Nessun elemento trovato.
Nessun elemento trovato.
Tutti i post

NIS2: rischi e opportunità per le imprese

autori

Fabio Borri
Nessun elemento trovato.

Contenuto

Condividi questo articolo

Sarò l'URL da copiare

WhatsApp

Introduzione e riferimenti normativi


NIS è l'acronimo di “Network and Information Security” (sicurezza delle reti e dell'informazione).<br>

Con questo acronimo, la Comunità europea ha inteso indicare l'impegno legislativo volto a definire un approccio standardizzato alla sicurezza informatica in tutti gli Stati membri dell'UE.

Nel 2018 è stato approvato il primo regolamento europeo denominato NIS1 (Direttiva UE 2016/1148), recepito a livello nazionale dal Decreto Legislativo n. 65 del 18/05/2018.

Il decreto NIS ha inoltre previsto l'adozione di una “strategia nazionale di sicurezza informatica” istituendo il CSIRT (Computer Security Incident Response Team) italiano con compiti tecnici relativi alla prevenzione, alla risposta e al monitoraggio degli incidenti informatici, in collaborazione con i CSIRT europei.<br>

La direttiva NIS 1 è stata successivamente sostituita dalla direttiva NIS 2 (Direttiva UE 2022/2555), recepita a livello nazionale con il decreto legislativo n. 138 del 4 settembre 2024.

La NIS 2 mira a superare i limiti della NIS 1, che lasciava troppa discrezionalità agli Stati membri durante il recepimento, con conseguente mancato raggiungimento dell'obiettivo di armonizzazione, ed escludeva inoltre alcune categorie di entità che avrebbero dovuto essere regolamentate data la loro importanza per il mercato europeo.

Inoltre, la NIS 2 è stata introdotta per rispondere all'aumento del tasso di digitalizzazione che ha avuto luogo in tutti gli Stati membri e che è stato accelerato dalla pandemia, il quale ha ampliato la superficie esposta agli attacchi informatici senza un corrispondente aumento dei sistemi di sicurezza.

Infine, un altro obiettivo della NIS 2 è quello di obbligare gli operatori di servizi essenziali e importanti e i fornitori di servizi digitali ad adottare misure di sicurezza adeguate e a segnalare tempestivamente gli incidenti alle autorità competenti e agli utenti dei loro servizi.

La nuova direttiva è stata allineata ad altre normative settoriali europee specifiche, tra cui:

- la direttiva sulla resilienza operativa digitale per il settore finanziario (DORA). Si tratta del regolamento approvato il 10 novembre 2022 con l'obiettivo di rafforzare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso l'attuazione di una serie di misure di sicurezza obbligatorie che garantiscano l'integrità delle informazioni e la sicurezza informatica dei servizi;

- la Direttiva sulla resilienza delle entità critiche (CER); volta a garantire chiarezza giuridica e coerenza tra le varie direttive.

Le imprese interessate sono state suddivise in:

  • Enti essenziali (energia; trasporti; sanità; approvvigionamento idrico; pubblica amministrazione; finanza; settore spaziale; infrastrutture digitali)
  • Enti importanti (ricerca; prodotti chimici; settore alimentare; produzione industriale; fornitori di servizi digitali; servizi postali; gestione dei rifiuti)
  • Enti pubblici: Amministrazione centrale (organi costituzionali e di rilevanza costituzionale; Ufficio del Primo Ministro e ministeri; agenzie fiscali; autorità amministrative indipendenti) | Amministrazione regionale (regioni e province autonome) | Amministrazione locale (città metropolitane; comuni con più di 100.000 abitanti; capoluoghi di provincia; autorità sanitarie locali) | Altri enti pubblici (organismi di regolamentazione economica; fornitori di servizi economici; associazioni; assistenza sociale; fornitori di servizi ricreativi e culturali; organismi e istituzioni di ricerca; istituti zooprofilattici sperimentali) | Altri tipi di enti (enti che forniscono servizi di trasporto pubblico locale; istituti di istruzione che svolgono attività di ricerca; enti che svolgono attività di interesse culturale; società interne; società partecipate e società a controllo pubblico)
  • Fornitori: le organizzazioni che forniscono servizi critici agli enti interessati dalla direttiva NIS2 devono rafforzare la propria sicurezza digitale, anche se non sono esplicitamente incluse nei settori soggetti all’obbligo.

