Durante la consulenza gratuita e senza impegno con uno specialista Trustlinks locale, valuteremo insieme se la direttiva UE NIS2 possa essere applicabile alla tua organizzazione e quali siano in genere gli aspetti da considerare per la conformità. La conversazione ha solo scopo informativo e non costituisce una consulenza legale.
Compliance specialist, Trustlinks
La direttiva NIS2 (UE) 2022/2555 è la nuova normativa dell’Unione Europea in materia di sicurezza informatica. Amplia notevolmente l’ambito di applicazione della direttiva NIS originale, coprendo un numero molto maggiore di settori e aziende di diverse dimensioni, e inasprisce i requisiti in materia di gestione dei rischi, segnalazione degli incidenti, sicurezza della catena di approvvigionamento e responsabilità del management. Gli Stati membri dell’UE dovevano recepire la NIS2 nel diritto nazionale entro il 17 ottobre 2024, e ora le autorità nazionali la stanno applicando attivamente.
La NIS2 suddivide le organizzazioni interessate in due livelli: entità “essenziali” e “importanti”, che in genere comprendono le medie e grandi imprese (con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro) nei settori indicati di seguito. Alcuni fornitori critici rientrano nell’ambito di applicazione indipendentemente dalle loro dimensioni.
L’articolo 21 della direttiva stabilisce le misure minime di gestione del rischio che ogni organizzazione interessata deve attuare, in modo proporzionato alle proprie dimensioni, alla propria esposizione e alla probabilità che si verifichino incidenti.
Politiche relative all’analisi dei rischi, alla sicurezza dei sistemi, alla crittografia, al controllo degli accessi, all’autenticazione a più fattori (MFA) e allo sviluppo sicuro, in linea con i rischi che si corrono.
Segnalazione preliminare entro 24 ore, notifica completa dell’incidente entro 72 ore e relazione finale entro un mese al tuo CSIRT nazionale.
Valuta e gestisci i rischi legati alla sicurezza informatica tra i fornitori diretti e i fornitori di servizi, non solo all’interno del tuo perimetro.
Gli organi direttivi devono approvare le misure di sicurezza informatica, supervisionarne l’attuazione e seguire corsi di formazione periodici. È prevista la responsabilità personale.
Gestione dei backup, ripristino in caso di disastri e procedure di gestione delle crisi, tutte testate regolarmente.
Processi coordinati per la segnalazione, la valutazione e la correzione delle vulnerabilità nei tuoi prodotti e servizi.
La direttiva NIS2 introduce alcune delle sanzioni più severe in materia di sicurezza informatica nell’UE, oltre alla responsabilità personale dei vertici aziendali.
oppure il 2% del fatturato annuo globale
ovvero l’1,4% del fatturato annuo globale
Gli organi direttivi possono essere ritenuti personalmente responsabili in caso di violazioni; nei casi più gravi, ciò può comportare anche il divieto temporaneo di ricoprire ruoli dirigenziali.
Trustlinks unisce una piattaforma di conformità continua a competenze e assistenza locali, così potrai raggiungere più velocemente la conformità alla NIS2 e mantenerla anche man mano che la tua azienda si evolve.
Analizza la tua situazione attuale rispetto a ogni articolo della norma NIS2 in pochi giorni, non in mesi. Un piano di adeguamento chiaro e con le priorità ben definite.
La piattaforma Trustlinks automatizza la raccolta delle prove, il monitoraggio dei controlli e la generazione dei report in tutto il tuo stack.
Collabora con consulenti che conoscono bene la normativa nazionale di recepimento e l’autorità di regolamentazione del tuo settore.
Crea la documentazione che i revisori e le autorità ti chiedono davvero — senza dover rifare i fogli di calcolo ogni trimestre.
Se la tua organizzazione opera in uno dei settori essenziali o importanti elencati e ha almeno 50 dipendenti o un fatturato di 10 milioni di euro, è probabile che si applichi la normativa NIS2 — e la soglia dimensionale non si applica per alcuni fornitori critici (ad esempio DNS, registri di domini di primo livello, pubblica amministrazione). Una telefonata di 15 minuti è un buon modo per approfondire la questione, anche se per una valutazione definitiva dovresti rivolgerti a un consulente legale qualificato.
