NIS2: Obbligo di Conformità per le Aziende UE entro Ottobre 2024

Con l’aumento delle minacce cyber, l’Unione Europea ha adottato la Direttiva NIS2 (Direttiva UE 2022/2555) per rafforzare la sicurezza informatica delle infrastrutture critiche.

La nuova direttiva sostituisce la precedente NIS del 2016, introducendo requisiti più stringenti che si estendono a nuovi settori e ampliando le responsabilità aziendali in materia di cybersecurity, i dirigenti aziendali saranno ora personalmente responsabili della gestione dei rischi cyber e devono assicurarsi che la supply chain sia adeguatamente protetta.

La scadenza di conformità era fissata per il 17 ottobre 2024.

È possibile scaricare un white paper dettagliato a questo link per conoscere come le soluzioni Sophos, che siamo in grado di fornire essendo Atik un Silver Partner, possono supportare il percorso di adeguamento alla NIS2.

 

Inoltre, di seguito riportiamo una serie di domande comuni, con le relative risposte, per aiutare a fare chiarezza a riguardo:

➡️  Quali aziende dovranno conformarsi alla direttiva?

Le aziende che dovranno conformarsi alla direttiva NIS-2 includono:

1. Soggetti Essenziali: Settori elencati nell’Allegato I
2. Soggetti Critici: Settori elencati nell’Allegato II
3. Eccezioni indipendenti dalle dimensioni aziendali:
   • Prestatori di servizi fiduciari qualificati.
   • Gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema DNS.
   • Fornitori di reti pubbliche di comunicazione elettronica.
   • Pubbliche amministrazioni centrali.

Le aziende dovranno conformarsi alla direttiva se superano i massimali per le piccole imprese (cioè, sono medie o grandi) o se operano nei settori critici indipendentemente dalle dimensioni.

➡️  Quali sono le dimensioni delle aziende che dovranno conformarsi?

Le aziende che dovranno conformarsi alla direttiva NIS-2 sono quelle che superano i massimali per le piccole imprese, definiti dalla raccomandazione 2003/361/CE:

Medie e grandi imprese:

• Più di 50 dipendenti oppure
• Fatturato annuo superiore a 10 milioni di euro.

Pertanto, le aziende che rientrano in questa classificazione, operando nei settori essenziali o critici, saranno soggette alla conformità con la direttiva NIS-2.

➡️  Perché sono presenti due tipologie di soggetti “CRITICI” ed “ESSENZIALI” ?

La suddivisione in soggetti essenziali e soggetti critici riflette il diverso livello di criticità e potenziale impatto delle attività svolte, ma non comporta differenze sostanziali nelle dimensioni aziendali per essere soggetti agli obblighi della direttiva. Le differenze possono risiedere nella severità dei requisiti e nei controlli più stringenti per i soggetti essenziali, considerati di importanza primaria per la sicurezza e la resilienza della società.

Elementi essenziali

1. La direttiva pone obblighi dei confronti di specifiche tipologie di aziende nel garantire e/o mitigare i rischi di cybersicurezza, questi obblighi sono da mettere in atto con obiettivi e priorità.
2. Le aziende sono quelle indicate nell’allegato uno, per le realtà definite “Medie Imprese” quindi tra i 50 dipendenti e i 250 o fatturato tra i 2 Milioni e i 50 Milioni.
3. Inoltre ci sono realtà che devono attenersi a prescindere DAL FATTURATO e dalla presenza in allegato (al momento NON abbiamo aziende che rientrano in questa categoria)

➡️  Da quando è necessario rispettare questa normativa?

La normativa NIS-2, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, entrerà in vigore il 18 ottobre 2024. Da questa data, le aziende soggette dovranno conformarsi ai requisiti di sicurezza informatica previsti dalla direttiva.

➡️  Che rischi si corrono a non adeguarsi alla normativa ?

I rischi legati al mancato adeguamento alla direttiva NIS-2 includono:

Rischi Economici:

• Multe Salate: Le sanzioni possono raggiungere una percentuale significativa del fatturato annuo (potenzialmente fino al 4%, simile al GDPR).
• Costi di Risarcimento: L’azienda potrebbe dover risarcire i danni causati a terzi in caso di incidenti di sicurezza con gravi conseguenze.
• Danno Reputazionale: La perdita di fiducia può comportare un calo di clienti e ricavi.