Contenuto della direttiva NIS2


Gli obblighi generali previsti dalla direttiva NIS2 possono essere sintetizzati sulla base di quattro pilastri principali:

Governance: la direzione deve approvare le misure di gestione dei rischi adottate dall'organizzazione e valutarne l'efficacia nel tempo; seguire regolarmente corsi di formazione sulle questioni relative alla sicurezza informatica e offrire una formazione analoga ai dipendenti.

Gestione dei rischi: l'organizzazione deve valutare i rischi di sicurezza e di rete e adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei propri servizi.

Continuità operativa: l'organizzazione deve adottare soluzioni volte a garantire la continuità operativa (ad esempio, backup, piano di ripristino di emergenza e procedura di gestione delle crisi), al fine di ridurre al minimo l'impatto di eventuali interruzioni dei servizi forniti.

Catena di approvvigionamento: l'azienda deve valutare le vulnerabilità di ciascun fornitore diretto e la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori. La valutazione riguarderà i fornitori di ICT e altri fornitori critici che potrebbero causare interruzioni del servizio per il quale l'organizzazione è stata inclusa nel perimetro NIS2.<br>

Le aziende saranno quindi tenute a essere in grado di misurare e riferire in merito a:

  • Analisi dei rischi e politiche di sicurezza dei sistemi informativi
  • Procedure di gestione degli incidenti
  • Soluzioni di continuità operativa (backup e ripristino di emergenza) e procedure di gestione delle crisi e di comunicazione
  • Politiche di sicurezza della catena di approvvigionamento (fornitori e fornitori di servizi)
  • Sicurezza nell'acquisizione, nello sviluppo, nella manutenzione e nella gestione delle vulnerabilità dei sistemi informativi e delle reti

Calendario NIS2


Le imprese e le amministrazioni pubbliche dovranno effettuare una valutazione per capire se sono soggette agli obblighi previsti dalla direttiva NIS2.

Dal 1° dicembre 2024 al 28 febbraio 2025, le aziende dovranno aver effettuato l'autenticazione sul Portale dell'ACN (Agenzia Nazionale per la Sicurezza Informatica) utilizzando le proprie credenziali SPID. Durante questo periodo, gli utenti designati come /Servizio di Registrazione.

In particolare, le aziende sono tenute a:

  • Indicare se l'entità fa parte di un gruppo di società e fornire il codice fiscale della società madre, se applicabile.

  • Elencare le società collegate e fornire i loro codici fiscali.

  • Elencare i codici ATECO che descrivono l'attività dell'entità.<br>
  • Indicare le normative settoriali dell'Unione Europea pertinenti.
  • Fornire i dati relativi al fatturato, al bilancio e al numero di dipendenti per determinare la categoria dell'azienda.
  • Elencare i tipi di entità a cui appartiene l'azienda.


Entro il 17 gennaio 2025, i gestori dei registri dei nomi di dominio di primo livello, i fornitori di servizi relativi al sistema dei nomi di dominio e di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network dovranno essersi registrati sulla piattaforma.

Entro il 31 marzo 2025, l'ACN ha compilato un elenco di entità essenziali e importanti sulla base delle registrazioni ricevute attraverso la piattaforma.

Tra il 1° aprile 2025 e il 15 aprile 2025, l'ACN ha comunicato alle entità interessate se fossero state incluse nell'elenco delle entità essenziali o importanti.

Entro il 15 aprile 2025, i soggetti che hanno ricevuto la notifica erano tenuti a designare, mediante un atto specifico, un soggetto responsabile dell'adempimento degli obblighi previsti dal decreto.

Successivamente, i soggetti interessati dalla direttiva dovranno ottemperare a ulteriori requisiti:

  • entro il 1° gennaio 2026, obbligo di segnalazione degli incidenti
  • entro il 1° ottobre 2026, devono essere adempiuti gli obblighi relativi agli organi amministrativi e alle misure di sicurezza


Ogni anno l'ACN aggiornerà l'elenco dei soggetti interessati. Le imprese e le amministrazioni pubbliche avranno la possibilità di registrarsi ogni anno, tra gennaio e febbraio, qualora ritengano di rientrare tra i soggetti interessati.

Rischi per le imprese, ma anche opportunità


A seguito dell'entrata in vigore della direttiva NIS2 e dell'identificazione degli operatori interessati, le autorità competenti potranno effettuare attività di sorveglianza e controlli a campione per verificare la loro conformità alla direttiva. In caso di non conformità, saranno applicate sanzioni alle aziende coinvolte.

