Chiudi

Non hai trovato quello che stai cercando?
Fai una ricerca

Link utili

Homepage Contatti
Vai al contenuto

Digital Transformation

Cos’è la NIS2 e a cosa serve: guida alla nuova direttiva europea sulla cybersicurezza

Cos’è la NIS2 e a cosa serve: guida alla nuova direttiva europea sulla cybersicurezza
Cos’è la NIS2 e a cosa serve: guida alla nuova direttiva europea sulla cybersicurezza Cos’è la NIS2 A cosa serve la NIS2 Chi deve adeguarsi alla NIS2 Quali obblighi introduce la NIS2 Cosa cambia per clienti, fornitori e supply chain Datlas e Selecta Industrial Operations: sicurezza, resilienza e continuità operativa

Cos’è la NIS2 e a cosa serve: guida alla nuova direttiva europea sulla cybersicurezza

La cybersicurezza è diventata una priorità strategica per aziende, pubbliche amministrazioni e organizzazioni che erogano servizi essenziali. La crescente dipendenza da infrastrutture digitali, piattaforme applicative, fornitori tecnologici e sistemi interconnessi espone imprese ed enti a rischi sempre più complessi: attacchi informatici, ransomware, furti di dati, interruzioni operative, vulnerabilità nella supply chain e indisponibilità dei servizi.

In questo contesto nasce la NIS2, la nuova direttiva europea pensata per rafforzare il livello di sicurezza informatica e resilienza operativa all’interno dell’Unione Europea. Il riferimento normativo europeo è la Direttiva UE 2022/2555, nota come Direttiva NIS2, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione.

In Italia, la direttiva è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, che definisce il quadro nazionale di applicazione della normativa e gli obblighi per i soggetti rientranti nel perimetro NIS2.

La NIS2 non riguarda solo la tecnologia. Riguarda la capacità delle organizzazioni di prevenire, gestire e superare incidenti informatici, garantendo continuità, affidabilità e sicurezza dei servizi erogati.

Cos’è la NIS2

La NIS2, acronimo di Network and Information Security Directive 2, è la Direttiva UE 2022/2555 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione Europea.

È l’evoluzione della precedente Direttiva NIS e introduce un quadro normativo più ampio, strutturato e vincolante per rafforzare la sicurezza delle reti e dei sistemi informativi.

L’obiettivo della NIS2 è aumentare la capacità delle organizzazioni di prevenire, rilevare, gestire e rispondere agli incidenti informatici attraverso misure di sicurezza proporzionate ai rischi, alla criticità dei servizi erogati e al ruolo svolto dall’organizzazione nel sistema economico e sociale.

A cosa serve la NIS2

La NIS2 serve a rafforzare la cybersicurezza e la resilienza operativa delle organizzazioni che svolgono attività considerate essenziali o importanti. L’interruzione anche di alcune ore può bloccare servizi, interrompere processi produttivi, compromettere dati, danneggiare clienti e partner, generare impatti economici e mettere a rischio la continuità operativa.

La normativa nasce proprio per ridurre questi rischi e creare un livello comune più elevato di sicurezza informatica in tutta l’Unione Europea.

In particolare, la NIS2 serve a:

  • aumentare il livello di sicurezza informatica delle organizzazioni;
  • proteggere reti, sistemi informativi, dati e infrastrutture digitali;
  • migliorare la capacità di prevenzione degli incidenti cyber;
  • rafforzare la gestione e la risposta agli attacchi informatici;
  • garantire la continuità operativa dei servizi essenziali e importanti;
  • rendere più sicura la supply chain;
  • responsabilizzare il management e gli organi di governo aziendale.

La sicurezza informatica diventa quindi un elemento strutturale dell’organizzazione, non un semplice insieme di strumenti tecnologici.

Chi deve adeguarsi alla NIS2

La NIS2 amplia in modo significativo il numero di soggetti coinvolti rispetto alla precedente direttiva. La normativa si applica a organizzazioni pubbliche e private che operano in settori considerati altamente critici o critici. Il perimetro comprende diversi settori strategici e distingue tra soggetti essenziali e soggetti importanti.

