La Normativa NIS-2: da obbligo a opportunità

La Normativa NIS-2: da obbligo a opportunità

Introduzione

La normativa NIS (Network and Information Security) è una direttiva europea che mira a garantire un elevato livello di sicurezza delle reti e dei sistemi informativi degli Stati Membri dell’Unione Europea.

La NIS-2 (Direttiva UE 2022/2555), entrata in vigore il 17 gennaio 2023 ha sostituito la direttiva originale, NIS (Direttiva UE 2016/1148), adottata il 6 luglio 2016. Questa nuova direttiva rappresenta un aggiornamento cruciale e un rafforzamento importante della misura precedente, ampliandone il campo applicativo e introducendo un criterio omogeneo per l’identificazione dei soggetti.

L’adeguamento alla normativa prevede un percorso di adozione e implementazione dei nuovi obblighi di legge graduale e sostenibile che da aprile 2025 segnerà un nuovo percorso per migliorare la sicurezza informatica italiana ed europea. 

Viene confermato il ruolo chiave dell’ACN, Agenzia per la Cybersicurezza Nazionale, come Autorità Nazionale Competente NIS e punto di contatto unico per l’applicazione a tutela degli interessi nazionali nel campo sicurezza.

Esploriamo insieme in dettaglio le differenze tra le due normative, gli obiettivi, i soggetti coinvolti l’ambito di applicazione e le scadenze della NIS-2.

NIS e NIS-2: le differenze

  • Eliminazione della distinzione tra OSE (operatori di servizi essenziali) e FSD (fornitori di servizi digitali) con l’introduzione di nuove categorie di operatori basate sull’importanza del servizio offerto e sulla dimensione (“size-cap rule”). Tutte le medie e grandi imprese, infatti, operanti nei settori identificati dalla normativa, e le pubbliche amministrazioni sono direttamente coinvolte.
  • Ampliamento del campo di applicazione degli obblighi: Gli obblighi in materia di cybersecurity vengono estesi a 18 settori di cui 11 altamente critici e 7 critici, imponendo obblighi all’intera infrastruttura ICT.
  • Quadro di misure di sicurezza e gestione del rischio più efficienti e dettagliati: la direttiva richiede un approccio multirischio e la segnalazione tempestiva di incidenti significativi
  • Nuovi strumenti per la sicurezza come la divulgazione coordinata delle vulnerabilità da realizzarsi attraverso la cooperazione, condivisione delle informazioni a livello nazionale ed europeo.

Gli Obiettivi della NIS-2

  • Potenziare la sicurezza informatica stabilendo un quadro normativo uniforme di riferimento per la valutazione della cybersecurity in tutti gli Stati Membri dell’UE
  • Proteggere i servizi digitali elevandone i livelli di sicurezza per prevenire e mitigare gli attacchi informatici
  • Affrontare minacce sempre più sofisticate attraverso un approccio multirischio e coordinato, integrando normative quali il GDPR e il Cyber Resilience Act.

I Soggetti Coinvolti

Il campo di applicazione relativo alla direttiva NIS-2 fa riferimento a soggetti definiti “OSE”, operatori di servizi essenziali e “DSP”, fornitori di servizi digitali. Queste due entità si differenziano in virtù dell’importanza del servizio offerto e della dimensione aziendale in due principali categorie:

  • “soggetti essenziali”, la cui mancata attività arrecherebbe gravi conseguenze su salute, economia e ambiente
  • “soggetti importanti”, che pur non rientrando nella categoria degli OSE contribuiscono in modo strategico all’economia e la società.

Entrambi i soggetti devono attenersi ad una gestione del rischio informatico e al rispetto delle misure di sicurezza proporzionalmente con la dimensione e il settore di riferimento. Anche le Pubbliche Amministrazioni (PA) sono coinvolte indipendentemente dalla loro dimensione.

Per ulteriori dettagli sui settori è possibile consultare la lista dei soggetti interessati nel sito dell’ANC.

Le Date Significative

  • In prossimità del 17 ottobre, stabilito come termine ultimo per il recepimento della NIS2 nella legislazione nazionale da parte degli Stati membri, il CDM ha approvato il decreto legislativo n. 138 del 4 settembre 2024 (G.U. n.230 del 01/10/2024) di recepimento della direttiva (UE) 2022/2555 (c.d. Direttiva NIS2) relativa a misure per un elevato livello comune di cybersicurezza nell’Unione.
  • 1 dicembre 2024: apertura delle registrazioni sulla piattaforma resa pubblica dall’ANC.
  • 28 febbraio 2025: termine ultimo per la registrazione dei soggetti pubblici e privati che rientrano nel campo applicativo della normativa.
  • Aprile 2025: i soggetti registrati riceveranno una comunicazione per confermare o meno il loro inserimento nell’elenco dei soggetti NIS.

Il Valore Aggiunto di Tecnodata nel Panorama NIS-2

Ogni processo aziendale deve poggiare su un’infrastruttura IT sicura e conforme, non solo per evitare ingenti sanzioni (ex art. 38 D.Lgs.138/2024), ma anche e soprattutto per garantire la continuità operativa, proteggendo i dati sensibili e la reputazione aziendale.

La direttiva NIS-2 richiede alle organizzazioni di adottare misure rigorose per garantire la sicurezza delle reti e dei sistemi informativi. Tuttavia offre anche l’opportunità alle aziende di migliorare la resilienza alle minacce informatiche accentuando la fiducia dei clienti. L’adozione delle misure previste dalla direttiva può infatti contribuire al rafforzamento della reputazione aziendale promuovendo una cultura della sicurezza informatica e trasformandosi in un prezioso vantaggio competitivo.

Tecnodata è il partner ideale per assicurare la conformità della tua infrastruttura IT al NIS-2, al GDPR e agli standard di sicurezza internazionali, guidandoti proattivamente nel complesso panorama digitale e normativo.

In virtù delle Certificazioni ISO 9001 per l’attività di progettazione, sviluppo e consulenza per soluzioni e servizi informatici, sicurezza informatica di reti locali e geografiche di dati, e Comptia+ per la sicurezza informatica, siamo pronti a trasformare la tua infrastruttura IT in un vero e proprio pilastro di sicurezza e innovazione.

Lasciati guidare dalla nostra esperienza e preparati ad innovare e crescere in un ambiente digitale sempre in evoluzione, ma anche più sicuro, affidabile, al passo con i tempi e conforme a quanto richiesto dalle normative vigenti.

Contattaci per maggiori informazioni

Scopri di più sui servizi di Information Security di Tecnodata