Tutto l’occorrente per prepararsi alla Direttiva NIS 2
Sophos ti aiuta a orientarti nel tuo percorso di conformità alla NIS 2
Che cos’è la NIS 2?Ti riguarda?
La Direttiva NIS 2 è entrata in vigore a gennaio 2023. Gli Stati membri dell’UE hanno avuto tempo fino al 17 ottobre 2024 per integrare i requisiti di sicurezza della Direttiva NIS 2 nella legislazione nazionale. Tutte le aziende che rientrano nell’ambito di applicazione della NIS 2 hanno dovuto ottemperare ai nuovi requisiti entro quella data.
Quali sono le novità della Direttiva NIS 2?
La Direttiva NIS 2 sostituisce la prima direttiva NIS, che era stata introdotta nel 2016 come prima legge UE sulla cybersecurity. La Direttiva NIS 2 estende l’ambito di applicazione del quadro di riferimento iniziale in modo da includere più settori, introduce misure di vigilanza più rigide per le autorità nazionali e si focalizza maggiormente sulle catene di approvvigionamento; inoltre, prevede requisiti di implementazione più severi e sanzioni più pesanti in caso di inadempimento.
A chi si applica la direttiva NIS 2?
La prima Direttiva NIS si applicava principalmente alle organizzazioni con infrastrutture critiche, includendo nei requisiti della Direttiva solamente 7 settori definiti “operatori di servizi essenziali” e 3 settori indicati come “servizi digitali”. La Direttiva NIS 2 estende significativamente l’ambito di applicazione, includendo 11 settori come “soggetti essenziali” e 7 settori come “soggetti importanti”.
I soggetti essenziali sono tenuti a rispettare un regime di vigilanza più intensivo, nel quale viene monitorata la conformità ex ante ed ex post, il che significa che i soggetti devono attenersi ai requisiti di vigilanza fin dal momento dell’introduzione della Direttiva NIS 2. I soggetti importanti devono sottoporsi a un regime di vigilanza meno restrittivo, solo ex post; questo significa che vengono intraprese azioni solo se e quando le autorità ricevono prova di inadempienza.
Un’organizzazione rientra nell’ambito di applicazione della Direttiva NIS 2 se:
- L’organizzazione offre servizi e svolge attività in qualsiasi Stato membro dell’UE
- Salvo eccezioni, l’organizzazione ha almeno 50 dipendenti oppure fatturato annuo o bilancio annuo totale superiore ai 10 milioni di €
- L’organizzazione opera in uno dei 18 settori specificati nella Direttiva NIS 2 sotto l’Allegato I e l’Allegato II
La Direttiva NIS 2 identifica le organizzazioni che operano nei seguenti 18 settori come “soggetti essenziali” e “soggetti importanti”, a seconda del fatturato annuo totale e delle dimensioni dell’organizzazione:
*Soggetti essenziali:
Tipicamente organizzazioni di medie e grandi dimensioni ritenute critiche per l’economia, che operano in uno dei settori elencati nella colonna sinistra della tabella.
**Soggetti importanti:
Tipicamente organizzazioni di medie e grandi dimensioni ritenute importanti ma non critiche per l’economia, che operano in uno dei settori elencati nella colonna destra della tabella.
Eccezioni: Le aziende che sono fornitrici uniche di un servizio specifico all’interno di uno Stato membro dell’UE, o la cui interruzione del servizio potrebbe avere un impatto significativo, potrebbero essere classificate come soggetti essenziali o importanti a prescindere dalle dimensioni.
Tipici criteri per cui un’organizzazione viene considerata di grandi dimensioni:
- 250 o più dipendenti, oppure
- Fatturato annuo pari o superiore a 50 milioni di € e bilancio annuo totale pari o superiore a 43 milioni di €
Criteri per cui un’organizzazione viene considerata di medie dimensioni:
- 50 o più dipendenti, oppure
- Fatturato annuo e bilancio annuo totale pari o superiore a 10 milioni di €
Le organizzazioni di piccole dimensioni e le micro-organizzazioni non sono escluse dall’ambito di applicazione della Direttiva NIS 2. Gli Stati membri possono estendere i requisiti della NIS 2, se un soggetto soddisfa criteri specifici che lo identificano come figura chiave nella società, nell’economia, in un settore o in un tipo di servizio.
