La conformità alla direttiva NIS2, spiegata in 15 minuti

Consulenza gratuita di 15 minuti

Durante la consulenza gratuita e senza impegno con uno specialista Trustlinks locale, valuteremo insieme se la direttiva UE NIS2 possa essere applicabile alla tua organizzazione e quali siano in genere gli aspetti da considerare per la conformità. La conversazione ha solo scopo informativo e non costituisce una consulenza legale.

LA DIRETTIVA NIS2 IN SINTESI

Cos'è la direttiva NIS2?

La direttiva NIS2 (UE) 2022/2555 è la nuova normativa dell’Unione Europea in materia di sicurezza informatica. Amplia notevolmente l’ambito di applicazione della direttiva NIS originale, coprendo un numero molto maggiore di settori e aziende di diverse dimensioni, e inasprisce i requisiti in materia di gestione dei rischi, segnalazione degli incidenti, sicurezza della catena di approvvigionamento e responsabilità del management. Gli Stati membri dell’UE dovevano recepire la NIS2 nel diritto nazionale entro il 17 ottobre 2024, e ora le autorità nazionali la stanno applicando attivamente.

CHI È INTERESSATO

La direttiva NIS2 si applica alla tua organizzazione?

La NIS2 suddivide le organizzazioni interessate in due livelli: entità “essenziali” e “importanti”, che in genere comprendono le medie e grandi imprese (con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro) nei settori indicati di seguito. Alcuni fornitori critici rientrano nell’ambito di applicazione indipendentemente dalle loro dimensioni.

Entità essenziali Massima vigilanza e multe più severe
Entità importanti Vigilanza basata sul rischio, misure coercitive successive all’incidente
COSA PREVEDE LA NIS2

I sei pilastri della conformità alla direttiva NIS2

L’articolo 21 della direttiva stabilisce le misure minime di gestione del rischio che ogni organizzazione interessata deve attuare, in modo proporzionato alle proprie dimensioni, alla propria esposizione e alla probabilità che si verifichino incidenti.

Misure di gestione del rischio

Politiche relative all’analisi dei rischi, alla sicurezza dei sistemi, alla crittografia, al controllo degli accessi, all’autenticazione a più fattori (MFA) e allo sviluppo sicuro, in linea con i rischi che si corrono.

Segnalazione degli incidenti (24 ore / 72 ore / 1 mese)

Segnalazione preliminare entro 24 ore, notifica completa dell’incidente entro 72 ore e relazione finale entro un mese al tuo CSIRT nazionale.

Sicurezza della catena di approvvigionamento

Valuta e gestisci i rischi legati alla sicurezza informatica tra i fornitori diretti e i fornitori di servizi, non solo all’interno del tuo perimetro.

Governance e responsabilità

Gli organi direttivi devono approvare le misure di sicurezza informatica, supervisionarne l’attuazione e seguire corsi di formazione periodici. È prevista la responsabilità personale.

Continuità aziendale

Gestione dei backup, ripristino in caso di disastri e procedure di gestione delle crisi, tutte testate regolarmente.

Gestione e divulgazione delle vulnerabilità

Processi coordinati per la segnalazione, la valutazione e la correzione delle vulnerabilità nei tuoi prodotti e servizi.

IL COSTO DELL'INAZIONE

Sanzioni in caso di inadempienza

La direttiva NIS2 introduce alcune delle sanzioni più severe in materia di sicurezza informatica nell’UE, oltre alla responsabilità personale dei vertici aziendali.

Entità essenzialiFino a 10.000.000 di euro

oppure il 2% del fatturato annuo globale

Entità importantiFino a 7.000.000 di euro

ovvero l’1,4% del fatturato annuo globale

Gli organi direttivi possono essere ritenuti personalmente responsabili in caso di violazioni; nei casi più gravi, ciò può comportare anche il divieto temporaneo di ricoprire ruoli dirigenziali.

DOMANDE FREQUENTI

Domande su NIS2: ecco le risposte

La direttiva NIS2 si applica alla mia azienda?

