La direttiva NIS 2
stabilisce i requisiti principali
che le organizzazioni devono soddisfare
per raggiungere un elevato livello di sicurezza informatica


NIS 2 è parte di una strategia più ampia della Commissione Europea per creare un mercato unico di prodotti e servizi sicuri e resilienti.
La Direttiva NIS2 si integra con varie normative e linee guida europee sulla protezione dei dati e sulla privacy, come il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

direttiva NIS2

Direttiva NIS 2

Cybersecurity

La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell'Unione Europea, rafforza la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cyber crime.

Stato di avanzamento della Direttiva NIS2

// La direttiva (NIS 2) dovrà essere adottata dall’Italia entro il 17 ottobre 2024.
 >Visualizza la Direttiva 2022/2555 (NIS2)

// il 10 giugno 2024 il Consiglio dei Ministri approva la bozza del Decreto attuativo, oltre alle categorie individuate dalla Direttiva UE, la bozza del decreto include anche le Pubbliche Amministrazioni fino a livello locale.
>Visualizza la bozza di decreto

// 1 ottobre 2024 pubblicazione in Gazzetta ufficiale del d.lgs 138 del 04/09/2024 – in vigore dal 16/10/2024.

>Visualizza il d.lgs 138 del 04/09/2024

01/12/2024 Attiva la piattaforma su digitale su ACN per la registrazione delle organizzazioni (chiusura 28/02/2025)


Quali sono le misure richieste per raggiungere la conformità alla NIS 2

1.

Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.

2.

Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche.

3.

Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi.

4.

Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

5.

Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.

6.

Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica.

7.

Pratiche di igiene di base e di formazione in materia di sicurezza informatica.

8.

Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura.

9.

Sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti.

10.

Uso di soluzioni di autenticazione a più fattori, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

11.

Vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi.

12.

I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi (1à notifica entro 24 ore)

  • NIS 2 diventa lo standard di riferimento applicabile dalle Organizzazioni che devono o vogliono raggiungere un elevato livello di cybersecurity per proteggere i propri asset digitali e garantire la sicurezza dei dati in conformità dell’art. 32 del Reg. UE 2016/679 (GDPR), per alcune categorie di Organizzazioni pubbliche o private operanti nei Settori essenziali e nei Settori importanti è previsto l’obbligo di adeguamento con sanzioni che raggiungono i 10 e 7 milioni di euro rispettivamente. 
    Per quanto concerne la destinazione degli introiti delle sanzioni, si ricorda che ai sensi del decreto-legge n. 82/2021, già attualmente i proventi delle sanzioni irrogate dall’Agenzia ai sensi di quanto previsto dal decreto legislativo che recepisce la direttiva europea e relative norme attuative, costituiscono entrate dell’Agenzia per la cybersicurezza nazionale (art. 11, co. 2, lett. f)).
  • Sono interessate le pubbliche amministrazioni, gli operatori dei servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico, Aziende nei settori: trasporti, energia, fornitura acqua potabile e acque reflue, settore bancario, sanitario e finanziario e infrastrutture digitali, ma anche produttori di apparati elettronici/elettrici, meccanici, chimici, alimentari e servizi digitali.

Come fare ?

1. Controlla qui sotto se la tua Organizzazione rientra nei settori definiti essenziali o importanti.

2. Se la tua Organizzazione ha l'obbligo di adeguarsi alla NIS 2, registrati sulla piattaforma di A.C.N., la registrazione è abilitata solo nei mesi di gennaio e febbraio di ogni anno.
N.B.: ai sensi dell'art. 38 c.10 è applicabile una sanzione amministrativa pecuniaria per omessa registrazione tra le organizzazioni appartenenti ai settori essenziali o importanti.

3. Elabora un piano di adeguamento implementando le misure tecniche richieste, con l'aiuto di un

consulente nis 2 completa l'adeguamento con un manuale riportante le procedure scelte e le misure tecniche utilizzate, infine documenta di aver somministrato la formazione sulla sicurezza informatica per il personale.

4. Controlla periodicamente lo stato di conformità con audit e aggiorna il manuale delle procedure.

Vuoi sapere se rientri nel perimetro di applicazione NIS 2 ?
Verificalo qui sotto, e se lo vorrai, proseguendo avrai subito un preventivo personalizzato...

GET STARTED

Grazie, il preventivo è già stato inviato alla Sua email.

Step 2 - Verifica

Le Pubbliche Amministrazioni centrali, regionali e locali indipendentemente dalle loro dimensioni e anche per le Pubbliche Amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 hanno l'obbligo di adeguamento.


Se vuoi ricevere un preventivo immediato clicca su "Prosegui >".


You need to select an item to continue

Step 3 - Allegato IV

E’ un’attività compresa nell’allegato IV, l'adempimento è obbligatorio.

Se vuoi ricevere un preventivo per l’adeguamento clicca su prosegui.


You need to select an item to continue

Step 4 - Settore

Indicare il settore di appartenenza, oppure premi su "Prosegui >" se non di pertinenza.




















You need to select an item to continue

Step 5 - Dimensioni azienda

L'azienda è una media o grande impresa (con un fatturato > di € 10.000.000 e almeno 50 dipendenti) ? 

You need to select an item to continue

Step 6 - Analisi azienda

La tua Organizzazione è nei settori riportati negli allegati I e II che hanno l'obbligo di adeguarsi al d.lgs 138 del 4 settembre 2024.

L'art. 3 co. 2. prevede che:

"Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE."


Ti consigliamo di contattarci per maggiori approfondimenti.

