Sei pronto per la Direttiva NIS2?
La Direttiva NIS2 è la risposta dell'Unione Europea al numero crescente di minacce informatiche: la nuova “Direttiva sulla sicurezza delle reti e dei sistemi informativi” introduce normative sulla cybersecurity più rigorose, applicabili a un maggior numero di settori e aziende. L'obiettivo rimane lo stesso: proteggere le infrastrutture (critiche) e aumentare la resilienza agli attacchi informatici.
In quanto direttiva europea, questo insieme di regole deve essere recepito nella legislazione nazionale dagli Stati membri. In Germania, per questo scopo è stato elaborato il "NIS-2 Implementation and Cybersecurity Strengthening Act" (NIS2UmsuCG). Tuttavia, a causa delle nuove elezioni previste per l'inizio del 2025 e del principio di discontinuità legislativa, la sua entrata in vigore sarà posticipata alla prossima legislatura, probabilmente alla fine del 2025 o all’inizio del 2026. Nonostante ciò, leggi nazionali sono già entrate in vigore in più di sette Stati membri dell'UE, tra cui Belgio, Italia, Croazia e Ungheria.
Le aziende tedesche farebbero bene a sfruttare il tempo guadagnato per affrontare da subito i requisiti della Direttiva NIS2. Non rispettare le misure minime previste potrebbe comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuale. Inoltre, la NIS2 introduce standard più elevati di responsabilità manageriale, includendo anche la responsabilità personale con i propri beni.
Preparatevi a implementare i requisiti della NIS2 con la nostra esperienza: possiamo valutare la vostra situazione attuale, elaborare una roadmap e aiutarvi a diventare un'organizzazione conforme in materia di sicurezza informatica e delle informazioni.
Esempi Europei: il caso Germania.
Sono interessato dalla Direttiva NIS2?
La Direttiva NIS 2 rende la cybersecurity rilevante per molte più aziende: gli esperti stimano che circa 150.000 aziende in tutta l'UE siano interessate. Questo perché la NIS 2 si applica anche a piccole aziende con 50 o più dipendenti o un fatturato annuale e un totale di bilancio di 10 milioni di euro. Inoltre, il numero dei settori interessati è stato ampliato da undici a 18. Undici settori sono considerati altamente critici (entità essenziali) e sette più critici (entità importanti). Per determinare l'entità dell'impatto (analisi di rilevanza), devono essere considerate e valutate tutte le unità aziendali e le aziende associate sulla base delle regole di assegnazione e degli statuti del Gruppo.
Qual è la differenza fra soggetti essenziali e importanti?
La classificazione si basa sulla dimensione dell'azienda e sul settore: le entità essenziali sono organizzazioni che operano in un settore critico e hanno più di 250 dipendenti o un fatturato annuale superiore a 50 milioni di euro e un totale di bilancio di 43 milioni di euro.
Settori critici essenziali:
- Energia: Elettricità, petrolio, gas naturale, idrogeno, teleriscaldamento e raffreddamento di quartiere
- Trasporti: Aviazione, trasporto ferroviario, navigazione, trasporto su strada
- Banche
- Infrastruttura del mercato finanziario
- Sanità: Ospedali, ricerca, farmaceutici, dispositivi medici
- Fornitura di acqua potabile
- Trattamento delle acque reflue
- Infrastruttura digitale: Data center, servizi DNS, cloud computing
- Fornitori di servizi ICT: Fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti
- Pubblica amministrazione: Autorità e uffici pubblici a livello nazionale e regionale
- Spazio esterno: Operatori di infrastrutture a terra
Tutte le altre organizzazioni con più di 50 dipendenti o un fatturato annuale superiore a 10 milioni di euro sono considerate entità importanti.
Settori critici importanti:
- Servizi postali e di corriere: Consegna di lettere e pacchi
- Gestione dei rifiuti: Raccolta e riciclaggio dei rifiuti
- Chimici: Produzione e commercio di sostanze chimiche
- Alimentare: Produzione, lavorazione e distribuzione di alimenti
- Produzione: Fabbricanti di dispositivi medici, macchinari, veicoli e elettrodomestici
- Servizi digitali: Motori di ricerca, marketplace, reti sociali
- Ricerca: Istituzioni di ricerca
Importante: Gli Stati membri dell'UE possono ampliare i requisiti se un'azienda soddisfa determinati criteri che indicano che essa svolge un ruolo chiave per la società, l'economia o per specifici settori o tipi di servizi.
Cosa cambierà con la NIS 2?
Come accennato, il cambiamento più significativo è l'ampliamento dell'ambito delle aziende soggette a conformità. Inoltre, i requisiti di cybersecurity sono ora più rigorosi: le aziende interessate devono implementare misure appropriate "all'avanguardia" in aree come la gestione del rischio, la gestione della continuità aziendale (BCM), la sicurezza della catena di approvvigionamento e la risposta agli incidenti.