Se la tua organizzazione opera in uno dei settori essenziali o importanti elencati e ha almeno 50 dipendenti o un fatturato di 10 milioni di euro, è probabile che si applichi la normativa NIS2 — e la soglia dimensionale non si applica per alcuni fornitori critici (ad esempio DNS, registri di domini di primo livello, pubblica amministrazione). Una telefonata di 15 minuti è un buon modo per approfondire la questione, anche se per una valutazione definitiva dovresti rivolgerti a un consulente legale qualificato.

La NIS2 copre molti più settori (circa 15 contro 7), elimina la discrezionalità degli Stati membri che portava a un’applicazione non uniforme della NIS, introduce scadenze più rigide per la segnalazione degli incidenti, richiede la gestione dei rischi nella catena di approvvigionamento e aggiunge la responsabilità personale dei vertici aziendali con multe notevolmente più elevate.

Una segnalazione preventiva al tuo CSIRT nazionale entro 24 ore dalla scoperta di un incidente grave, una notifica dell’incidente entro 72 ore (compresa una valutazione iniziale) e un rapporto finale entro un mese.

Fino a 10 milioni di euro o al 2% del fatturato annuo globale (a seconda di quale dei due importi sia maggiore) per i soggetti essenziali, e fino a 7 milioni di euro o all’1,4% per i soggetti importanti. I dirigenti di alto livello possono inoltre incorrere in sanzioni personali, tra cui il divieto temporaneo di ricoprire cariche dirigenziali.

NIS2 è entrato in vigore il 16 gennaio 2023 e gli Stati membri dell’UE dovevano recepirlo nel diritto nazionale entro il 17 ottobre 2024. L’applicazione a livello nazionale è ora attiva in tutta l’UE.

La direttiva NIS2 non impone un quadro di riferimento specifico, ma la norma ISO 27001 (e le norme equivalenti) copre la maggior parte dei requisiti di gestione del rischio previsti dalla NIS2 e rende molto più facile dimostrare la conformità. Trustlinks mappa per te i tuoi controlli esistenti in base agli articoli della NIS2.

L’implementazione iniziale della conformità richiede in genere diversi mesi, a seconda delle dimensioni e del livello di maturità della tua organizzazione. La valutazione delle lacune richiede 2–4 settimane; la correzione delle lacune e la raccolta delle prove rappresentano invece l’investimento maggiore. Ma la conformità alla NIS2 non è una semplice spunta da fare una volta sola: è un lavoro continuo integrato nelle operazioni della tua organizzazione. Trustlinks centralizza tutto, dalla valutazione delle lacune e dall’analisi dei rischi alla gestione dei fornitori e alla raccolta delle prove, in un’unica piattaforma, così mantieni il controllo in ogni fase.

Valuteremo insieme se la tua organizzazione rientri nell’ambito di applicazione della direttiva NIS2, analizzeremo il livello di classificazione che potrebbe essere applicabile, individueremo le lacune più comuni e delineeremo una roadmap realistica per la conformità. Si tratta di un colloquio informativo — non di una consulenza legale — e non c’è alcuna pressione commerciale. Per una valutazione vincolante dei tuoi obblighi, ti consigliamo di rivolgerti a un consulente legale qualificato.

PRONTI QUANDO LO SEI TU

Scopri tutto quello che c'è da sapere sulla direttiva NIS2 in 15 minuti, gratis.

Parla con uno specialista Trustlinks locale. Non serve prepararsi: porta le tue domande e discuteremo insieme della tua situazione e di quali potrebbero essere i prossimi passi da compiere. A titolo puramente informativo; non costituisce consulenza legale.

Questa consulenza ha carattere puramente informativo e non costituisce un parere legale né instaura un rapporto di mandato. Per una valutazione vincolante dei tuoi obblighi, ti invitiamo a rivolgerti a un consulente legale qualificato.

Logo Trustlinks bianco.

Contatta il team commerciale

Hai domande sui prezzi, sui framework o su come Trustlinks possa adattarsi alla tua organizzazione? Il nostro team è a tua disposizione per aiutarti a trovare la soluzione più adatta.

→ Oppure esplora le nostre domande frequenti

Ottieni assistenza sul prodotto

Hai bisogno di aiuto per utilizzare la piattaforma o hai riscontrato un problema? Il nostro team di supporto è pronto ad assisterti.

Contattaci

Prenota una demo

Inviaci un messaggio e il nostro team ti risponderà al più presto.