La direttiva NIS 2
stabilisce i requisiti principali
che le organizzazioni devono soddisfare
per raggiungere un elevato livello di sicurezza informatica
Direttiva NIS 2
Cybersecurity
La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell'Unione Europea, rafforza la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cyber crime.
Stato di avanzamento della Direttiva NIS2
// La direttiva (NIS 2) dovrà essere adottata dall’Italia entro il 17 ottobre 2024.
>Visualizza la Direttiva 2022/2555 (NIS2)
* * *
// il 10 giugno 2024 il Consiglio dei Ministri approva la bozza del Decreto attuativo, oltre alle categorie individuate dalla Direttiva UE, la bozza del decreto include anche le Pubbliche Amministrazioni fino a livello locale.
>Visualizza la bozza di decreto
* * *
// 1 ottobre 2024 pubblicazione in Gazzetta ufficiale del d.lgs 138 del 04/09/2024 – in vigore dal 16/10/2024.
>Visualizza il d.lgs 138 del 04/09/2024
* * *
01/12/2024 Attiva la piattaforma su digitale su ACN per la registrazione delle organizzazioni (chiusura 28/02/2025)
* * *
> Il Tavolo per l’attuazione della disciplina NIS si è riunito lo scorso 10 aprile per esaminare, tra l’altro, le specifiche di base per l’adempimento degli obblighi derivanti dalla nuova normativa NIS.
I Soggetti importanti dovranno implementare 37 misure, declinate in 87 requisiti, stabiliti dall’ ALLEGATO 1 della determinazione ACN 164179 del 14 aprile 2025.
I soggetti essenziali, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti indicati nell’ ALLEGATO 2 .
• in materia di notifica degli incidenti significativi (ex articolo 25). In particolare, sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti in quanto essi saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti.
* * *
Quali sono le misure richieste per raggiungere la conformità alla NIS 2
1.
Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
2.
Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche.
3.
Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi.
4.
Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
5.
Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
6.
Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica.
7.
Pratiche di igiene di base e di formazione in materia di sicurezza informatica.
8.
Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura.
9.
Sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti.
10.
Uso di soluzioni di autenticazione a più fattori, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
11.
Vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi.
12.
I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi (1à notifica entro 24 ore)
- Euro NIS 2 diventa lo standard di riferimento applicabile dalle Organizzazioni che devono o vogliono raggiungere un elevato livello di cybersecurity per proteggere i propri asset digitali e garantire la sicurezza dei dati in conformità dell’art. 32 del Reg. UE 2016/679 (GDPR), per alcune categorie di Organizzazioni pubbliche o private operanti nei Settori essenziali e nei Settori importanti è previsto l’obbligo di adeguamento con sanzioni che raggiungono i 10 e 7 milioni di euro rispettivamente.
* Per quanto concerne la destinazione degli introiti delle sanzioni, si ricorda che ai sensi del decreto-legge n. 82/2021, già attualmente i proventi delle sanzioni irrogate dall’Agenzia ai sensi di quanto previsto dal decreto legislativo che recepisce la direttiva europea e relative norme attuative, costituiscono entrate dell’Agenzia per la cybersicurezza nazionale (art. 11, co. 2, lett. f)). - Sono interessate le pubbliche amministrazioni, gli operatori dei servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico, Aziende nei settori: trasporti, energia, fornitura acqua potabile e acque reflue, settore bancario, sanitario e finanziario e infrastrutture digitali, ma anche produttori di apparati elettronici/elettrici, meccanici, chimici, alimentari e servizi digitali.
Come fare ?
1. Controlla qui sotto se la tua Organizzazione rientra nei settori definiti essenziali o importanti.
2. Se la tua Organizzazione ha l'obbligo di adeguarsi alla direttiva Euro NIS 2, registrati sulla piattaforma di A.C.N., la registrazione è abilitata solo nei mesi di gennaio e febbraio di ogni anno.
N.B.: ai sensi dell'art. 38 c.10 è applicabile una sanzione amministrativa pecuniaria per omessa registrazione tra le organizzazioni appartenenti ai settori essenziali o importanti.
3. Elabora un piano di adeguamento implementando le misure tecniche richieste, con l'aiuto di un
consulente nis 2 completa l'adeguamento con un manuale riportante le procedure scelte e le misure tecniche utilizzate, infine documenta di aver somministrato la formazione sulla sicurezza informatica per il personale.
4. Controlla periodicamente lo stato di conformità con audit e aggiorna il manuale delle procedure.
Siamo specialisti di cybersecurity e NIS2 compliance, chiedici un preventivo personalizzato...
