10 January, 2025

Che cos'è la NIS2 e cosa bisogna fare?

1. Che cos’è la NIS 2? La Direttiva UE 2022/2555, nota come NIS 2 e recepita in Italia con D. Lgs. del 04/09/2024 n.138, stabilisce regole comuni per migliorare la sicurezza informatica in Europa.

2. A chi si applica la normativa? Si rivolge ai soggetti che operano in 11 settori “ad alta criticità” – Allegato I (tra cui energia, trasporti, settore bancario, sanitario, infrastrutture digitali) e 7 settori “critici” – Allegato II (tra cui alimentare, chimica, manifattura, servizi digitali, ricerca), rispetto ai quali viene introdotto anche un criterio di individuazione su base dimensionale, che estende l’applicazione della normativa a tutte le imprese medie (almeno 50 dipendenti o fatturato superiore a 10 milioni di euro) e grandi (almeno 250 dipendenti o fatturato superiore a 50 milioni di euro) che operano nei settori identificati. Micro e piccole imprese, salvo eccezioni dovute allo svolgimento di attività particolari, paiono fuori ambito. Possono essere coinvolte anche le aziende, indipendentemente dalle loro dimensioni che fanno parte della supply chain (catena di fornitura) di un soggetto importante o essenziale e nello specifico:

  1. adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
  2. detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
  3. effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
  4. forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale. Per sapere precisamente quali sono i settori critici ed altamente critici e vedere se la tua realtà è coinvolta puoi cliccare QUI

3. Registrazione obbligatoria per i soggetti NIS 2: scadenze e categorie La Direttiva NIS 2 richiede ai soggetti interessati di registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Le scadenze variano:

Entro il 17 gennaio 2025:

  • Fornitori di servizi di sistema dei nomi di dominio.
  • Gestori di registri dei nomi di dominio di primo livello.
  • Fornitori di servizi di registrazione dei nomi di dominio.
  • Fornitori di servizi di cloud computing, data center e reti di distribuzione dei contenuti.
  • Fornitori di servizi gestiti e di sicurezza gestiti.
  • Fornitori di mercati online, motori di ricerca online e piattaforme di social network. Entro il 28 febbraio 2025: Tutti gli altri soggetti inclusi nella Direttiva NIS 2, tra cui aziende essenziali e importanti nei settori energia, trasporti, finanza, sanità, infrastrutture digitali, fornitura di acqua potabile e pubblica amministrazione, qualora soddisfino i requisiti dimensionali.

4. Come registrarsi La registrazione si compone di tre fasi: a. Censimento del Punto di contatto (PdC): Accedere al portale ACN con SPID o credenziali alternative, inserire i dati del PdC e il titolo giuridico che ne legittima l’operatività. b. Associazione all’organizzazione: Fornire il codice IPA (per PA) o il codice fiscale (per privati), e convalidare i dati. c. Compilazione della dichiarazione: Inserire informazioni su attività (codici ATECO), normative applicabili, dimensioni aziendali e tipologie di soggetto.

5. Obblighi principali della Direttiva NIS 2 I soggetti devono: a. Registrarsi fornendo dati quali ragione sociale, indirizzo, recapiti e nomina di un Punto di contatto (PdC). b. Formare il personale e il management sulla cybersicurezza. c. Effettuare analisi dei rischi e adottare misure di sicurezza minime. d. Segnalare eventuali incidenti informatici.

6. Sanzioni per inosservanza La mancata registrazione o comunicazione di dati aggiornati comporta sanzioni fino allo 0,1% del fatturato annuo.

7. Risultati finali ACN invierà entro aprile 2025 un codice identificativo ai soggetti registrati per facilitare le comunicazioni. L’adempimento richiede un approccio integrato che contempli anche il coinvolgimento del DPO per garantire conformità tra privacy e cybersicurezza.

Per comprendere meglio l’argomento è disponibile il video di spiegazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) reperibile cliccando QUI

Altre News

  • 08 January, 2025DATA BREACH a Infocert: interrogazioni del Garante
  • 18 December, 2024Il DPO nell’era dell’AI: custode della privacy e architetto dell’etica digitale
  • 04 December, 2024Shopping online, 4.700 siti fasulli mettono a rischio privacy e sicurezza degli utenti in occasione del Black Friday
  • 25 November, 2024Attenzione ad usare la password dei colleghi
  • 04 November, 2024Dossieraggio, l’alibi del super hacker per distrarci dall’inadeguatezza della sicurezza
  • 23 October, 2024Data breach, Garante Privacy sanziona Postel per 900mila euro
  • 23 October, 2024Garante: stop al software che accede all’email del dipendente
  • 08 October, 2024Installare una telecamera È LEGALE per un privato cittadino? Solo a certe condizioni!
  • 26 September, 2024La Direttiva NIS2 ed il suo recepimento nella normativa nazionale: un nuovo standard per la cybersecurity in Europa
  • 18 September, 2024Provvedimenti disciplinari, utili a gestire la responsabilità
  • 17 September, 2024Sanzione di 5mln di euro a un fornitore di luce e gas
  • 09 September, 2024Le IA nelle chatbot come le sirene di Ulisse: quali pericoli comportano per gli adolescenti, anche a livello privacy?
  • 30 August, 2024Noleggio auto: il Garante della Privacy sanziona una banca e una società di leasing
  • 23 August, 2024Email aziendali, il datore di lavoro decide, a suo rischio, per quanto tenere i metadati
  • 08 August, 2024La strategia italiana per l’IA 2024-2025: un bilancio tra ambizioni e criticità
  • 02 August, 2024Google Chrome, sparite le password di 15 milioni di utenti che le avevano salvate sul browser
  • 25 July, 2024Prenota le vacanze, ma attenzione alla privacy!