Vai al contenuto
NIS2

FAQ sulla direttiva NIS2 in Italia

·
6 minuti di lettura
HR da una parte, IT dall’altra?
Gestisci dispositivi, licenze e sicurezza da un unico posto. Sincronizzato con le assunzioni e le uscite del tuo team. Scopri Factorial IT
Scritto da

La nuova direttiva NIS2 rappresenta uno spartiacque per la sicurezza informatica in Europa, e ci sono molte aziende in Italia che non sanno come le influenzerà né cosa debbano fare esattamente.

Sei obbligato a rispettarla? Quali sono i rischi se non lo fai? Da dove iniziare?

Queste FAQ offrono risposte chiare e rapide alle domande più frequenti sulla direttiva NIS2 in Italia, affinché tu possa capire quale sia l’impatto e quali passi dovresti iniziare a compiere al più presto.

1. Cos'è la direttiva NIS2 e qual è il suo obiettivo?

La direttiva NIS2 è una normativa europea che ha lo scopo di migliorare la sicurezza informatica (o cybersicurezza) in tutta l’Unione Europea. Il suo obiettivo principale è proteggere meglio le aziende e i servizi essenziali dai cyberattacchi, stabilendo requisiti comuni di sicurezza e gestione dei rischi.

Inoltre, mira a rafforzare la cooperazione tra i Paesi e ad assicurare che le organizzazioni reagiscano rapidamente di fronte agli incidenti di sicurezza.

2. Cosa cambia con la NIS2 rispetto alla NIS1?

Da un lato, la NIS2 amplia l’ambito di applicazione della normativa precedente (NIS1), includendo molte più aziende e settori. Dall’altro, stabilisce regole più severe in materia di gestione dei rischi, notifica degli incidenti e supervisione.

Un’altra differenza chiave è che aumenta la responsabilità della dirigenza aziendale e inasprisce le sanzioni in caso di inadempienza.

3. Quando entra in vigore la NIS2 in Italia?

La direttiva NIS2 è entrata in vigore a livello europeo all’inizio del 2023 e fissava una scadenza improrogabile per tutti i Paesi: il 17 ottobre 2024.

A differenza di altri Stati membri, l’Italia ha rispettato le tempistiche stabilite. Il Governo italiano ha recepito la normativa attraverso il Decreto Legislativo 138/2024, entrato ufficialmente in vigore il 16 ottobre 2024.

Inoltre, da dicembre 2024, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha abilitato la propria piattaforma ufficiale affinché i soggetti obbligati inizino il loro processo di registrazione e adeguamento.

📌 Approfondisci quando entra in vigore la direttiva NIS2 in Italia.

4. Quali aziende sono obbligate a rispettare la NIS2?

La direttiva NIS2 si applica alle aziende considerate soggetti essenziali e importanti, ovvero a quelle che svolgono attività in settori critici o che hanno un impatto significativo sull’economia o sulla società.

In generale, riguarda le medie e grandi imprese (più di 50 dipendenti o più di 10 milioni di euro di fatturato), sebbene possa includere anche organizzazioni più piccole se la loro attività è particolarmente critica.

📌 Approfondisci chi è interessato dalla direttiva NIS2 in Italia.

5. Quali settori sono interessati dalla NIS2?

La direttiva NIS2 distingue tra settori ad alta criticità (soggetti essenziali) e altri settori critici (soggetti importanti).

Settori ad alta criticità:

  • Energia.

  • Trasporti.

  • Settore bancario.

  • Infrastrutture dei mercati finanziari.

  • Salute.

  • Acqua potabile.

  • Acque reflue.

  • Infrastrutture digitali.

  • Gestione dei servizi TIC (fornitori di servizi gestiti).

  • Pubblica Amministrazione.

  • Spazio.

Altri settori critici:

  • Servizi postali e di corriere.

  • Gestione dei rifiuti.

  • Fabbricazione, produzione e distribuzione di prodotti chimici.

  • Produzione, trasformazione e distribuzione di alimenti.

  • Fabbricazione (inclusi macchinari, veicoli, elettronica, ecc.).

  • Fornitori di servizi digitali (marketplace online, motori di ricerca, social network).

  • Ricerca.

6. La NIS2 interessa le PMI o solo le grandi aziende?

Sebbene la nuova direttiva NIS2 sia orientata fondamentalmente alle medie e grandi imprese, in alcuni casi può arrivare a coinvolgere le PMI. Ad esempio, se fanno parte della catena di fornitura di un’azienda obbligata o se operano in settori critici.

