{"id":29090,"date":"2024-07-23T14:15:51","date_gmt":"2024-07-23T12:15:51","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29090"},"modified":"2024-07-23T14:24:57","modified_gmt":"2024-07-23T12:24:57","slug":"what-is-nis2-directive","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/what-is-nis2-directive\/29090\/","title":{"rendered":"Cos&#8217;\u00e8 la direttiva NIS 2 e come prepararsi"},"content":{"rendered":"<p>L\u2019argomento di oggi \u00e8 la Direttiva NIS 2, che mira a migliorare la cyber-resilienza di infrastrutture critiche e soggetti essenziali. NIS 2 ha tutta l\u2019aria di diventare ci\u00f2 che il GDPR \u00e8 diventato per la privacy dei dati degli utenti nell\u2019UE, ma in questo caso si tratta di sicurezza delle informazioni.<\/p>\n<p>Non passer\u00e0 molto tempo prima che la nuova direttiva venga recepita nel diritto nazionale. Se la vostra organizzazione non \u00e8 ancora pronta, \u00e8 arrivato il momento di agire.<\/p>\n<h2>Cos\u2019\u00e8 NIS 2?<\/h2>\n<p>La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/it\/policies\/nis2-directive\" target=\"_blank\" rel=\"noopener nofollow\">NIS 2<\/a>) \u00e8 la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l\u2019UE.<\/p>\n<p>La direttiva NIS 2 aggiornata si concentra su tre aree principali:<\/p>\n<ul>\n<li><strong>Ampliamento del campo di applicazione<\/strong>: nuovi settori vengono a integrare i sette gi\u00e0 inseriti nella direttiva NIS originale<\/li>\n<li><strong>Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni<\/strong>: NIS 2 impone la segnalazione tempestiva di casi significativi<\/li>\n<li><strong>Applicazione pi\u00f9 rigorosa della conformit\u00e0<\/strong>: l\u2019aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformit\u00e0, comprese ammende fino al 2% del fatturato annuo globale<\/li>\n<\/ul>\n<h2>A quali organizzazioni si applica NIS 2?<\/h2>\n<p>Come accennato in precedenza, la direttiva rivista amplia <em>notevolmente<\/em> l\u2019ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:<\/p>\n<ul>\n<li><strong>Settori ad alta criticit\u00e0 (Allegato I):<\/strong>\n<ul>\n<li>Energia (elettricit\u00e0, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)<\/li>\n<li>Trasporti (aereo, ferroviario, marittimo, stradale)<\/li>\n<li>Settore bancario<\/li>\n<li>Infrastrutture del mercato finanziario<\/li>\n<li>Sanit\u00e0<\/li>\n<li>Acqua potabile<\/li>\n<li>Acque reflue<\/li>\n<li>Infrastruttura digitale<\/li>\n<li>Gestione dei servizi ICT (MSP, MSSP)<\/li>\n<li>Enti di pubblica amministrazione<\/li>\n<li>Settore spaziale<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Altri settori critici (Allegato II):<\/strong>\n<ul>\n<li>Servizi postali e di corriere<\/li>\n<li>Gestione dei rifiuti<\/li>\n<li>Fabbricazione, produzione e distribuzione di prodotti chimici<\/li>\n<li>Produzione, lavorazione e distribuzione di cibo<\/li>\n<li>Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)<\/li>\n<li>Fornitori digitali<\/li>\n<li>Ricerca<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Oltre a classificare i settori, NIS 2 introduce un\u2019ulteriore classificazione di specifici soggetti. Anch\u2019essa si compone di due categorie:<\/p>\n<ul>\n<li><strong>Essenziale (Articolo 3.1):<\/strong>\n<ul>\n<li>Grandi realt\u00e0 (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticit\u00e0<\/li>\n<li>Autorit\u00e0 di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell\u2019azienda<\/li>\n<li>Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)<\/li>\n<li>Istituzioni di pubblica amministrazione<\/li>\n<li>Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell\u2019UE come <em>essenziale<\/em><\/li>\n<li>Soggetti definiti <em>critici<\/em> ai sensi della <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2557\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Direttiva (UE) 2022\/2557<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Importante (Articolo 3.2):<\/strong>\n<ul>\n<li>Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticit\u00e0<\/li>\n<li>Medi e grandi soggetti in altri settori critici<\/li>\n<li>Qualsiasi soggetto definito come <em>importante<\/em> da uno Stato membro dell\u2019UE<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>La categoria a cui appartiene un soggetto ha implicazioni pratiche significative. Le attivit\u00e0 dei soggetti classificati come <em>essenziali<\/em> saranno sottoposte a una supervisione molto pi\u00f9 rigorosa e proattiva, che includer\u00e0 investigazioni inattese, speciali controlli di sicurezza e richieste di prove di conformit\u00e0. In caso di non conformit\u00e0 con NIS 2, i soggetti <strong><em>essenziali<\/em> possono incorrere in una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo globale<\/strong>.<\/p>\n<p>I soggetti classificati come importanti sentiranno meno il fiato sul collo: saranno interessati da controlli meno rigorosi. <strong>Per i soggetti <em>importanti<\/em> le sanzioni sono leggermente pi\u00f9 contenute: fino a 7 milioni di euro o fino all\u20191,4% del fatturato globale annuo<\/strong>.