Rischi Penali:

• Omessa Prevenzione: Responsabilità penale in caso di mancata adozione di misure di sicurezza adeguate.
• Pericolo per la Sicurezza Pubblica: Possibili accuse penali se l’incidente causa danni gravi o mette a rischio la sicurezza collettiva.
• Responsabilità degli Amministratori: I dirigenti possono essere penalmente responsabili per negligenza o dolo nella gestione della sicurezza.

Figure Coinvolte:

• Amministratori Delegati e Dirigenti: Rischio di sanzioni o responsabilità penale per mancata adozione di politiche di sicurezza adeguate.
• Responsabile IT/CISO: Responsabile per la gestione dei rischi e l’implementazione delle misure di sicurezza.
• Compliance Officer: Rischio di responsabilità per mancato monitoraggio della conformità.
• Amministratori di Sistema: Possibili coinvolgimenti se la loro negligenza diretta contribuisce a un incidente.

Questi rischi evidenziano l’importanza di adottare misure di sicurezza informatica conformi alla direttiva NIS-2 per evitare gravi conseguenze economiche e legali.

➡️  Esiste un portale dove è necessario registrarsi?

In Italia, le aziende soggette alla direttiva NIS-2 devono registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN). L’ACN è l’autorità competente per la sicurezza informatica e gestisce il Computer Security Incident Response Team (CSIRT) nazionale, che è responsabile della ricezione delle notifiche di incidenti e della gestione della risposta a livello nazionale.

Passi per la registrazione:

1. Accedere al sito dell’ACN o del CSIRT nazionale: Le aziende devono visitare il sito ufficiale dell’ACN (https://www.acn.gov.it) o del CSIRT (https://www.csirt.gov.it) per ottenere informazioni sulle procedure di registrazione.
2. Registrazione come operatore di servizi essenziali o critici: Le aziende devono compilare il modulo di registrazione, fornendo informazioni dettagliate sui servizi offerti e sui contatti aziendali per la sicurezza informatica.
3. Segnalazione degli incidenti: Una volta registrate, le aziende devono utilizzare i portali indicati dall’ACN per notificare eventuali incidenti di sicurezza significativi, seguendo le linee guida previste.

L’ACN fornisce anche supporto e linee guida per la conformità alla direttiva NIS-2 e altre normative sulla sicurezza informatica.

➡️  Cosa è necessario fare per adeguarsi alla normativa?

Per adeguarsi alla direttiva NIS-2, un’azienda deve seguire una serie di passi fondamentali per garantire la conformità e migliorare la propria sicurezza informatica:

1. Valutazione dei Rischi
2. Identificare le minacce e le vulnerabilità che potrebbero influire sulle proprie operazioni.
3. Valutare l’impatto potenziale degli incidenti sulla continuità dei servizi e sulla sicurezza dei dati.

1. Implementazione di Misure di Sicurezza

• Adottare misure tecniche e organizzative per la gestione dei rischi, come:
  • Sistemi di rilevamento delle intrusioni.
  • Crittografia dei dati.
  • Backup regolari e piani di ripristino.
  • Formazione del personale sulla sicurezza informatica.
• Assicurarsi che le misure siano adeguate alle dimensioni e al settore dell’azienda.

3. Piano di Continuità Operativa

• Sviluppare un piano di continuità operativa per garantire che i servizi critici possano essere mantenuti anche in caso di incidente.
• Prevedere test periodici per verificare l’efficacia del piano.

4. Monitoraggio e Rilevamento degli Incidenti

• Implementare strumenti e procedure per monitorare gli eventi di sicurezza e rilevare tempestivamente gli incidenti.
• Stabilire un processo per gestire e rispondere agli incidenti di sicurezza informatica.

5. Segnalazione degli Incidenti

• Stabilire una procedura per notificare gli incidenti significativi alle autorità competenti entro i termini previsti dalla normativa (solitamente entro 24 o 72 ore, a seconda della gravità).
• Mantenere un registro delle notifiche e delle azioni intraprese per rispondere agli incidenti.