Le sanzioni sono molto severe: per le grandi aziende, fino a 10 milioni di euro o al 2% del fatturato globale; per le medie imprese, fino a 7 milioni di euro o all'1,4% del fatturato globale.

Sebbene la conformità alle normative richieda un impegno e un investimento evidenti da parte delle aziende, va anche riconosciuto che le normative stesse mirano a fornire una soluzione concreta al problema degli attacchi informatici, ai quali le aziende italiane sono ancora molto esposte e che spesso tendono a nascondere per motivi di immagine. In termini economici, il danno medio stimato per ogni singolo attacco informatico supera i 2 milioni di euro, indipendentemente dal fatturato dell’azienda.<br>

Come ERA può aiutare nella gestione della conformità alla NIS2


Nonostante tutto quanto sopra, che potrebbe suggerire che le aziende siano estremamente interessate e coinvolte nelle questioni di sicurezza informatica, non è raro, specialmente tra le piccole PMI, trovare aziende che hanno fatto poco o nulla in merito a tali questioni e che attualmente non sono in grado di definire la propria posizione in termini di rischi a cui sono esposte, sia dal punto di vista tecnico che in termini di conformità alle varie normative esistenti.

Alcune aziende affrontano la questione della sicurezza informatica ricorrendo a coperture assicurative. Tuttavia, le compagnie assicurative sono spesso riluttanti a offrire questo tipo di protezione alle aziende che non hanno mai intrapreso azioni concrete in ambito informatico. Ciò è dovuto al fatto che non esiste un metodo affidabile per stimare con precisione i danni causati da un attacco informatico. Di conseguenza, i “pacchetti NIS2” si concentrano sui servizi di valutazione del rischio informatico, ma lasciano alle aziende il compito di adottare le misure necessarie per colmare eventuali lacune. ERA è in grado di offrire un servizio più completo, avvalendosi di una rete di fornitori altamente qualificati a condizioni commerciali molto competitive.<br>

In dettaglio, il supporto di ERA consiste in:<br>

  • Una valutazione della struttura organizzativa e tecnica dell'azienda, con l'ausilio di questionari di autovalutazione che utilizzano indicatori predefiniti;<br>
  • Corsi di sensibilizzazione e formazione, con corsi di base per tutto il personale e moduli avanzati per il top management e il middle management, in linea con le linee guida NIS2;
  • Test specifici e altamente qualificati sull'analisi delle vulnerabilità, la gestione del phishing e la valutazione del rischio ransomware;
  • Supporto da parte di consulenti dedicati durante la fase di rimedio a seguito della valutazione;
  • Supporto specializzato da parte di consulenti dedicati per guidare le decisioni strategiche nel campo della sicurezza informatica.


La nostra soluzione prevede l'analisi della conformità alla normativa NIS2, che rappresenta certamente la priorità più urgente, ma è anche in grado di affiancare il cliente nella gestione del progetto relativo alla fase di adeguamento, ovvero quella in cui il cliente deve porre rimedio alle varie “lacune” individuate durante il processo di diagnosi; si tratta della fase in cui le difficoltà di alcune aziende risultano più evidenti, sia in termini di competenze interne che di disponibilità di tempo e risorse.<br>

autori

Fabio Borri
Nessun elemento trovato.
Articoli correlati

Potrebbero interessarti anche

Approfondimenti

ERA Group Inserito nella rosa dei finalisti dei Private Business Awards 2026.

Approfondimenti

Leader nell'ottimizzazione finanziaria: Yeminá Hernández si distingue al Corporate Connections Meeting di Hermosillo.

Approfondimenti

Perché aumentare i prezzi potrebbe danneggiare la tua attività proprio ora

Approfondimenti

Tendenze dei costi sanitari nel 2026: a cosa devono prepararsi le aziende latinoamericane.

Approfondimenti

Il costo dell'instabilità: come la volatilità globale sta rimodellando i costi in ogni settore.

Approfondimenti

Il futuro dei costi di produzione

Approfondimenti

Pressione sui costi per le aziende di manutenzione, riparazione e revisione (MRO) del settore aerospaziale: un cambiamento radicale

Approfondimenti

La stretta sui costi nel settore della manutenzione, riparazione e revisione degli aeromobili entro il 2026

Approfondimenti

Registrazione del webinar sul private equity: strategie di uscita per le aziende di medie dimensioni.

Approfondimenti

Ottimizzazione dell'impiego del capitale: ottenere il massimo rendimento | Registrazione del webinar

Approfondimenti

I Mondiali di calcio del 2026: opportunità o costi nascosti per le aziende centroamericane?