La NIS2 copre molti più settori (circa 15 contro 7), elimina la discrezionalità degli Stati membri che portava a un’applicazione non uniforme della NIS, introduce scadenze più rigide per la segnalazione degli incidenti, richiede la gestione dei rischi nella catena di approvvigionamento e aggiunge la responsabilità personale dei vertici aziendali con multe notevolmente più elevate.
Una segnalazione preventiva al tuo CSIRT nazionale entro 24 ore dalla scoperta di un incidente grave, una notifica dell’incidente entro 72 ore (compresa una valutazione iniziale) e un rapporto finale entro un mese.
Fino a 10 milioni di euro o al 2% del fatturato annuo globale (a seconda di quale dei due importi sia maggiore) per i soggetti essenziali, e fino a 7 milioni di euro o all’1,4% per i soggetti importanti. I dirigenti di alto livello possono inoltre incorrere in sanzioni personali, tra cui il divieto temporaneo di ricoprire cariche dirigenziali.
NIS2 è entrato in vigore il 16 gennaio 2023 e gli Stati membri dell’UE dovevano recepirlo nel diritto nazionale entro il 17 ottobre 2024. L’applicazione a livello nazionale è ora attiva in tutta l’UE.
La direttiva NIS2 non impone un quadro di riferimento specifico, ma la norma ISO 27001 (e le norme equivalenti) copre la maggior parte dei requisiti di gestione del rischio previsti dalla NIS2 e rende molto più facile dimostrare la conformità. Trustlinks mappa per te i tuoi controlli esistenti in base agli articoli della NIS2.
L’implementazione iniziale della conformità richiede in genere diversi mesi, a seconda delle dimensioni e del livello di maturità della tua organizzazione. La valutazione delle lacune richiede 2–4 settimane; la correzione delle lacune e la raccolta delle prove rappresentano invece l’investimento maggiore. Ma la conformità alla NIS2 non è una semplice spunta da fare una volta sola: è un lavoro continuo integrato nelle operazioni della tua organizzazione. Trustlinks centralizza tutto, dalla valutazione delle lacune e dall’analisi dei rischi alla gestione dei fornitori e alla raccolta delle prove, in un’unica piattaforma, così mantieni il controllo in ogni fase.
Valuteremo insieme se la tua organizzazione rientri nell’ambito di applicazione della direttiva NIS2, analizzeremo il livello di classificazione che potrebbe essere applicabile, individueremo le lacune più comuni e delineeremo una roadmap realistica per la conformità. Si tratta di un colloquio informativo — non di una consulenza legale — e non c’è alcuna pressione commerciale. Per una valutazione vincolante dei tuoi obblighi, ti consigliamo di rivolgerti a un consulente legale qualificato.
Parla con uno specialista Trustlinks locale. Non serve prepararsi: porta le tue domande e discuteremo insieme della tua situazione e di quali potrebbero essere i prossimi passi da compiere. A titolo puramente informativo; non costituisce consulenza legale.
Questa consulenza ha carattere puramente informativo e non costituisce un parere legale né instaura un rapporto di mandato. Per una valutazione vincolante dei tuoi obblighi, ti invitiamo a rivolgerti a un consulente legale qualificato.
Compliance specialist, Trustlinks
Hai domande sui prezzi, sui framework o su come Trustlinks possa adattarsi alla tua organizzazione? Il nostro team è a tua disposizione per aiutarti a trovare la soluzione più adatta.
→ Oppure esplora le nostre domande frequenti
Hai bisogno di aiuto per utilizzare la piattaforma o hai riscontrato un problema? Il nostro team di supporto è pronto ad assisterti.
Trustlinks ha a cuore la tua privacy. Ti contatteremo solo per fornirti informazioni sulle nostre soluzioni.