Grazie, il preventivo è già stato inviato alla Sua email.
Step 1
Step 2 - Verifica
Le Pubbliche Amministrazioni centrali, regionali e locali indipendentemente dalle loro dimensioni e anche per le Pubbliche Amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 hanno l'obbligo di adeguamento.
Se vuoi ricevere un preventivo immediato clicca su "Prosegui >".
Step 3 - Allegato IV
E’ un’attività compresa nell’allegato IV, l'adempimento è obbligatorio.
Se vuoi ricevere un preventivo per l’adeguamento clicca su prosegui.
Step 4 - Settore
Indicare il settore di appartenenza, oppure premi su "Prosegui >" se non di pertinenza.
Step 5 - Dimensioni azienda
Step 6 - Analisi azienda
La tua Organizzazione è nei settori riportati negli allegati I e II che hanno l'obbligo di adeguarsi al d.lgs 138 del 4 settembre 2024.
L'art. 3 co. 2. prevede che:
"Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE."
Ti consigliamo di contattarci per maggiori approfondimenti.
Bugfixing s.r.l.
Tel. 0341 700086
email: info@bugfixing.it
Se desideri simulare un preventivo immediato per l'adeguamento NIS2 per la tua Azienda clicca su prosegui.
Step 7 - Esito
La tua organizzazione non ha l'obbligo di adeguarsi alla normativa.
Tuttavia:
A) l'art. 3, co.9 del D.lgs 138/2024 ritiene necessario l'adempimento anche per le aziende censite nell'allegato I e II se:
- a) il soggetto sia identificato prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65;
- b) il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
- c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
- d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;- e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;- f) il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.B) Potresti essere un fornitore di aziende operanti in settori critici o altamente critici oppure di Pubbliche Amministrazioni ed in questi casi, per mantenere elevata la sicurezza sulla supply chain è necessario adeguarsi volontariamente (cfr. art-3, co. 9 lettera f), d.lgs 138/2024)
Anche se non hai un obbligo cogente da rispettare, implementare le buone prassi di sicurezza per raggiungere un livello elevato di sicurezza permette di proteggere i propri asset digitali e di ridurre notevolmente i rischi di subire attacchi hacker.
Se desideri simulare un preventivo personalizzato, clicca su prosegui:
Step 8 - Dati di contatto
Step 10 - Backup
Step 11 - Crittografia
Step 12 - MFA
Step 13 - Penetration test
Step 17 - Quotazione
Prezzo e piano di adeguamento
Il costo (iva esclusa) per l’adeguamento al decreto legislativo di recepimento della direttiva NIS2 è di
[total]
N.B. la quotazione è indicativa e deve essere approvata dopo ns. verifica.
Il servizio prevede l'affiancamento per 18 mesi, e sarà fatturato in rate semestrali.
Modalità di esecuzione:
|
Codice |
Ambito |
Attività Tecniche e Operative P: procedure A: Audit |
|
a) |
Gestione del rischio |
P GV.OC-04 Interviste ai referenti, mappatura processi e asset critici P GV.RM-03 Valutazione rischi e redazione piano di gestione dei rischi applicando framework di cybersecurity ( MMSICTXPA, FNCS) P ID.RA.05 Valutazione del rischio a seguito dell’analisi dei risultati del primo penetration test P ID.RA.06 Elaborazione del piano di trattamento del rischio Confronto con il management e approvazione |
|
b) |
Ruoli e responsabilità |
P GV.RR-02 Assegnazione ruoli e responsabilità, elenco e raccolta firme |
|
c) |
Affidabilità risorse umane |
P GV.RR-04 Supporto nella definizione dei criteri di valutazione, predisposizione procedure HR |
|
d) |
Conformità e audit di sicurezza |
P GV.PO-01 Definizione politica per la gestione rischi (campo d’applicazione) Confronto con il management e approvazione Stesura manuale A GV.PO-02 – revisione politiche A ID.IM-01 - miglioramenti |
|
e) |
Catena di approvvigionamento |
Valutazione criticità fornitori, analisi contratti esistenti, inserimento requisiti minimi, costruzione inventario e SLA P GV.SC-01 strategia, obiettivi, politiche (discussione check list di controllo) P GV.SC-02 definizioni ruoli e responsabilità (autorizzati, resp. Art. 28 GDPR) P GV.SC-04 censimento fornitori P GV.SC-05 responsabilità contratti (nomina art 28/32 GDPR) P GV.SC-07 valutazione rischi fornitore (prodotti/servizi) |
