝘀𝗲𝘁𝘁𝗼𝗿𝗶 𝗲 𝗮𝘁𝘁𝗼𝗿𝗶 𝗿𝗶𝗹𝗲𝘃𝗮𝗻𝘁𝗶;
💡𝗦𝗶𝘀𝘁𝗲𝗺𝗮 𝗱𝗶 𝗰𝗹𝗮𝘀𝘀𝗶𝗳𝗶𝗰𝗮𝘇𝗶𝗼𝗻𝗲 𝗱𝗲𝗴𝗹𝗶 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝗶: quattro livelli di gravità e criteri comuni per la valutazione;
💡𝗠𝗲𝗰𝗰𝗮𝗻𝗶𝘀𝗺𝗼 𝗱𝗶 𝗿𝗲𝘃𝗶𝘀𝗶𝗼𝗻𝗲 𝗽𝗲𝗿𝗶𝗼𝗱𝗶𝗰𝗮: aggiornamento in base all’evoluzione tecnologica e normativa;
💡𝗥𝘂𝗼𝗹𝗶: Agenzia dell’Unione Europea per la Cybersecurity (ENISA), Gruppo di cooperazione, Rete dei punti di contatto e Sistema di allarme rapido;
💡𝗜𝗻𝗮𝘀𝗽𝗿𝗶𝗺𝗲𝗻𝘁𝗼 𝗱𝗲𝗹𝗹𝗲 𝘀𝗮𝗻𝘇𝗶𝗼𝗻𝗶: devono essere effettive, proporzionate e dissuasive, e che possono raggiungere il 2% del fatturato annuo dei soggetti inadempienti.
𝘚𝘦𝘪 𝘢𝘯𝘤𝘰𝘳𝘢 𝘤𝘦𝘳𝘵𝘰 𝘤𝘩𝘦 𝘭𝘢 𝘵𝘶𝘢 𝘢𝘻𝘪𝘦𝘯𝘥𝘢 𝘴𝘪𝘢 𝘤𝘰𝘯𝘧𝘰𝘳𝘮𝘦 𝘢𝘭𝘭𝘢 𝘋𝘪𝘳𝘦𝘵𝘵𝘪𝘷𝘢 𝘕𝘐𝘚2?
Contattaci a 📧 info@c2corporate.it per una consulenza gratuita