6. Revisione della Conformità e Audit Periodici

• Effettuare audit interni ed esterni regolari per valutare la conformità alle misure richieste.
• Apportare eventuali correzioni in base ai risultati degli audit.

➡️  Quali sono i soggetti che devono adeguarsi ?

Soggetti Essenziali (Allegato I):

1. Energia: Produzione, trasmissione e distribuzione di elettricità, gas, petrolio.
2. Trasporti: Aerei, ferroviari, marittimi e su strada.
3. Banche: Enti creditizi e infrastrutture di mercato finanziario.
4. Sanità: Ospedali, cliniche, produttori di dispositivi medici.
5. Acqua: Fornitori di acqua potabile e gestione delle acque reflue.
6. Infrastrutture digitali: Data center, servizi di cloud computing, reti DNS.
7. Pubblica amministrazione: Enti centrali e regionali.
8. Spazio: Operatori di infrastrutture per i servizi spaziali.

Soggetti Critici (Allegato II):

1. Gestione dei rifiuti.
2. Produzione, trasformazione e distribuzione di alimenti.
3. Servizi digitali: Marketplace online, motori di ricerca, piattaforme di social network.
4. Ricerca: Organizzazioni e attività sperimentali nel campo della ricerca.

Eccezioni Specifiche:

Alcune categorie sono soggette alla direttiva indipendentemente dalle dimensioni:

• Prestatori di servizi fiduciari qualificati.
• Gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema DNS.
• Fornitori di reti pubbliche di comunicazione elettronica.
• Pubbliche amministrazioni centrali.

Queste categorie devono adottare misure di sicurezza informatica e rispettare gli obblighi di segnalazione degli incidenti.

Soluzioni Sophos per la Conformità alla Direttiva NIS2

Sophos offre una gamma di strumenti per aiutare le aziende a soddisfare i requisiti della NIS2. Ecco come le soluzioni Sophos possono supportare le imprese:

• Analisi dei Rischi e Sicurezza IT: Sophos Intercept X e Sophos Firewall sono progettati per prevenire, rilevare e rispondere alle minacce cyber in tempo reale. Queste soluzioni forniscono un livello di protezione avanzata contro malware e attacchi mirati, garantendo la conformità alle misure tecniche richieste dalla NIS2.
• Continuità Operativa e Gestione degli Incidenti: Con Sophos Managed Detection and Response (MDR), le aziende ricevono supporto 24/7 per il monitoraggio degli incidenti e la risposta rapida alle minacce. Questo strumento offre anche piani di ripristino in caso di disastro e consente un’azione immediata per minimizzare l’impatto degli attacchi, assicurando la continuità operativa.
• Sicurezza della Supply Chain: Sophos ZTNA e Sophos MDR aiutano a proteggere i dati aziendali dalla supply chain, applicando controlli di accesso rigorosi e visibilità completa sulle attività sospette dei fornitori. Queste soluzioni assicurano che solo utenti autorizzati possano accedere alle risorse aziendali.
• Cifratura e Controllo degli Accessi: Sophos Central Device Encryption e Sophos Firewall supportano l’implementazione di crittografia avanzata e autenticazione a più fattori, garantendo che i dati siano protetti sia in transito che a riposo, come richiesto dalla direttiva.
• Formazione sulla Cybersecurity: Sophos Phish Threat offre simulazioni di attacchi phishing e corsi di formazione per sensibilizzare i dipendenti alle best practice di sicurezza. Questo strumento è essenziale per ridurre i rischi di attacchi interni e promuovere una cultura della sicurezza in azienda.

 

 

Per allinearsi alla NIS2, le aziende devono agire subito: mappare i rischi informatici, rafforzare le misure di sicurezza, e formare il personale. Sophos e Atik offrono una suite completa di soluzioni integrate per la gestione della sicurezza informatica, supportando le aziende in ogni fase del percorso verso la conformità alla Direttiva NIS2.

Contattaci subito per una consulenza gratuita con i nostri esperti!