Non sai con certezza se la Direttiva NIS 2 si applica alla tua organizzazione?
Scoprilo completando il nostro test di autovalutazione per la NIS 2.
Sanzioni per l’inadempienza alla Direttiva NIS 2
La Direttiva NIS 2 introduce sanzioni più pesanti in caso di inadempienza per i soggetti essenziali e i soggetti importanti, qualora non dovessero soddisfare i requisiti di sicurezza o di segnalazione degli incidenti. Sebbene le sanzioni specifiche possano variare a seconda dello Stato membro, la Direttiva NIS 2 si prefigge di armonizzare le sanzioni in tutti gli Stati membri, definendo un elenco minimo di sanzioni amministrative. I diversi tipi di sanzioni in caso di inadempienza includono:
Sanzioni non monetarie
La Direttiva NIS 2 concede più potere alle autorità di vigilanza nazionali, che possono supervisionare e implementare la conformità con provvedimenti non monetari, tra i quali:
- Ordini di conformità (gli enti normativi possono emettere un ordine per implementare azioni specifiche)
- Istruzioni vincolanti (gli enti normativi possono obbligare un’azienda a intraprendere azioni specifiche)
- Ordini di attuazione di audit sulla sicurezza (ordini normativi che implementano una misura di sicurezza)
- Ordini di notifica della presenza di minacce ai clienti dei soggetti (notifica pubblica di non conformità)
- Divieti temporanei (ordini normativi che vietano alla dirigenza di svolgere funzioni dirigenziali)
Sanzioni amministrative
- Per i soggetti essenziali: sanzioni pari a un massimo di 10.000.000 € o al 2% del fatturato mondiale annuo, se tale importo è superiore.
- Per i soggetti importanti: sanzioni pari a un massimo di 7.000.000 € o all’1,4% del fatturato mondiale annuo, se tale importo è superiore.
Responsabilità personale per i dirigenti dei soggetti essenziali e dei soggetti importanti
La Direttiva NIS 2 include nuove misure che permettono agli Stati membri di ritenere l’alta dirigenza (ad es. membri del consiglio di amministrazione, direttori, gruppo dirigente) dei soggetti essenziali e dei soggetti importanti personalmente responsabile dell’ottemperanza ai requisiti della NIS 2. Tali requisiti includono l’obbligo di rendere pubbliche eventuali violazioni della conformità, dichiarare pubblicamente la natura della violazione verificatasi e la o le persone responsabili, nonché vietare temporaneamente a persone specifiche di ricoprire cariche dirigenziali. Inoltre, i dirigenti possono essere ritenuti personalmente responsabili se viene dimostrata una loro grave negligenza nel non adempiere ai propri obblighi in termini di gestione della cybersecurity.
Webinar gratuito sulla Direttiva NIS 2
Registrati per seguire il nostro webinar on-demand, durante il quale gli esperti forniscono delucidazioni sulla Direttiva NIS 2. Scopri come Sophos può aiutarti a ottemperare alle nuove regole.
Assicura la conformità alla Direttiva NIS 2 con Sophos
La conformità alla Direttiva NIS 2 offre alle organizzazioni l’opportunità di migliorare il proprio profilo di sicurezza e la resilienza contro le minacce informatiche, contribuendo in tal modo a creare un panorama digitale più sicuro nell’UE.
Sophos può aiutarti a soddisfare i requisiti della NIS 2, liberandoti da dubbi e timori. Con le nostre ampie funzionalità di cybersecurity puoi ottemperare agli obblighi di conformità definiti nella Direttiva NIS 2.