Approfondimenti

I costi nascosti che le aziende ignorano prima di grandi investimenti di marketing

Approfondimenti

Sessione ERA IGNITE con Nikolas Badminton

Approfondimenti

Leadership di pensiero - Commercio estero e struttura dei costi

Approfondimenti

Perché le grandi organizzazioni non smettono mai di migliorarsi

Approfondimenti

Il costo nascosto della larghezza di banda della leadership

Approfondimenti

La crescita richiede flessibilità finanziaria

Approfondimenti

Perché i team di leadership forti continuano a ricercare prospettive esterne

Approfondimenti

Dove vanno a finire i tuoi soldi?

Approfondimenti

Il costo nascosto del conflitto

Approfondimenti

Intervista al nostro nuovo partner Ronald Batenburg

Approfondimenti

È Lean Industria manifatturiera Il tuo vantaggio inespresso?

Approfondimenti

Costi di produzione e costi di trasporto: la produzione in un mondo caratterizzato da dazi doganali e prezzi energetici elevati

Approfondimenti

Il miliardo di dollari che nessuno guarda

Approfondimenti

Barometro della gestione dei costi 2026

Approfondimenti

Il rinnovamento generazionale del settore alberghiero

Approfondimenti

Pagamenti elettronici: uno strumento strategico per la gestione dei crediti?

Approfondimenti

Barometro della gestione dei costi 2026 - Edizione Industria Manifatturiera

Approfondimenti

Dovremmo sostituire i nostri attuali cellulari aziendali?

Approfondimenti

Se nessuno gestisce il tuo broker, stai pagando troppo.

Approfondimenti

Secondo trimestre 2026: Industria manifatturiera , materiali di consumo, e Imballaggi notizia

Approfondimenti

Riuscire a tenere sotto controllo i costi operativi della flotta entro il 2026

Approfondimenti

In viaggio: bollettino merci del secondo trimestre 2026

Approfondimenti

Il crescente rischio legato all'ERISA nei piani previdenziali volontari

Approfondimenti

L'impatto crescente dell'aumento dei prezzi del carburante sul commercio elettronico

Approfondimenti

Rapporto sul mercato statunitense delle spedizioni di piccoli pacchi per il secondo trimestre del 2026.

Approfondimenti

Sbloccare il valore nascosto: come il fornitore Ottimizzazione dei costi Ti dà un vantaggio competitivo

Approfondimenti

Bollettino sui benefit per il primo semestre 2026: come affrontare l'aumento dei costi, i cambiamenti legislativi e l'evoluzione del panorama dei benefit per i lavoratori.

Approfondimenti

Cambiamenti epocali nel settore delle uniformi e dell'abbigliamento da lavoro

Approfondimenti

Prospettive per il settore danni e responsabilità civile

Approfondimenti

Il Gruppo ERA si aggiudica una tripletta ai Global Franchise Awards 2025

Approfondimenti

La rivoluzione nel settore della consulenza è una realtà: state pagando troppo?

Approfondimenti

L'impatto del nuovo pedaggio stradale obbligatorio in Danimarca: cosa significa per te e per la tua attività?

Approfondimenti

La nuova collaborazione porta a riduzioni dei costi e a una maggiore attenzione alla sostenibilità Carglass

Approfondimenti

Accorto Procurement dovrebbe essere una strategia chiave nel costo del cibo risparmi

Approfondimenti

Trovare l'agenzia media giusta

Approfondimenti

Guidato dall'uomo, alimentato dai dati: l'anello mancante tra l'IA e i risparmi effettivi

Approfondimenti

L'analisi dei costi in pratica - Settore sanitario

Approfondimenti

Dal contratto al vantaggio: come i leader trasformano gli accordi con i fornitori in motori di performance

Approfondimenti

Q4-2025: Industria manifatturiera materiali di consumo e Imballaggi notizia

Approfondimenti

ERA stringe una partnership con Hapro Electronics AS

Approfondimenti

Vilmers UAB sceglie ERA Group per l'ottimizzazione dei costi

Approfondimenti

Kymera usa ERA Group individuare opportunità di miglioramento

Approfondimenti

Vi presentiamo il nostro nuovo partner: Shahid Salim

Approfondimenti

La complessità nascosta delle licenze Microsoft e della gestione del cloud.