<\/p>\n<h2>Tempistiche di NIS 2<\/h2>\n<p>Si noti che, a differenza del GDPR, NIS 2 \u00e8 una <a href=\"https:\/\/european-union.europa.eu\/institutions-law-budget\/law\/types-legislation_it\" target=\"_blank\" rel=\"noopener nofollow\">direttiva<\/a> dell\u2019Unione Europea, non un <em>regolamento<\/em>. Ci\u00f2 significa che gli Stati membri dell\u2019UE sono tenuti per legge a modificare la propria legislazione nazionale entro il termine stabilito. Nel caso di NIS 2, la scadenza \u00e8 fissata per il 17 ottobre 2024.<\/p>\n<p>Inoltre, gli Stati membri dell\u2019UE dovranno stilare gli elenchi dei soggetti <em>essenziali<\/em> e <em>importanti<\/em> interessati da NIS 2 entro il 17 aprile 2025.<\/p>\n<p>Pu\u00f2 essere utile rivisitare la cronologia delle fasi principali di NIS 2:<\/p>\n<ul>\n<li>6 luglio 2016: adozione della <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2016\/1148\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Direttiva (UE) 2016\/1148<\/a>, l\u2019originaria NIS<\/li>\n<li>9 maggio 2018: termine per il recepimento della direttiva NIS negli Stati membri dell\u2019UE<\/li>\n<li>7 luglio 2020: avvio delle consultazioni della Commissione Europea (CE) sulla revisione del NIS<\/li>\n<li>16 dicembre 2020: pubblicazione della proposta di NIS2 da parte della CE<\/li>\n<li>13 maggio 2022: voto del parlamento europeo sull\u2019adozione della direttiva NIS 2<\/li>\n<li>10 novembre 2022: approvazione della Direttiva NIS 2 da parte del Consiglio dell\u2019UE<\/li>\n<li>14 dicembre 2022: pubblicazione della Direttiva NIS 2 nella Gazzetta Ufficiale dell\u2019UE con il titolo <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Direttiva (UE) 2022\/2555<\/a><\/li>\n<li>16 gennaio 2023: entrata in vigore della Direttiva NIS 2<\/li>\n<li>17 ottobre 2024: termine ultimo per gli Stati membri dell\u2019UE per il recepimento della direttiva NIS 2 nelle rispettive legislazioni nazionali<\/li>\n<li>17 aprile 2025: termine ultimo per gli Stati membri dell\u2019UE per la compilazione degli elenchi dei soggetti <em>essenziali<\/em> e <em>importanti<\/em>. Questi elenchi dovranno poi essere aggiornati regolarmente almeno ogni due anni<\/li>\n<li>17 ottobre 2027: revisione della direttiva NIS 2<\/li>\n<\/ul>\n<h2>Come prepararsi all\u2019attuazione di NIS 2?<\/h2>\n<ul>\n<li>Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione<\/li>\n<li>Indagate in che modo la direttiva NIS \u00e8 stata recepita nella legislazione nazionale nel vostro Stato membro dell\u2019UE<\/li>\n<li>Seguite le raccomandazioni delle autorit\u00e0 nazionali per la sicurezza informatica<\/li>\n<li>Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza<\/li>\n<\/ul>\n<p>Maggiori informazioni sulla Direttiva UE sulla sicurezza delle reti e dell\u2019informazione e su come le organizzazioni possono prepararsi alla sua attuazione sono disponibili nel nostro <a href=\"https:\/\/go.kaspersky.com\/Nis-2_it.html\" target=\"_blank\" rel=\"noopener nofollow\">sito dedicato a NIS 2.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Direttiva UE sulla sicurezza delle reti e dei sistemi informativi (NIS 2) \u00e8 entrata in vigore a gennaio 2023. Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale. Cosa comporta e come prepararsi?<\/p>\n","protected":false},"author":2726,"featured_media":29091,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,16,2955],"tags":[2498,3836,2427,2104,1424,638,3837,45,3838,3429,1643],"class_list":{"0":"post-29090","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-tips","9":"category-enterprise","10":"tag-business","11":"tag-conformita","12":"tag-gdpr","13":"tag-ics","14":"tag-infrastrutture-critiche","15":"tag-minacce","16":"tag-nis-2","17":"tag-sicurezza","18":"tag-sicurezza-dei-sistemi-di-controllo-industriale","19":"tag-sicurezza-industriale","20":"tag-ue"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-is-nis2-directive\/29090\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-nis2-directive\/30234\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-nis2-directive\/51536\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/what-is-nis2-directive\/22050\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-nis2-directive\/31472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/conformita\/","name":"conformit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29090","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29090"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29090\/revisions"}],"predecessor-version":[{"id":29093,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29090\/revisions\/29093"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29091"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29090"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29090"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29090"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}