La direttiva NIS 2
stabilisce i requisiti principali
che le organizzazioni devono soddisfare
per raggiungere un elevato livello di sicurezza informatica
Direttiva NIS 2
Cybersecurity
La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell'Unione Europea, rafforza la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cyber crime.
Stato di avanzamento della Direttiva NIS2
// La direttiva (NIS 2) dovrà essere adottata dall’Italia entro il 17 ottobre 2024.
>Visualizza la Direttiva 2022/2555 (NIS2)
* * *
// il 10 giugno 2024 il Consiglio dei Ministri approva la bozza del Decreto attuativo, oltre alle categorie individuate dalla Direttiva UE, la bozza del decreto include anche le Pubbliche Amministrazioni fino a livello locale.
>Visualizza la bozza di decreto
* * *
// 1 ottobre 2024 pubblicazione in Gazzetta ufficiale del d.lgs 138 del 04/09/2024 – in vigore dal 16/10/2024.
>Visualizza il d.lgs 138 del 04/09/2024
* * *
01/12/2024 Attiva la piattaforma su digitale su ACN per la registrazione delle organizzazioni (chiusura 28/02/2025)
* * *
> Il Tavolo per l’attuazione della disciplina NIS si è riunito lo scorso 10 aprile per esaminare, tra l’altro, le specifiche di base per l’adempimento degli obblighi derivanti dalla nuova normativa NIS.
I Soggetti importanti dovranno implementare 37 misure, declinate in 87 requisiti, stabiliti dall’ ALLEGATO 1 della determinazione ACN 164179 del 14 aprile 2025.
I soggetti essenziali, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti indicati nell’ ALLEGATO 2 .
• in materia di notifica degli incidenti significativi (ex articolo 25). In particolare, sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti in quanto essi saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti.
* * *
Quali sono le misure richieste per raggiungere la conformità alla NIS 2
1.
Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
2.
Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche.
3.
Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi.
4.
Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
5.
Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
6.
Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica.
7.
Pratiche di igiene di base e di formazione in materia di sicurezza informatica.
8.
Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura.
9.
Sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti.
10.
Uso di soluzioni di autenticazione a più fattori, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
11.
Vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi.
12.
I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi (1à notifica entro 24 ore)
- Euro NIS 2 diventa lo standard di riferimento applicabile dalle Organizzazioni che devono o vogliono raggiungere un elevato livello di cybersecurity per proteggere i propri asset digitali e garantire la sicurezza dei dati in conformità dell’art. 32 del Reg. UE 2016/679 (GDPR), per alcune categorie di Organizzazioni pubbliche o private operanti nei Settori essenziali e nei Settori importanti è previsto l’obbligo di adeguamento con sanzioni che raggiungono i 10 e 7 milioni di euro rispettivamente.
* Per quanto concerne la destinazione degli introiti delle sanzioni, si ricorda che ai sensi del decreto-legge n. 82/2021, già attualmente i proventi delle sanzioni irrogate dall’Agenzia ai sensi di quanto previsto dal decreto legislativo che recepisce la direttiva europea e relative norme attuative, costituiscono entrate dell’Agenzia per la cybersicurezza nazionale (art. 11, co. 2, lett. f)). - Sono interessate le pubbliche amministrazioni, gli operatori dei servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico, Aziende nei settori: trasporti, energia, fornitura acqua potabile e acque reflue, settore bancario, sanitario e finanziario e infrastrutture digitali, ma anche produttori di apparati elettronici/elettrici, meccanici, chimici, alimentari e servizi digitali.
Come fare ?
1. Controlla qui sotto se la tua Organizzazione rientra nei settori definiti essenziali o importanti.
2. Se la tua Organizzazione ha l'obbligo di adeguarsi alla direttiva Euro NIS 2, registrati sulla piattaforma di A.C.N., la registrazione è abilitata solo nei mesi di gennaio e febbraio di ogni anno.
N.B.: ai sensi dell'art. 38 c.10 è applicabile una sanzione amministrativa pecuniaria per omessa registrazione tra le organizzazioni appartenenti ai settori essenziali o importanti.
3. Elabora un piano di adeguamento implementando le misure tecniche richieste, con l'aiuto di un
consulente nis 2 completa l'adeguamento con un manuale riportante le procedure scelte e le misure tecniche utilizzate, infine documenta di aver somministrato la formazione sulla sicurezza informatica per il personale.
4. Controlla periodicamente lo stato di conformità con audit e aggiorna il manuale delle procedure.
Vuoi sapere se rientri nel perimetro di applicazione NIS 2 ?
Verificalo qui sotto, e se lo vorrai, proseguendo avrai subito un preventivo personalizzato...
Grazie, il preventivo è già stato inviato alla Sua email.
Step 1
Step 2 - Verifica
Le Pubbliche Amministrazioni centrali, regionali e locali indipendentemente dalle loro dimensioni e anche per le Pubbliche Amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 hanno l'obbligo di adeguamento.
Se vuoi ricevere un preventivo immediato clicca su "Prosegui >".
Step 3 - Allegato IV
E’ un’attività compresa nell’allegato IV, l'adempimento è obbligatorio.