Approfondimenti

ERA Group individua quattro sfide chiave che stanno costringendo Servizi professionali le aziende devono agire con urgenza

Approfondimenti

Partner strategico per il settore della tecnologia, dei media e delle telecomunicazioni

Approfondimenti

Un approccio strategico al rischio: gettare le basi per la crescita

Approfondimenti

Il Gruppo ERA inaugura un nuovo entusiasmante capitolo grazie all'investimento di Horizon Capital

Approfondimenti

Barometro della gestione dei costi 2025: edizione dedicata al commercio al dettaglio e all'ingrosso<br>

Approfondimenti

Mary Kennedy Thompson, amministratore delegato di BNI Global, entra a far parte di ERA Group in qualità di consulente del consiglio di amministrazione

Approfondimenti

Perché i dirigenti delle organizzazioni no profit devono fare di più con meno risorse – e dimostrarlo

Approfondimenti

Oltre la resilienza: una guida alla crescita della catena di approvvigionamento per il 2026

Approfondimenti

Tempi turbolenti: l'escalation in Medio Oriente e ciò che le aziende del Regno Unito devono considerare ora

Approfondimenti

In viaggio: newsletter di Q3 Freight

Approfondimenti

Cosa significa la fine degli sconti Microsoft EA per la tua azienda

Approfondimenti

Siete pronti per la rivoluzione nel settore delle forniture per ufficio?

Approfondimenti

Prospettive del mercato dei servizi espressi e di spedizione pacchi per il 2026

Approfondimenti

L'importanza del marketing digitale nel settore alberghiero

Approfondimenti

Inflazione nel settore tecnologico

Approfondimenti

L'importanza delle relazioni con i fornitori

Approfondimenti

Cosa farei se fossi il proprietario dell'azienda?

Approfondimenti

L'importanza di investire nella tecnologia per il successo aziendale

Approfondimenti

L'importanza del marketing digitale nel settore turistico

Approfondimenti

Esiste un futuro concreto per le criptovalute?

Approfondimenti

Differenza tra costo e spesa

Approfondimenti

I 3 cambiamenti che le aziende leader stanno attualmente apportando

Approfondimenti

Intervista a Roberto Serra, Direttore Generale di Galbusera SpA

Approfondimenti

L'intelligenza artificiale negli appalti: trasformare l'intelligenza finanziaria in un vantaggio strutturale

Approfondimenti

Il Gruppo ERA nomina Marcel Lal nuovo responsabile globale dello sviluppo

Approfondimenti

La contrazione dei profitti dopo il picco: le priorità del primo trimestre per CEO e CFO del settore retail<br>

Approfondimenti

2025: un bilancio. Costi, complessità e il percorso verso il 2026

Approfondimenti

ERA Group Lancio in India!

Approfondimenti

L'economia mondiale resiliente (ma ancora incerta)

Approfondimenti

5 priorità in materia di approvvigionamento per il 2026: dalla visibilità dei costi alla gestione intelligente dei costi

Approfondimenti

Fuel Finder: strumento di trasparenza o fonte di profitto?

Approfondimenti

I costi nascosti nella ripartizione delle spese condominiali: cosa devono capire i direttori finanziari in qualità di inquilini

Approfondimenti

La lacuna nella supervisione: quando l'ottimizzazione dei costi è "già coperta"

Approfondimenti

Analisi di mercato 2026.1

Approfondimenti

Cosa devono fare ora le aziende con più di 10 dipendenti

Approfondimenti

La crisi del settore alberghiero scozzese: quando le tariffe più elevate rendono la sopravvivenza la vera sfida

Approfondimenti

Spegnimento della rete PSTN: un cambiamento obbligatorio in arrivo

Approfondimenti

Il potere strategico degli acquisti

Approfondimenti

Ripensare la tecnologia: prosperare quando il cambiamento non si ferma mai

Approfondimenti

Il giorno in cui anche l'elettricità ha iniziato a mostrare il cartello "esaurito".

Approfondimenti

Il conflitto in Iran sta influenzando le tariffe fisse di elettricità e gas

Approfondimenti

Tensioni in Medio Oriente e il loro impatto sui costi aziendali

Approfondimenti

Il tuo marchio sopravviverà o avrà successo?

Approfondimenti

Buono pasto cartaceo o elettronico? Istruzioni per l'uso

Approfondimenti

Studio: Sostenibilità in Procurement – I costi e la sicurezza dell'approvvigionamento rimangono aree di interesse fondamentali

Ottieni informazioni utili per far crescere la tua attività

Grazie! La tua richiesta è stata ricevuta!
Ops! Si è verificato un errore durante l'invio del modulo.