Inoltre, le autorità di regolamentazione nazionali hanno ora poteri di enforcement più forti, con sanzioni più severe per le violazioni e obblighi di segnalazione più rigorosi. Le aziende saranno ora tenute a segnalare prontamente gli incidenti di sicurezza — non oltre le "24 ore" dopo averne preso conoscenza — presentando un rapporto di avviso precoce iniziale e seguendolo entro 72 ore con l'invio di un rapporto dettagliato aggiornato.
Quali sono le sanzioni e i rischi di responsabilità?
Non solo i requisiti stanno diventando più rigorosi, ma sta aumentando anche la pressione per farli rispettare - ad esempio attraverso sanzioni più severe e responsabilità personale a livello dirigenziale. La non conformità alla Direttiva NIS2 potrebbe comportare:
- Multe fino a 10 milioni di euro o 2% del fatturato globale annuale totale per le entità essenziali
- Multe fino a 7 milioni di euro o 1,4% del fatturato globale annuale totale per le entità importanti
- Responsabilità della dirigenza per le violazioni della Direttiva
- La dirigenza può essere ritenuta responsabile con i propri beni personali
- Divieto/rigetto dalle funzioni dirigenziali
- Sospensione temporanea dei servizi
Quali requisiti NIS 2 è necessario soddisfare?
Per essere conforme alla NIS2, un programma di sicurezza deve coprire i seguenti requisiti almeno:
Soddisfare i requisiti attraverso la Governance
I sistemi di gestione della sicurezza conformi agli ISO/IEC 27001 forniscono una base solida per soddisfare i requisiti specifici della NIS 2. Le best practices possono essere implementare in parte o nella loro totalità.
I sistemi di gestione della cybersecurity aiutano a identificare e valutare i rischi, adottare le policy e le procedure di sicurezza appropriate e monitorarne l'efficacia. Promuovono inoltre un approccio proattivo alla sicurezza delle infrastrutture attraverso revisioni regolari, audit e un miglioramento continuo.
Come TÜV Rheinland può supportarti con la NIS2:
NIS2, Verifica Rapida
Scopri con il nostro IT Compliance Readiness Assessment NIS-2 o il NIS-2 Quick Check se e in che modo la Direttiva NIS2 interessa la tua organizzazione. Nell'ambito del nostro IT Compliance Readiness Assessment, identifichiamo e classifichiamo le aree di rischio specifiche per la tua azienda, oltre a valutare in che misura il sistema esistente è in grado di soddisfare ulteriori requisiti (futuri), come il Data Act dell’UE, il Cyber Resilience Act, il DORA (per il settore finanziario), ecc.
Un report completo con un piano d'azione viene redatto al termine del progetto e costituisce la base per l'implementazione di un sistema di gestione della conformità IT, con o senza un ISMS ISO 27001, in base alle esigenze del cliente.
Se cerchi un'introduzione breve e concisa al tema, ti consigliamo il nostro NIS2 QuickCheck. Durante questo processo, verifichiamo se e in quali aree la Direttiva NIS2 è rilevante per la tua organizzazione (analisi della rilevanza).
Servizi di consulenza completa
Utilizza i nostri servizi di consulenza per ottemperare alla Direttiva NIS-2 e alla legislazione nazionale di recepimento, sia in Germania che in altri Stati membri dell'UE. Questi servizi spaziano da un'analisi dettagliata delle lacune in materia di NIS-2, BCM, ISMS, protezione dei dati e conformità, fino a valutazioni di maturità e progettazione di soluzioni di sicurezza. Inoltre, testiamo e valutiamo le vostre tecnologie di sicurezza per prevenire, rilevare e rispondere agli attacchi.
Implementazione e Operatività
Con il rapporto finale dell'IT Compliance Readiness Assessment NIS-2, riceverai un piano d'azione e di remediation che potrai implementare con le tue risorse interne oppure fare nuovamente affidamento sull'espertise di TÜV Rheinland. Lavoreremo con te per implementare le misure basandoci sulla nostra comprovata esperienza nell'implementazione e sulle migliori pratiche.
Offriamo inoltre servizi complementari di implementazione basati su strumenti: potrai acquistare una soluzione propria oppure usufruire di un servizio gestito con moduli variabili - dalla mera implementazione del servizio e supporto di base fino all'operatività completa, inclusi i servizi SOC (Security Operations Centre).
I tuoi vantaggi in sintesi:
- Rispetta i requisiti legali
- Proteggi i processi aziendali critici
- Rimani aggiornato sui rischi cyber
- Introduci misure di sicurezza mirate
- Investi nelle misure giuste
- Minimizza i rischi di responsabilità personale
- Massimizza la sicurezza delle informazioni
Lasciaci supportarti nella conformità alla Direttiva NIS2.
Se non sei sicuro che la tua azienda sia interessata, siamo qui per aiutarti a fare chiarezza conducendo un'Analisi di Rilevanza.
Possiamo supportarti con una consulenza completa, moduli di servizio personalizzati e un'implementazione affidabile per raggiungere il tuo obiettivo.
Contatta
-cybersecurity-services-1_core_4_3.jpg)