Cerca
Close this search box.
28/11/24

La NIS2: Settori coinvolti, scadenze e come prepararsi alla nuova normativa

Nell’articolo precedente abbiamo parlato di come la normativa NIS2 si colloca nel quadro normativo vigente. In questo approfondimento vedremo quali sono i settori coinvolti, i criteri per cui un impresa rientra o meno in questa normativa e gli step essenziali della roadmap prevista per l’adozione della NIS2.

Il recepimento della Direttiva (UE) 2022/2555, nota come “Direttiva NIS2”, è ufficialmente avvenuto in Italia con il D.Lgs. n. 138/2024, pubblicato sulla Gazzetta Ufficiale il 1° ottobre 2024. Questa normativa mira a garantire un livello elevato di cybersicurezza nell’Unione Europea, ampliando significativamente il campo di applicazione rispetto alla precedente direttiva NIS.

 

Settori Coinvolti

Oltre ai comparti tradizionali come energia, telecomunicazioni, trasporti, bancario, mercati finanziari e sanità, la NIS2 include anche:

  • Settori ad alta criticità: acque reflue, gestione dei servizi ICT B2B, pubblica amministrazione, spazio.
  • Altri settori critici: servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca.

Vediamo quindi come molti settori della manifattura sono compresi all’interno della nuova direttiva in ambito Cyber.

 

Categorie di Soggetti coinvolti

Il decreto distingue due categorie di applicazione della normativa:

  • Soggetti essenziali
  • Soggetti importanti

La classificazione dipende da criteri di dimensione (medie e grandi imprese) e dall’appartenenza ai settori critici definiti dalla direttiva. Occorre però fare attenzione in quanto alcune categorie specifiche sono incluse indipendentemente dalla dimensione, come i fornitori di reti di comunicazione elettronica pubbliche, enti della pubblica amministrazione e operatori considerati critici dalla Direttiva (UE) 2022/2557.

 

Requisiti e Misure di Sicurezza

I soggetti rientranti nella normativa devono adottare misure tecniche, organizzative e operative proporzionate ai rischi informatici. Particolare attenzione è posta su:

  • Gestione dei rischi legati ai fornitori.
  • Analisi delle vulnerabilità specifiche delle supply chain.
  • Prevenzione e mitigazione degli incidenti.

Secondo l’ultimo DPCM, le organizzazioni che rientrano nel perimetro e quelle che rientreranno successivamente devono, a partire dal 26 giugno, ottemperare alle seguenti attività e obblighi:

  1. entro sei mesi, comunicare le reti, i sistemi informativi ed i servizi informatici critici che impiegano per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro;
  2. notificare allo CSIRT italiano gli eventuali incidenti che si dovessero verificare; per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 dicembre 2021;
  3. Implementare i framework di cyber security suggeriti dal DPCM (Framework Nazionale per la Cybersecurity e la Data Protection; ENISA; COBIT).

 

Obbligo di Segnalazione degli Incidenti

In particolare il decreto prevede una procedura in più fasi per la segnalazione degli incidenti informatici rilevati in azienda:

  • Preallarme entro 24 ore dall’identificazione dell’incidente.
  • Notifica completa entro 72 ore, con eventuali aggiornamenti.
  • Relazione finale entro un mese, dettagliando l’accaduto e le azioni intraprese.

 

Vigilanza e Sanzioni

Le autorità competenti attueranno controlli attraverso audit, ispezioni e richieste di informazioni. Le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale. Per i soggetti importanti, questi limiti sono ridotti rispettivamente a 7 milioni di euro e all’1,4% del fatturato.

 

 Scadenze Chiave e roadmap NIS2

  • 31 dicembre 2024: Assessment Cyber Security per verificare l’applicabilità del decreto.
  • 1° gennaio – 28 febbraio 2025: Registrazione sulla piattaforma ACN per i soggetti interessati.
  • 17 gennaio 2025: Registrazione per fornitori specifici (es. cloud, data center).
  • 31 marzo 2025: ACN pubblica l’elenco dei soggetti essenziali e importanti.
  • 15 aprile 2025: Comunicazione dell’inclusione nell’elenco e nomina del responsabile per la conformità.
  • 1° gennaio 2026: Adeguamento agli obblighi di notifica degli incidenti e aggiornamento annuale delle informazioni sulla piattaforma ACN.
  • Ottobre 2026: Implementazione degli obblighi di governance e gestione dei rischi.

 

Conclusioni

La NIS2 introduce un quadro regolatorio più stringente, che richiede un impegno immediato da parte di imprese e pubbliche amministrazioni. Con un’attenta pianificazione e una rapida risposta agli obblighi normativi, è possibile trasformare queste misure in un’opportunità per migliorare la resilienza e la sicurezza operativa.

DIHP può supportare le imprese nel percorso verso la NIS2 attraverso una serie di azioni mirate tra cui:

  1. Cyber Security Assessment: Attraverso lo strumento costruito con i referenti nazionali di Competence Center e PoloICT DIHP è in grado di erogare Assessment che misurano la postura di Cyber Security aziendale. Inoltre grazie al progetto ConfinHub finanziato con fondi PNRR questo servizio è gratuito per le Piccole Imprese e fortemente scontato per le medie e grandi.
  2. Formazione: DIHP può erogare direttamente formazione in materia di Cyber Security essendo abilitato come Centro di Trasferimento Tecnologico certificato dal 2023. 
  3. Matchmaking: Grazie al PRM,ovvero la community di partner qualificati, DIHP può supportare l’impresa nell’identificazione di un fornitore tecnico di Cyber Security

 

Pietro Rosso, Project Manager DIHP 

Cookie Policy
Privacy Policy

Contatti

Via Vela 23, 10128, Torino

info@dih.piemonte.it

Tel. 011 5718247

Linkedin
Cookie Policy
Privacy Policy
Cookie Settings

Sede legale e amministrativa: Via Vincenzo Vela 23, 10128 Torino CF. 97822500019 e P.IVA 12440900012 Codice SDI W7YVJK9