Nella pratica, molte PMI dovranno adeguarsi indirettamente, poiché i loro clienti o partner richiederanno loro di rispettare determinati requisiti di cybersicurezza.

7. Cosa sono i soggetti essenziali e importanti?

La NIS2 classifica le aziende in due grandi gruppi:

  • Soggetti essenziali: sono organizzazioni di settori ad alta criticità (come energia, trasporti o salute) e sono soggette a un livello di supervisione maggiore.

  • Soggetti importanti: appartengono ad altri settori rilevanti, ma con un livello di criticità leggermente inferiore.

📌 Approfondisci la differenza tra enti essenziali e enti importanti.

8. Se sono un fornitore o faccio parte della catena di fornitura, la NIS2 mi riguarda?

Sì, anche se non sei direttamente obbligato, la direttiva NIS2 può riguardarti ugualmente se fai parte della catena di fornitura di un’azienda che lo è.

Le organizzazioni obbligate devono garantire la sicurezza dei propri fornitori, per cui è normale che inizino a richiedere misure di sicurezza informatica, audit o certificazioni a terzi.

Nella pratica, molte aziende dovranno adeguarsi alla NIS2 in modo indiretto per poter continuare a lavorare con i propri clienti.

9. Quali obblighi impone la NIS2 alle aziende?

La NIS2 stabilisce una serie di obblighi incentrati sulla gestione proattiva della cybersicurezza e sulla mitigazione dei rischi. Tra i principali spiccano:

  • Governance e responsabilità aziendale: l’alta direzione è la responsabile ultima della sicurezza informatica, deve approvare le misure e definire ruoli chiari (e si assume la responsabilità in caso di negligenza).

  • Gestione dei rischi di cybersicurezza: valutare e gestire costantemente i rischi che interessano i sistemi informatici, le reti e i servizi fisici.

  • Misure di sicurezza tecnica e organizzativa: implementare rigidi controlli degli accessi, autenticazione a più fattori (MFA), crittografia dei dati, protezione dell’infrastruttura e igiene informatica di base.

  • Gestione della catena di fornitura: assicurarsi che i fornitori diretti e i prestatori di servizi rispettino requisiti di cybersicurezza equivalenti per prevenire attacchi da parte di terzi.

  • Notifica degli incidenti: segnalare minacce gravi e incidenti di sicurezza alle autorità competenti rispettando rigorosamente le tempistiche legali (24 ore, 72 ore e 1 mese).

  • Test e audit: condurre valutazioni periodiche, audit di sicurezza e simulazioni per misurare l’efficacia delle misure adottate.

  • Sensibilizzazione e formazione: formare in modo obbligatorio e periodico tutto il personale (compresa la dirigenza) sulla sicurezza informatica e sulle buone pratiche.

  • Piani di continuità e ripristino: garantire che l’azienda possa continuare a operare e riprendersi rapidamente dopo un incidente grave (tramite piani di disaster recovery e backup sicuri).

  • Reportistica e documentazione: mantenere un registro documentato di tutte le policy, le misure adottate, le evidenze e le valutazioni dei rischi.

  • Cooperazione con le autorità e altri enti: collaborare con gli organismi nazionali e internazionali e partecipare a reti di condivisione delle informazioni sulle minacce informatiche.

10. Come devono essere notificati gli incidenti di sicurezza?

La NIS2 è estremamente severa riguardo ai tempi di risposta. Obbliga le aziende a notificare all’autorità nazionale competente (in Italia, il CSIRT Italia, gestito dall’ACN) qualsiasi incidente significativo seguendo un modello a fasi inamovibile:

  • Preallarme: entro un massimo di 24 ore da quando si viene a conoscenza dell’incidente, deve essere inviato un primo avviso (anche se non si hanno ancora tutti i dettagli).

  • Notifica formale: entro un massimo di 72 ore, deve essere inviato un aggiornamento che includa una valutazione iniziale dell’incidente, la sua gravità e il suo impatto.

  • Rapporto finale: entro un massimo di 1 mese, deve essere consegnato un documento che dettagli l’analisi completa del cyberattacco, le conseguenze reali e le misure di mitigazione adottate.

La NIS2 obbliga le aziende a segnalare qualsiasi incidente di cybersicurezza che colpisca i servizi essenziali. La notifica deve essere fatta all’autorità nazionale competente. Le tempistiche dipendono dalla gravità dell’incidente: in genere da 24 a 72 ore dalla sua rilevazione. Devono essere inclusi dettagli sul tipo di incidente, sul suo impatto e sulle misure adottate.