Bugfixing s.r.l.

Tel. 0341 700086

email: info@bugfixing.it


Se desideri simulare un preventivo immediato per l'adeguamento NIS2 per la tua Azienda clicca su prosegui.

You need to select an item to continue

Step 7 - Esito

La tua organizzazione non ha l'obbligo di adeguarsi alla normativa.

Tuttavia:

A) l'art. 3, co.9 del D.lgs 138/2024 ritiene necessario l'adempimento anche per le aziende censite nell'allegato I e II se:

- a) il soggetto sia identificato prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65;

- b) il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;

- c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;

- d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

- e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;

- f) il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.


B) Potresti essere un fornitore di aziende operanti in settori critici o altamente critici oppure di Pubbliche Amministrazioni ed in questi casi, per mantenere elevata la sicurezza sulla supply chain è necessario adeguarsi volontariamente (cfr. art-3, co. 9 lettera f), d.lgs 138/2024)


Anche se non hai un obbligo cogente da rispettare, implementare le buone prassi di sicurezza per raggiungere un livello elevato di sicurezza permette di proteggere i propri asset digitali e di ridurre notevolmente i rischi di subire attacchi hacker.

Se desideri simulare un preventivo personalizzato, clicca su prosegui:


You need to select an item to continue

Step 8 - Dati di contatto

Inserisci i tuoi dati

N.B. l'informativa sul trattamento dei dati personali è disponibile qui

You need to select an item to continue

Step 9 - Numero dipendenti


You need to select an item to continue

Step 10 - Backup

You need to select an item to continue

Step 11 - Crittografia

Hai già un sistema di crittografia ?

You need to select an item to continue

Step 12 - MFA

Hai già un servizio di autenticazione multifattore?


You need to select an item to continue

Step 13 - Penetration test

Sono necessari controlli di sicurezza continui con penetration test, sulla rete e sulle risorse web.

* Il costo indicato si riferisce a reti con un numero massimo di 100 IP, se eccedente, il costo è stimato in funzione del numero di operatori.


You need to select an item to continue

Step 17 - Quotazione

Prezzo e piano di adeguamento

Il costo annuale (iva esclusa) per l’adeguamento al decreto legislativo di recepimento della direttiva NIS2 è di

[total]

N.B. la quotazione sarà approvata dopo ns. verifica.

Il servizio prevede l'affiancamento per 36 mesi, e sarà fatturato in rate semestrali.



Modalità di esecuzione:

Vi sarà assegnato un cybersecurity manager che Vi assisterà programmando videocall periodiche.

Il tempo stimato per raggiungere l'adeguamento è di circa 10 settimane, organizzando indicativamente una videocall settimanale di circa 1 ora.


Fase 1) Security Assessment

Nei primi 15 giorni, sarà effettuato un Audit sull'infrastruttura informatica per valutare la sicurezza complessiva e delle misure già in essere.

Fase 2) Formazione

La quotazione prevede la formazione per [item-343_quantity] dipendenti;

I corsi di formazione saranno somministrati in modalità (FAD) on-demand con accesso alla piattaforma che prevede il rilascio degli attestati di partecipazione.

Fase 3) Sessioni di affiancamento con il cybersecurity manager

Il cybersecurity manager Vi guiderà passo passo ad implementare le misure tecniche mancanti.

* il servizio di disaster recovery non è incluso nel preventivo, se non fosse già presente, l'acquisto è da considerarsi a carico Vostro.

Per tutta la durata del servizio sono previsti incontri periodici dedicati all'applicazione delle misure di mitigazione dei rischi in funzione delle vulnerabilità individuate dai penetration test.

Altri servizi inclusi (se esplicitamente richiesti e preventivati):

- stesura del manuale personalizzato delle politiche e procedure di sicurezza da adottare;

- noleggio per 36 mesi di un apparato per eseguire penetration test automatizzati;

- su richiesta, saranno programmati audit di sicurezza da remoto sui fornitori con penetration test a campione;

- ricerca sul darkweb e monitoraggio sulla compromissione delle credenziali;

- fornitura di un dispositivo per ogni utente e supporto per l'autenticazione multifattore.


PREMI SU PROSEGUI> SE VUOI RICEVERE IL PREVENTIVO DETTAGLIATO E LE MODALITA' DI SERVIZIO NELLA TUA EMAIL.

You need to select an item to continue

Step 16 - Comunicazione di contatto

Siamo spiacenti, non riusciamo ad elaborare il preventivo in modo automatizzato, ti contatteremo a breve per ulteriori informazioni.

Grazie.

You need to select an item to continue

Step 14 - Formazione per il personale

E’ prevista la formazione obbligatoria sulla sicurezza per il personale che utilizza strumenti informatici.

I discenti potranno frequentare i corsi on demand (f.a.d.) con rilascio dell'attestato di partecipazione.

Scegli il numero di ore di formazione da preventivare (nei 3 anni).

N.B. Il costo preventivato è scontato in funzione del numero di corsi e del numero dei partecipanti.




You need to select an item to continue

Step 15 - Redazione Manuale delle procedure

Desideri aggiungere al preventivo la redazione del manuale delle politiche e delle procedure di sicurezza da adottare nella tua organizzazione?

N.B. Il manuale è fondamentale ed obbligatorio.


You need to select an item to continue

Abbiamo fatto!

Il costo annuale è di

Dettaglio

Descrizione Informazioni Quantità Prezzo
Codice
Totale

www.direttivanis2.eu è un sito di