MCA Logo
Intranet
Invia ora la tua candidatura

Cogli l'opportunità di proteggere al meglio la tua azienda dai rischi informatici con sec-it

Preparati per essere compliance alla nis2

La direttiva NIS2 entrerà in vigore a breve. Avete ancora l'opportunità di prepararvi e garantire la conformità ai nuovi requisiti di cybersecurity.

 

1. Origine della Direttiva NIS

La Direttiva NIS (Network and Information Systems), introdotta nel 2016, è stata la prima legislazione dell'Unione Europea dedicata alla cybersecurity. Il suo obiettivo era rafforzare la sicurezza delle infrastrutture critiche, come l'energia, i trasporti e la finanza, a seguito della crescente consapevolezza delle minacce informatiche che colpivano questi settori. Tuttavia, con l'aumento continuo degli attacchi informatici, in particolare ransomware, e l'evoluzione delle tecnologie, era necessario che tale direttiva venisse aggiornata.

È in questo contesto che è stata sviluppata la NIS2. Questa direttiva rappresenta un aggiornamento importante progettato per proteggere meglio le infrastrutture critiche attraverso requisiti più rigorosi e un ampliamento dei settori coperti.

 

2. Crescita degli attacchi informatici

Questo aumento riflette la crescente minaccia degli attacchi informatici, in particolare dei ransomware e degli attacchi che prendono di mira le infrastrutture critiche, gli enti pubblici e le piccole/medie imprese (PMI), giustificando misure più severe come quelle introdotte dalla NIS2.

La cybersecurity è diventata un tema di fondamentale importanza, soprattutto con l’aumento dei ransomware. Secondo alcuni report, gli attacchi informatici sono aumentati in frequenza e sono diventati sempre più sofisticati, colpendo infrastrutture critiche. Ad esempio, un importante attacco informatico ha preso di mira il laboratorio britannico Synnovis nel giugno 2024, con una conseguente richiesta di riscatto pari a 40 milioni di sterline. Questo attacco è emblematico della vulnerabilità dei servizi essenziali alle minacce informatiche.

3. NIS2 – Novità? 

NIS2 è stata introdotta per affrontare le carenze della prima direttiva. Il suo obiettivo è garantire un livello di sicurezza più forte e uniforme in tutta l'UE.

 

Ecco alcune delle novità più rilevanti:

  • Campo di Applicazione Esteso: NIS2 include nuovi settori come i servizi postali, la gestione dei rifiuti, la produzione alimentare e i social network.
  • Gestione del Rischio in tutta la Catena di Approvvigionamento: le aziende devono ora valutare e proteggere dai rischi l'intera catena di approvvigionamento, inclusi i fornitori di servizi critici.
  • Sanzioni Più Severe: le sanzioni per la non conformità sono più rigorose, con multe fino a 10 milioni di euro o al 2% del fatturato globale.
  • Responsabilità del Management: i dirigenti aziendali saranno direttamente responsabili della gestione della cybersecurity e potranno essere ritenuti personalmente responsabili in caso di non conformità.

 

4.Campo di Applicazione – Chi è Interessato? 

Il campo di applicazione della NIS2 è stato notevolmente ampliato. Oltre alle aziende medie e grandi nei settori critici, la direttiva impone obblighi di cybersecurity stringenti a subappaltatori, fornitori e dipendenti delle organizzazioni critiche. Ciò significa che la protezione non è più limitata alla sola azienda principale, ma si estende all'intero ecosistema degli attori coinvolti, garantendo una resilienza end-to-end.

 

Confronto del Campo di Applicazione dei Settori Coperti:

NIS2 aggiunge settori come la gestione dei rifiuti, la produzione alimentare, la produzione chimica, così come i social media e i servizi digitali.

 

Confronto del Numero di Entità Coinvolte:

5. Quali sono gli obblighi specifici per le aziende interessate? 

Le aziende coperte dalla NIS2 dovranno conformarsi a diversi obblighi specifici per rafforzare la loro cybersecurity. Ecco i requisiti principali:

 

1.      Gestione del Rischio di Cybersecurity

Le aziende devono implementare politiche solide per valutare, prevenire e gestire i rischi di cybersecurity, tra cui:

o  Analisi dei rischi e delle vulnerabilità

o  Gestione degli incidenti di sicurezza

o  Implementazione di controlli organizzativi e tecnici come la crittografia, il controllo degli accessi e la gestione degli asset

2.      Gestione della Catena di Approvvigionamento

NIS2 richiede alle aziende di proteggere le loro catene di approvvigionamento. valutando e gestendo i rischi legati ai loro fornitori e appaltatori, e assicurandosi che anche loro rispettino gli standard di cybersecurity.