11. La direzione aziendale ha responsabilità legali con la NIS2?

Sì, totali e assolute. La NIS2 elimina alla radice la scusa che “la cybersicurezza è solo un problema del dipartimento informatico” e pone la responsabilità direttamente sulle spalle del consiglio di amministrazione e dell’alta direzione. Questo si traduce in due obblighi critici:

  • Formazione obbligatoria: i dirigenti sono obbligati a formarsi regolarmente in materia di cybersicurezza per comprendere i rischi tecnologici del proprio settore e poter valutare correttamente le misure implementate.

  • Responsabilità diretta per negligenza: se un’azienda subisce un incidente grave per non aver approvato o applicato le misure richieste, i dirigenti possono essere ritenuti legalmente responsabili a livello personale. Infatti, nel caso dei soggetti essenziali, le autorità possono arrivare a sospendere temporaneamente i vertici aziendali dalle loro funzioni direttive.

12. Come iniziare ad adeguarsi alla NIS2?

L’adeguamento alla NIS2 non avviene dall’oggi al domani. Le aziende dovrebbero seguire questa tabella di marcia:

  • Classificazione e ambito d’applicazione: Identificare formalmente se l’azienda è obbligata dalla legge, in quale categoria rientra (soggetto essenziale o importante) e procedere alla registrazione ufficiale attraverso la piattaforma abilitata dall’ACN.

  • Coinvolgimento della direzione: informare l’alta direzione sulle sue nuove responsabilità legali e assicurare il budget necessario per l’adeguamento.

  • Audit iniziale: valutare lo stato attuale della cybersicurezza in azienda rispetto ai requisiti della NIS2 per individuare le lacune esistenti e valutare la criticità dei sistemi.

  • Piano d’azione: implementare le soluzioni necessarie per colmare tali lacune: sicurezza delle reti, backup immutabili, controllo degli accessi (MFA), crittografia, ecc.

  • Protocolli di risposta e notifica: definire e documentare processi chiari per sapere come agire di fronte a un attacco e assicurarsi di poter notificare le autorità competenti entro le prime 24 ore.

  • Blindare la catena di fornitura: rivedere i contratti con i fornitori tecnologici e i prestatori di servizi, esigendo che rispettino requisiti di cybersicurezza equivalenti.

  • Sensibilizzazione continua: formare periodicamente tutto il personale (compresi i dirigenti) per creare una vera cultura della cybersicurezza e prevenire errori umani.

13. Esistono software specifici per conformarsi alla direttiva NIS2?

Sì, esistono strumenti progettati per facilitare la conformità alla NIS2, sebbene non esista un unico software ufficiale. Queste soluzioni aiutano a gestire i rischi, documentare i controlli e assicurare il rispetto dei requisiti della direttiva. Tra le più importanti:

  • Piattaforme GRC (Governance, Risk & Compliance): consentono di centralizzare la gestione dei rischi, delle policy e degli audit.

  • Software specifico per la NIS2: strumenti che aiutano a documentare le misure di sicurezza, gli incidenti e le prove di conformità.

  • Soluzioni tecniche di cybersicurezza: SIEM, EDR e monitoraggio delle reti per rilevare e rispondere agli incidenti.

  • Consulenze o risorse esterne: servizi specializzati che aiutano ad adattare i processi e a formare il personale nel rispetto della normativa.

14. Quali sono le sanzioni per l'inosservanza della NIS2?

La non conformità alla NIS2 innalza il rischio finanziario a un livello completamente nuovo, equiparando le multe per la cybersicurezza a quelle che già conosciamo per la protezione dei dati (GDPR). Le sanzioni per inadempienza alla NIS2 si dividono in due fasce in base alla classificazione dell’azienda:

  • Per i soggetti essenziali: multe fino a 10 milioni di euro o il 2% del fatturato totale annuo a livello mondiale dell’esercizio precedente (si applicherà sempre la cifra più alta).

  • Per i soggetti importanti: multe fino a 7 milioni di euro o l’1,4% del fatturato totale annuo a livello mondiale (la cifra più alta).

Oltre al danno economico, le autorità possono imporre audit periodici (pagati dall’azienda trasgressore), pretendere che l’inadempienza venga resa pubblica (con l’enorme danno reputazionale che ne consegue) e persino sospendere le autorizzazioni dell’azienda a operare o fornire servizi.

Post correlati