La tua azienda è pronta per la NIS 2?

08 ottobre 2024

NIS 2: La nuova direttiva europea sulla cybersecurity

La NIS 2 rappresenta la risposta dell’Unione Europea all’aumento degli incidenti di sicurezza informatica e mette in risalto la necessità di un quadro normativo per la sicurezza informatica.

La nuova direttiva NIS 2 non è una semplice revisione della precedente, ma presenta importanti differenze che hanno lo scopo di uguagliare gli standard di sicurezza e gli obblighi di monitoraggio nell’EU, ed ha l’obiettivo di rafforzare il livello di sicurezza informatica all’interno dell’Unione Europea (si integra con altre normative e linee guida sulla protezione dei dati e della privacy come il GDPR).

Per chi è obbligatoria?

La direttiva NIS 2 ha ampliato l’ambito di applicazione rispetto alla precedente direttiva NIS, includendo una vasta gamma di settori e organizzazioni, sia pubbliche che private, ed è rivolta a entità essenziali e entità importanti.

Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.

Le aziende che invece non sono considerate essenziali, ma appartengono comunque a uno dei settori che elencati di seguito e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti.

Settori ad Alta Criticità

• Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento;
• Trasporti: Strada, ferrovia, aria e acqua;
• Bancario: Banche, borse, istituzioni finanziarie;
• Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici;
• Acqua: Acque reflue e acqua potabile;
• Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc;
• Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti;
• Pubblica amministrazione: Entità governative centrali e regionali;
• Spazio: Operatori di infrastrutture terrestri.

Altri Settori Critici

• Posta e corrieri: Spedizione di posta e pacchi;
• Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti;
• Prodotti chimici: Produzione e distribuzione di prodotti chimici;
• Alimentare: Produzione, lavorazione e distribuzione di generi alimentari;
• Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici;
• Servizi digitali: Motori di ricerca, mercati online e reti sociali;
• Ricerca: Organizzazioni di ricerca.

Requisiti e obblighi

• Le aziende devono adottare misure per minimizzare i rischi informatici come ad esempio garantire la sicurezza della rete informatica.
• Le aziende devono disporre di processi per il monitoraggio che garantiscano la segnalazione tempestiva di incidenti. La NIS2 stabilisce scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente. La notifica ufficiale, inoltre, deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
• Le aziende devono pianificare come intendono garantire la business continuity in caso di gravi incidenti informatici.

Gi.One ha le soluzioni che fanno per te!
Sicurezza informatica? > Networking e sicurezza
Monitoraggio proattivo? > Monitoraggio Control.One
Business Continuity? > Backup e Disaster Recovery

Vuoi saperne di più sulla sicurezza IT?