|
f) |
Gestione degli asset |
Inventario centralizzato hardware/software/servizi, normalizzazione dati ID.AM-01 ID.AM-02 P ID.AM-03 |
|
g) |
Gestione delle vulnerabilità |
Monitoraggio CVE, definizione piano patching, configurazione sistema di ticketing, supporto a implementazione misure correttive D.RA-01 ricerca vulnerabilità P ID.RA-08 procedura gestione vulnerabilità Approvazione management |
|
h) |
Continuità operativa e crisi |
P ID.IM-04 procedura per la gestione back up e resume, gestione crisi (Confronto con a.d.s.) |
|
i) |
Identità e controllo accessi |
Revisione account e privilegi, policy MFA, definizione ruoli IAM, implementazione segregazione logica, audit accessi, Firewall |
|
j) |
Sicurezza fisica |
Site assessment, verifica sistemi controllo accessi, adeguamento policy perimetrali, gestione visitatori |
|
k) |
Formazione e consapevolezza |
Analisi fabbisogno formativo, progettazione contenuti (moduli, quiz), gestione registro formazione, supporto LMS (piattaforma FAD con test e certificato x 50 persone) |
|
l) |
Sicurezza dei dati |
Verifica cifratura dischi e comunicazioni, definizione policy backup e supporti, test ripristino e scansioni AV |
|
m) |
Ciclo di vita dei sistemi |
Mappatura software, verifica aggiornamenti vendor, definizione procedure install/disinstall, log management, sicurezza sviluppo |
|
n) |
Protezione reti e comunicazioni |
Audit firewall, verifica accessi remoti, aggiornamento policy di segregazione, hardening e monitoraggio connessioni esterne |
|
o) |
Monitoraggio eventi sicurezza |
Progettazione architettura EDR, tuning regole di detection, definizione SLA monitoraggio, reportistica periodica |
|
p) |
Risposta e ripristino incidenti |
Definizione runbook incidenti, comunicazioni con CSIRT, costruzione kit risposta (template, form), esercitazione simulata |
Vi sarà assegnato un cybersecurity manager che Vi assisterà programmando videocall periodiche, indicativamente è prevista una videocall settimanale di circa 2 ora.
Formazione
La quotazione prevede la formazione per [item-343_quantity] dipendenti;
I corsi di formazione saranno somministrati in modalità (FAD) on-demand con accesso alla piattaforma che prevede il rilascio degli attestati di partecipazione.
Sessioni di affiancamento con il cybersecurity manager
Il cybersecurity manager Vi guiderà passo passo ad implementare le misure tecniche mancanti.
Per tutta la durata del servizio sono previsti incontri periodici dedicati all'applicazione delle misure di mitigazione dei rischi in funzione delle vulnerabilità individuate dai penetration test.
Sono da considerarsi esclusi (se esplicitamente richiesti e preventivati):
Backup, SW log, Firewall, MFA, Crittografia, licenze per sistemi di comunicazione cifrata.
Quotazione servizi richiesti (se non presenti):
SW inventario € 150 / anno (fino a 50 nodi)
SOC + antivirus ESET € (5+3) x 12 mesi =€ 96/anno per ogni endpoint
PREMI SU PROSEGUI> SE VUOI RICEVERE IL PREVENTIVO DETTAGLIATO E LE MODALITA' DI SERVIZIO NELLA TUA EMAIL.
Step 16 - Comunicazione di contatto
Siamo spiacenti, non riusciamo ad elaborare il preventivo in modo automatizzato, ti contatteremo a breve per ulteriori informazioni.
Grazie.
Step 14 - Formazione per il personale
E’ prevista la formazione obbligatoria per il personale che utilizza strumenti informatici.
I discenti potranno frequentare i corsi on demand (f.a.d.) con rilascio dell'attestato di partecipazione.
Scegli il numero di ore di formazione da preventivare.
N.B. Il costo preventivato è scontato in funzione del numero di corsi e del numero dei partecipanti.
Step 15 - Redazione Manuale delle procedure
Desideri aggiungere al preventivo la redazione del manuale delle politiche e delle procedure di sicurezza da adottare nella tua organizzazione (secondo quanto previsto dall'allegato 1 delle linee guida di ACN)?
N.B. Il manuale è il documento obbligatorio e fondamentale per dimostrare la conformità alla NIS2.
Abbiamo fatto!
Il costo annuale è di
Dettaglio
| Descrizione | Informazioni | Quantità | Prezzo |
|---|---|---|---|
| Codice | |||
| Totale | |||
www.direttivanis2.eu è un sito di