Sophos Endpoint | Sophos Firewall | Sophos MDR | Sophos XDR | |
| Politiche di analisi dei rischi |
|
|
| |
| Gestione degli incidenti |
|
|
|
|
| Continuità operativa |
|
|
|
|
| Sicurezza della catena di approvvigionamento |
|
|
| |
| Sicurezza dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilità |
|
|
| |
| Valutazione dell’efficacia delle misure di gestione dei rischi di cybersecurity |
|
|
| |
| Politiche relative all’uso della crittografia e della cifratura |
| |||
| Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi |
|
|
| |
| Uso di soluzioni di autenticazione a più fattori |
| |||
| Obblighi di segnalazione |
|
|
Per saperne di più sulle soluzioni intuitive di sicurezza Sophos che possono assisterti con le tue esigenze di conformità alla Direttiva NIS 2, scarica il documento sulle Soluzioni Sophos per la Direttiva NIS 2.
La Direttiva NIS 2 e altre normative di cybersecurity a confronto
La NIS 2 è solo una delle varie normative di cybersecurity a cui devono attenersi le organizzazioni che operano nell’UE. Quella che segue è una panoramica della correlazione tra la Direttiva NIS 2 e altri quadri di riferimento, insieme agli elementi che hanno in comune:
NIS 2 | GDPR | DORA | CER | |
| Direttiva UE | (EU) 2022/2555 | (EU) 2016/679 | (EU) 2022/2554 | (EU) 2022/2557 |
| Nome della direttiva | Direttiva sulla sicurezza delle reti e dei sistemi informativi 2 | General Data Protection Regulation (Regolamento generale sulla protezione dei dati) | Digital Operational Resilience Act (Regolamento sulla resilienza operativa digitale) | Direttiva sulla resilienza dei soggetti critici |
| Ambito di applicazione | Si applica alle organizzazioni che sono soggetti essenziali e soggetti importanti; sostituisce la Direttiva NIS 1 (EU) 2016/1148 | Si applica a qualsiasi organizzazione che si occupa del trattamento di dati personali di persone fisiche che risiedono nell’UE e nello SEE | Si applica a tutti i soggetti finanziari nell’UE | Si applica alle organizzazioni che vengono considerate critiche, in base alla decisione dello Stato membro |
| Scopo | Realizzata per migliorare la sicurezza informatica e la resilienza dei sistemi informativi e di rete nell’Unione europea | Protegge i diritti e le libertà fondamentali delle persone fisiche, nello specifico il loro diritto alla privacy e alla protezione dei dati personali | Oltre ai requisiti di cybersecurity, questa Direttiva sottolinea l’importanza della resilienza generale delle istituzioni finanziarie | Si concentra particolarmente sulla resilienza e sulla continuità operativa dei soggetti critici definiti all’interno della Direttiva e fornisce orientamenti sulle difese contro rischi non correlati alla cybersecurity |
| Stato di conformità rispetto alla Direttiva NIS 2 | - | Le organizzazioni a cui si applica la NIS 2 che sono anche titolari del trattamento dei dati o responsabili del trattamento dei dati ai sensi del GDPR dell’UE devono attenersi sia al GDPR dell’UE che alla Direttiva UE NIS 2 | Il DORA e la NIS 2 sono realizzati per essere complementari, al fine di potenziare i requisiti di cybersecurity; presentano requisiti distinti, entrambi i quali sono richiesti dalle istituzioni finanziarie | I soggetti critici devono anche attenersi alla Direttiva NIS 2 nell’ambito della cybersecurity e alla Direttiva CER per gli incidenti non correlati alla sicurezza informatica |
| Data di entrata in vigore | 17 ottobre 2024 | 25 maggio 2018 | 17 gennaio 2025 | 18 ottobre 2024 |
| Sanzioni | Prevede penalizzazioni non monetarie (ad esempio ordini di conformità), multe amministrative e sanzioni penali. Le sanzioni di non conformità per i soggetti essenziali possono raggiungere il 2% del totale del fatturato mondiale annuo oppure 10 milioni di € (a seconda di quale sia l’importo più elevato), mentre le sanzioni per i soggetti importanti possono raggiungere l’1,4% del totale del fatturato mondiale annuo oppure 7 milioni di € | Le disposizioni del GDPR in caso di violazione possono essere applicate sotto forma di sanzioni molto pesanti, incluse multe fino a 10 milioni di € o al 2% del fatturato annuo globale (sanzioni monetarie di Livello 1), oppure fino a 20 milioni di € o al 4% del fatturato annuo globale (sanzioni monetarie di Livello 2), in base alla natura della violazione | Per il DORA è possibile imporre sanzioni finanziarie per le violazioni, ma l’importo esatto dipende dalle disposizioni trasgredite e dalla gravità della violazione. Inoltre, gli enti di regolamentazione possono intraprendere altre azioni, tra cui avvisi, restrizioni operative oppure ordini normativi, fino a quando non venga fornita prova di conformità. | Le sanzioni di non conformità variano in base allo Stato membro, ma è molto probabile che includano multe, notifica pubblica, correzione e ritiro dell’autorizzazione |
Declinazione di responsabilità: Le specifiche e le descrizioni sono soggette a modifica senza preavviso. Sophos rinuncia a qualsiasi garanzia che riguarda queste informazioni. L’utilizzo dei prodotti Sophos, da solo, non costituisce consulenza legale e non offre garanzia alcuna di conformità legale. Le informazioni contenute in questo documento non costituiscono consulenza legale. Ai clienti spetta la responsabilità esclusiva di ottemperare alle leggi e ai regolamenti sulla conformità; si consiglia ai clienti di consultare esperti legali per ricevere consulenza su tale conformità.
