Blog

Novità dal mondo delle nuove tecnologie

Resta sempre aggiornato sulle novità informatiche e tecnologiche con le nostre news e i nostri approfondimenti.

Descrizione

Decreto NIS 2: le novità e come adeguarsi alla normativa

28 Ottobre 2024
adeguamento normativa NIS 2

Il 16 ottobre 2024 è la data che segna finalmente l’entrata in vigore del Decreto Legislativo n.138/2024, il quale recepisce in Italia la Direttiva NIS 2 (Network and Information Security). Questa normativa è stata pensata per migliorare la resilienza delle infrastrutture critiche contro le minacce informatiche e coinvolge un numero crescente di settori. Rappresenta un’evoluzione della precedente direttiva NIS 1 del 2016, i cui risultati non sono stati considerati sufficienti: il suo scopo è ampliare il raggio dazione a nuovi soggetti e introdurre obblighi più stringenti.

Obiettivi della Direttiva NIS 2

La NIS 2 punta a creare un livello elevato di sicurezza informatica comune in tutta l’Unione Europea. L’obiettivo è migliorare la capacità di reazione delle aziende in caso di incidenti cibernetici e ridurre l’impatto di attacchi sempre più complessi. Tra le principali novità, vi è lobbligo di notificare gli incidenti di sicurezza con impatto significativo entro 24 ore dalla loro rilevazione, e di fornire una relazione dettagliata entro 72 ore.

La direttiva introduce la possibilità di segnalare anche i “quasi-incidenti”, ossia eventi che avrebbero potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato. Questo approccio proattivo mira a garantire che le aziende siano in grado di intervenire tempestivamente per evitare rischi maggiori.

Settori coinvolti e chi deve adeguarsi

Il Decreto Legislativo n.138/2024 si applica a numerosi settori essenziali, tra cui energia, trasporti, finanza, sanità e infrastrutture digitali, oltre che a soggetti pubblici e privati che forniscono servizi critici per la società. Questi soggetti devono implementare misure tecniche e organizzative adeguate a prevenire e gestire i rischi legati alla sicurezza informatica. In particolare, vengono individuati due gruppi principali:

  • Soggetti essenziali, sui quali le attività di verifica e ispezione da parte dell’Autorità potranno essere svolte ex ante ed ex post;
  • Soggetti importanti, verso i quali l’Autorità potrà condurre verifiche e ispezioni solo a seguito della ricezione di informazioni su una possibile violazione del Decreto (quindi ex post).

N.B. La Direttiva NIS 2 non è importante solo per i soggetti che rientrano nelle casistiche indicate negli allegati al Decreto Legislativo n.138/2024, ma va a colpire anche tutte quelle realtà che operano nella catena di approvvigionamento dei soggetti essenziali e dei soggetti importanti

Obblighi e scadenze

Le aziende devono rispettare diverse scadenze annuali per mantenere la conformità. Dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto, i soggetti essenziali e importanti dovranno registrarsi sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN), mentre entro il 31 marzo l’ACN pubblicherà l’elenco aggiornato delle aziende direttamente rientranti nel perimetro di applicabilità della normativa.

Oltre agli obblighi di notifica, le aziende devono intraprendere una serie di azioni volte a garantire la sicurezza delle informazioni attraverso un approccio multi-rischio (sia a livello cibernetico che fisico). Devono inoltre prevedere una formazione continua in materia di cybersecurity per tutto il personale, con particolare attenzione agli organi direttivi e amministrativi, che saranno direttamente responsabili in caso di violazioni. Le sanzioni previste per il mancato rispetto degli obblighi sono elevate: fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, e 7 milioni di euro o l’1,4% del fatturato annuo per i soggetti importanti. In determinati casi, gli organi direttivi e gli organi amministrativi, così come l’erogazione dei servizi, possono essere sospesi fino a completa risoluzione della problematica.

Perché affidarsi a Pratical Group

Data la complessità del nuovo quadro normativo, è fondamentale per le aziende prepararsi in anticipo e pianificare una strategia di adeguamento puntuale. Pratical Group offre una consulenza specializzata in cybersecurity e conformità normativa, accompagnando le imprese lungo l’intero percorso di adeguamento alla NIS 2. Tra i principali servizi offerti:

  • Analisi del rischio personalizzata per identificare le vulnerabilità specifiche.
  • Implementazione delle misure di sicurezza tecniche e organizzative richieste dal decreto.
  • Supporto nella gestione della formazione per garantire che tutto il personale, inclusi i dirigenti, sia adeguatamente formato sulle nuove responsabilità.
  • Monitoraggio continuo e aggiornamento delle procedure, per assicurare che l’azienda rimanga conforme nel tempo, rispettando le scadenze annuali previste dalla normativa.

Grazie all’esperienza nel settore e alla capacità di gestire progetti complessi, Pratical Group è il partner ideale per affrontare le sfide legate alla sicurezza informatica e garantire la conformità alla NIS 2. Adeguarsi in modo proattivo non solo protegge l’azienda da potenziali sanzioni, ma rafforza anche la sua resilienza contro le crescenti minacce informatiche. Contattaci subito per fissare un appuntamento con i nostri esperti.