NIS2

Normativa europea e nazionale in materia di cybersecurity

La nuova direttiva europea sulla sicurezza delle reti e dell’informazione, Network and Information Security Directive 2 (NIS2), è in vigore da ottobre 2024. La direttiva impone requisiti significativi in materia di cybersecurity per le organizzazioni operanti nei settori ritenuti essenziali o importanti per la società.

Queste misure di sicurezza informatica obbligatorie, basate sulla valutazione del rischio, possono contribuire in modo efficace ad un livello di sicurezza più elevato, e molti degli elementi previsti è possibile siano già inclusi nelle politiche di cybersicurezza delle organizzazioni. Tuttavia, il mancato rispetto di tali misure obbligatorie può comportare sanzioni significative.

BDO ha sviluppato uno strumento di valutazione NIS2 chiaro e immediato, in grado di fornire una panoramica della situazione attuale della tua organizzazione. Puoi accedere a questo strumento tramite il pulsante qui sotto.

Strumento di Analisi NIS2

COME FUNZIONA

NIS2 IN BREVE:

Poiché la direttiva NIS2 non è facilmente accessibile a tutti, offriamo una breve panoramica di questa Direttiva Europea sulla sicurezza delle reti e delle informazioni. In questo articolo ne spieghiamo l’essenza e indichiamo a chi è particolarmente rilevante. Scopri i requisiti e le migliori pratiche per conformarti alla NIS2.

Qual è la tua situazione attuale?

Per capire quanto la tua organizzazione sia pronta e matura per gli adempimenti previsti in materia di cybersicurezza, è importante svolgere periodici assessment rispetto alle best practice e ai requisiti normativi più recenti che ogni nazione promulga indipendentemente.
I primi requisiti sono stati formalizzati per la legislazione italiana ad aprile 2025, ed è già evidente l’orientamento normativo e i punti di contatto con framework esistenti come ad esempio la ISO 27001.

Esegui ora lo Strumento di Analisi NIS2 e ottieni una panoramica della tua situazione attuale.

Strumento di Analisi NIS2

Che cosa prevede?

La NIS2 impone requisiti di sicurezza che sono raggruppati sotto dovere di diligenza, obbligo di segnalazione e supervisione, e sono già relativamente concreti prima di essere formalizzati nella legislazione nazionale. Questi includono, tra gli altri, gli elenchi concreti di misure dell’articolo 21 e le sanzioni significative dell’articolo 34 (4). Per saperne di più, leggi la direttiva:

La direttiva NIS2 impone requisiti di sicurezza suddivisi in tre ambiti principali: obbligo di diligenza, obbligo di notifica e supervisione. Questi requisiti sono già relativamente concreti, anche prima della loro formale trasposizione nella legislazione nazionale italiana. Tra essi figurano, ad esempio, l’elenco dettagliato delle misure di sicurezza previsto dall’Articolo 21 e le sanzioni significative indicate nell’Articolo 34, paragrafo 4. Puoi consultare il testo completo della direttiva qui: EUR-Lex – 32022L2555 (europa.eu).
Inoltre, la direttiva introduce altri elementi rilevanti, come (i) la sicurezza della catena di fornitura, (ii) la responsabilità degli organi di gestione e (iii) gli obblighi di formazione.

A chi si rivolge?

Le organizzazioni che rientreranno nell’ambito di applicazione della nuova direttiva europea sulla sicurezza delle reti e dell’informazione (NIS2) includono aziende del settore energetico, compagnie aeree, aziende idriche, fornitori di servizi digitali, enti pubblici e i loro fornitori. Ogni nazione può indicare caratteristiche e obblighi diversi per l’adempimento della normativa, in caso di aziende con presenza in uno o più paesi esteri è consigliabile consultare le informazioni fornite dal governo nazionale. In Italia, il punto di riferimento è l’Agenzia per la Cybersicurezza Nazionale (ACN), che pubblica aggiornamenti e materiali di supporto sull’attuazione della NIS2. In caso di dubbi, non esitare a contattarci per ricevere consulenza e supporto da parte dei nostri esperti.

Quali entità sono coinvolte?

La direttiva NIS2 si rivolge a un numero maggiore di tipologie di aziende e organizzazioni rispetto alla prima direttiva NIS. Ciò significa che ora ci sono più organizzazioni pubbliche e private che devono conformarsi alle norme.

Le organizzazioni ora coperte dalla direttiva NIS2 includono:

Settori dell’Allegato I Settori dell’Allegato II
  • Energia
  • Trasporti
  • Banche
  • Infrastrutture dei mercati finanziari
  • Sanità
  • Acqua potabile
  • Infrastrutture digitali
  • Fornitori di servizi ICT
  • Acque reflue
  • Servizi della pubblica amministrazione
  • Spazio
  • Fornitori di servizi digitali
  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Produzione alimentare
  • Industria chimica
  • Ricerca
  • Manifattura (produzione industriale)

Entità essenziali

Si tratta di grandi organizzazioni che operano in uno dei settori di cui all’Allegato I della direttiva NIS2 (vedi tabella).

Un’organizzazione è considerata di grandi dimensioni in base ai seguenti criteri:

  • almeno 250 dipendenti;
  • un fatturato annuo superiore a 50 milioni di euro.

Entità importanti 

Si tratta di organizzazioni di medie dimensioni che operano in un settore di cui all’Allegato I e di organizzazioni di medie e grandi dimensioni che operano in un settore di cui all’Allegato II.

Un’organizzazione è considerata di medie dimensioni in base ai seguenti criteri:

  • almeno 50 dipendenti;
  • un fatturato annuo superiore ai 10 milioni di Euro.

    I nostri servizi

    Possiamo supportare la tua organizzazione nel raggiungere e mantenere la conformità alla direttiva NIS2 e nell’implementazione delle misure di cybersicurezza richieste, attraverso una gamma di servizi dedicati.

    Cyber Risk Management

    Valutazione e gestione dei rischi cyber a partire dalla mappatura delle componenti logiche e fisiche dell’organizzazione, fino al testing di un framework completo di controlli, costruito sulla base delle normative e regolamentazioni vigenti (inclusa la NIS2 o DORA).

    Cyber Education

    Percorsi formativi strutturati per aumentare la consapevolezza e la preparazione del personale. Dal livello base per tutti i dipendenti, fino a corsi avanzati per sistemisti e personale IT, il nostro portfolio formativo è pensato per rafforzare la resilienza interna contro il cyber crime.

    Vulnerability Assessment & Penetration Testing (VA/PT/TLPT su framework TIBER IT/EU)

    Servizi di Ethical Hacking che forniscono una visione dettagliata del livello di robustezza della tua infrastruttura informatica. Le attività sono svolte da esperti certificati BDO con esperienza nelle metodologie più avanzate di security assessment.

    IT Governance, Risk & Compliance (GRC)

    Supporto continuo al raggiungimento e mantenimento della compliance ai principali standard internazionali, grazie al nostro framework proprietario di IT compliance, in linea con NIS2, ISO 27001, NIST e altri framework di riferimento.

    Digital Forensics

    Attività investigative su evidenze digitali svolte con metodologie forensi multidisciplinari, conformi agli standard tecnici e ai requisiti legali per l’acquisizione e l’analisi di prove digitali in caso di incidente, esfiltrazione dati, contenziosi civili e procedimenti penali.

    Contattaci!

    © 2024 BDO Canada LLP

    Privacy & Cookie Policy