Se vuoi ricevere un preventivo per l’adeguamento clicca su prosegui.
Step 4 - Settore
Indicare il settore di appartenenza, oppure premi su "Prosegui >" se non di pertinenza.
Step 5 - Dimensioni azienda
Step 6 - Analisi azienda
La tua Organizzazione è nei settori riportati negli allegati I e II che hanno l'obbligo di adeguarsi al d.lgs 138 del 4 settembre 2024.
L'art. 3 co. 2. prevede che:
"Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE."
Ti consigliamo di contattarci per maggiori approfondimenti.
Bugfixing s.r.l.
Tel. 0341 700086
email: info@bugfixing.it
Se desideri simulare un preventivo immediato per l'adeguamento NIS2 per la tua Azienda clicca su prosegui.
Step 7 - Esito
La tua organizzazione non ha l'obbligo di adeguarsi alla normativa.
Tuttavia:
A) l'art. 3, co.9 del D.lgs 138/2024 ritiene necessario l'adempimento anche per le aziende censite nell'allegato I e II se:
- a) il soggetto sia identificato prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65;
- b) il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
- c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
- d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;- e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;- f) il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.B) Potresti essere un fornitore di aziende operanti in settori critici o altamente critici oppure di Pubbliche Amministrazioni ed in questi casi, per mantenere elevata la sicurezza sulla supply chain è necessario adeguarsi volontariamente (cfr. art-3, co. 9 lettera f), d.lgs 138/2024)
Anche se non hai un obbligo cogente da rispettare, implementare le buone prassi di sicurezza per raggiungere un livello elevato di sicurezza permette di proteggere i propri asset digitali e di ridurre notevolmente i rischi di subire attacchi hacker.
Se desideri simulare un preventivo personalizzato, clicca su prosegui:
Step 8 - Dati di contatto
Step 10 - Backup
Step 11 - Crittografia
Step 12 - MFA
Step 13 - Penetration test
Step 17 - Quotazione
Prezzo e piano di adeguamento
Il costo annuale (iva esclusa) per l’adeguamento al decreto legislativo di recepimento della direttiva NIS2 è di
[total]
N.B. la quotazione sarà approvata dopo ns. verifica.
Il servizio prevede l'affiancamento per 36 mesi, e sarà fatturato in rate semestrali.
Modalità di esecuzione:
Vi sarà assegnato un cybersecurity manager che Vi assisterà programmando videocall periodiche.
Il tempo stimato per raggiungere l'adeguamento è di circa 10 settimane, organizzando indicativamente una videocall settimanale di circa 1 ora.
Fase 1) Security Assessment
Nei primi 15 giorni, sarà effettuato un Audit sull'infrastruttura informatica per valutare la sicurezza complessiva e delle misure già in essere.
Fase 2) Formazione
La quotazione prevede la formazione per [item-343_quantity] dipendenti;
I corsi di formazione saranno somministrati in modalità (FAD) on-demand con accesso alla piattaforma che prevede il rilascio degli attestati di partecipazione.
Fase 3) Sessioni di affiancamento con il cybersecurity manager
Il cybersecurity manager Vi guiderà passo passo ad implementare le misure tecniche mancanti.
* il servizio di disaster recovery non è incluso nel preventivo, se non fosse già presente, l'acquisto è da considerarsi a carico Vostro.
Per tutta la durata del servizio sono previsti incontri periodici dedicati all'applicazione delle misure di mitigazione dei rischi in funzione delle vulnerabilità individuate dai penetration test.
Altri servizi inclusi (se esplicitamente richiesti e preventivati):
- stesura del manuale personalizzato delle politiche e procedure di sicurezza da adottare;
- noleggio per 36 mesi di un apparato per eseguire penetration test automatizzati;
- su richiesta, saranno programmati audit di sicurezza da remoto sui fornitori con penetration test a campione;
- ricerca sul darkweb e monitoraggio sulla compromissione delle credenziali;
- fornitura di un dispositivo per ogni utente e supporto per l'autenticazione multifattore.
PREMI SU PROSEGUI> SE VUOI RICEVERE IL PREVENTIVO DETTAGLIATO E LE MODALITA' DI SERVIZIO NELLA TUA EMAIL.
Step 16 - Comunicazione di contatto
Siamo spiacenti, non riusciamo ad elaborare il preventivo in modo automatizzato, ti contatteremo a breve per ulteriori informazioni.
Grazie.
Step 14 - Formazione per il personale
E’ prevista la formazione obbligatoria sulla sicurezza per il personale che utilizza strumenti informatici.
I discenti potranno frequentare i corsi on demand (f.a.d.) con rilascio dell'attestato di partecipazione.
Scegli il numero di ore di formazione da preventivare (nei 3 anni).
N.B. Il costo preventivato è scontato in funzione del numero di corsi e del numero dei partecipanti.
Step 15 - Redazione Manuale delle procedure
Abbiamo fatto!
Il costo annuale è di
Dettaglio
| Descrizione | Informazioni | Quantità | Prezzo |
|---|---|---|---|
| Codice | |||
| Totale | |||
www.direttivanis2.eu è un sito di