Per maggiori informazioni su come raggiungere i tuoi obiettivi di conformità alla Direttiva NIS 2, contattaci oggi stesso.
Direttiva NIS2
Prepararti Per Rispettare La Conformità Alle Normative
Molti Settori Dovranno Ottemperare A Nuovi Requisiti
La direttiva europea NIS 2 introduce normative molto più rigide per la cybersecurity, che riguardano diversi settori. Le organizzazioni dovranno ottemperare alle nuove normative entro l’autunno 2024, altrimenti potrebbero incorrere in sanzioni molto pesanti.
Scopri Come Soddisfare I Requisiti Normativi
Approfitta delle nostre risorse per scoprire di più sulla direttiva NIS 2 e per sapere se riguarda anche la tua organizzazione. In tale eventualità, potrai conoscere quali sono le sanzioni previste e come devi agire per soddisfare tutti i requisiti richiesti.
Whitepaper
Per aiutarti a comprendere nel dettaglio tutti i requisiti di conformità richiesti, abbiamo creato un whitepaper in collaborazione con l'avvocato David Bomhard che fornisce:
- Un riepilogo della direttiva NIS2
- Le misure chiave che le organizzazioni sono tenute ad implementare
- I rischi di responsabilità civile dei dirigenti
- Come le soluzioni Sophos possono supportarti nel raggiungere la conformità alla nuova normativa
Scheda sulla conformità
Questo documento indica come le soluzioni Sophos offrano strumenti efficaci per assistere le organizzazioni nell’ottemperare al Capo IV della direttiva NIS 2.
Alcuni esempi includono:
- Le misure di cybersecurity richieste per la gestione dei rischi
- Gli obblighi in termini di segnalazione
Munite di queste informazioni, le organizzazioni si troveranno nella posizione ideale per ottemperare ai requisiti.
Scopri di piùCase Studies
Scopri come Sophos ha protetto altri clienti contro le minacce informatiche.
Sicher vor modernen Cyberattacken
Die Schletter Solar GmbH profitiert jetzt von einer IT-Security-Lösung, die flexibel auf die Anforderungen der Zukunft reagieren kann.
Mehr Schutz und Effizienz
Dank Sophos MDR hat die Transportgemeinschaft Wangen AG (TGW) nun maximale Kontrolle und Transparenz und kann auch modernsten Attacken Paroli bieten.
Fit für die Zukunft
Die WEFRA LIFE ist jetzt langfristig für die Aufgaben in IT-Sicherheit gewappnet und optimal aufgestellt, um das Thema Cyber-Versicherung anzugehen.
AG Barr
Sophos ha sollevato i team IT di AG Barr dal peso di dover gestire le sfide di cybersecurity, permettendogli di dedicarsi ad attività più proattive.
HammondCare
Sophos ha rafforzato le pratiche di sicurezza implementate da HammondCare, eliminando l’esigenza di incrementare le risorse umane interne.