3.      Misure di Continuità Operativa

Le aziende devono adottare piani di continuità operativa e di recupero di emergenza, garantendo la capacità di mantenere o ripristinare rapidamente i servizi essenziali in caso di un grave incidente.

4.      Segnalazione degli Incidenti

Le aziende devono segnalare eventuali incidenti di cybersecurity alle autorità competenti entro un periodo di tempo definito. La NIS2 introduce requisiti più rigorosi riguardo alla velocità e al contenuto dei rapporti su tali incidenti.

5.      Responsabilità del Management

I dirigenti aziendali devono approvare le misure di gestione del rischio e garantire la loro efficace attuazione, e possono essere personalmente responsabili per la non conformità.

Questi obblighi mirano a rafforzare la resilienza delle aziende alle minacce informatiche e a garantire misure di cybersecurity più uniformi in tutta l'UE.

 

6. Sanzioni Più Severe 

Le sanzioni previste dalla direttiva NIS2 sono severe: le entità essenziali rischiano multe fino a 10 milioni di euro o al 2% del fatturato globale annuo, mentre le entità importanti possono andare incontro a sanzioni fino a 7 milioni di euro o all'1,4% del fatturato. Inoltre, il management aziendale può essere ritenuto personalmente responsabile per la non conformità, aggiungendo ulteriore rilevanza sulla gestione del rischio di cybersecurity.

  

7. Preparatevi Ora con SEC-IT 

È cruciale per le aziende iniziare a prepararsi ora per essere compliance alla NIS2. La direttiva deve essere recepita nelle leggi nazionali degli Stati membri dell'UE entro il 17 ottobre 2024, ed iniziare la sua implementazione a partire dal 18 ottobre 2024. Dato il campo di applicazione dei nuovi obblighi, come la gestione del rischio di cybersecurity, la sicurezza della catena di approvvigionamento e la maggiore responsabilità del management, si raccomanda di attivarsi il prima possibile.

In SEC-IT, sfruttiamo la nostra esperienza per affrontare i rischi in modo pragmatico e in linea con le esigenze reali. Offriamo un'organizzazione operativa sostenibile perfettamente allineata con i mezzi e le necessità di ogni organizzazione.

In conformità con i requisiti della NIS2, la nostra gamma completa di servizi aiuta le aziende a conformarsi agli obblighi della nuova direttiva:

  • Valutazione NIS2: Valutazione della conformità attuale e sviluppo di una roadmap di conformità.
  • Implementazione del Framework di Sicurezza: Sviluppo di un'architettura di sicurezza robusta.
  • Gestione Operativa: Gestione quotidiana dei rischi e degli incidenti.
  • Supervisione Strategica: Monitoraggio e gestione della cybersecurity a livello decisionale.

Questo approccio assicura una transizione fluida verso la piena conformità per i nostri clienti, migliorando al contempo la loro resilienza contro le minacce informatiche.

 

Perché Scegliere SEC IT?

  • Esperienza Riconosciuta: Abbiamo supportato con successo PMI, aziende di medie dimensioni e organizzazioni pubbliche nella transizione alla conformità con la NIS2.
  • Metodologie Provate: I nostri sistemi sono stati validati attraverso programmi come France Relance Cyber e Diag Cyber PME, garantendo un approccio solido e affidabile.
  • Supporto Sostenibile: Forniamo trasferimento di competenze e supporto continuo per assistere i vostri team a lungo termine.
  • Promozione dell'Impegno Cyber: La nostra competenza specifica aiuta i nostri clienti a promuovere il loro impegno in materia di cybersecurity ai propri clienti (B2B), rafforzando la loro immagine di marca.
  • Obiettività e Indipendenza: Operiamo indipendentemente da editori, produttori e integratori, garantendo consigli obiettivi e su misura per le vostre esigenze.
  • Competenze di Audit Riconosciute (PASSI): Siamo certificati dal governo francese (Group).

Scegliendo SEC-IT, beneficiate di un partner di fiducia per navigare nel complesso mondo della cybersicurezza e garantire la conformità a NIS2.