Tra i settori coinvolti rientrano, per esempio:

  • energia;
  • trasporti;
  • banche;
  • infrastrutture dei mercati finanziari;
  • sanità;
  • acqua potabile;
  • acque reflue;
  • infrastrutture digitali;
  • gestione dei servizi ICT;
  • pubblica amministrazione;
  • spazio;
  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • produzione e distribuzione di sostanze chimiche;
  • produzione, trasformazione e distribuzione di alimenti;
  • manifattura;
  • fornitori di servizi digitali;
  • ricerca.

Non tutte le aziende rientrano automaticamente nel perimetro NIS2. La classificazione dipende dal settore, dalla dimensione, dal ruolo svolto, dalla tipologia di servizio erogato e dalla rilevanza dell’organizzazione.

Tuttavia, anche aziende non direttamente soggette alla normativa possono essere coinvolte indirettamente se fanno parte della supply chain di soggetti essenziali o importanti.

Quali obblighi introduce la NIS2

La NIS2 introduce requisiti specifici in materia di sicurezza informatica, governance, gestione del rischio e continuità operativa.

Gli obblighi principali riguardano:

  • gestione del rischio cyber;
  • sicurezza delle infrastrutture e dei sistemi informativi;
  • protezione di reti, applicazioni, dati e servizi digitali;
  • monitoraggio e rilevazione degli incidenti;
  • gestione e notifica degli incidenti significativi;
  • business continuity e disaster recovery;
  • sicurezza della supply chain;
  • verifica e qualificazione dei fornitori critici;
  • definizione di ruoli e responsabilità;
  • formazione e sensibilizzazione del personale;
  • responsabilità degli organi di amministrazione;
  • documentazione delle misure adottate.

Le misure devono essere proporzionate ai rischi e ai servizi erogati. Questo significa che ogni organizzazione deve valutare il proprio livello di esposizione, identificare gli asset critici, analizzare le vulnerabilità e definire un piano di adeguamento coerente con la propria realtà operativa.

Un aspetto centrale riguarda anche il ruolo del management. I vertici aziendali devono conoscere i rischi, approvare le misure di sicurezza e supervisionarne l’attuazione. La cybersicurezza diventa così una responsabilità organizzativa e strategica.

Cosa cambia per clienti, fornitori e supply chain

Uno degli aspetti più rilevanti della NIS2 riguarda la sicurezza della supply chain. Le organizzazioni non dipendono solo dai propri sistemi interni. Spesso utilizzano servizi cloud, software di terze parti, outsourcer tecnologici, fornitori applicativi, partner operativi e infrastrutture gestite da soggetti esterni.

Un incidente che colpisce un fornitore può avere impatti diretti sui servizi dell’organizzazione. Per questo, la NIS2 chiede di valutare e gestire anche i rischi legati ai fornitori critici.

Questo può comportare:

  • classificazione dei fornitori;
  • valutazione delle dipendenze tecnologiche;
  • requisiti minimi di sicurezza nei contratti;
  • verifiche periodiche;
  • monitoraggio dei livelli di servizio;
  • piani di continuità condivisi;
  • gestione dei rischi derivanti da outsourcing e servizi esterni.

La supply chain diventa quindi parte integrante del modello di cybersicurezza.

Per le organizzazioni che erogano servizi a clienti, partner o utenti finali, l’adeguamento alla NIS2 ha anche una dimensione operativa e comunicativa. Gli interventi di aggiornamento, rafforzamento infrastrutturale, manutenzione applicativa o revisione dei processi possono richiedere finestre di rilascio programmate.

In questi casi è importante comunicare in modo chiaro quali servizi sono coinvolti, quali attività sono previste, quando saranno eseguite, se ci saranno impatti operativi e quali azioni saranno eventualmente richieste al cliente.

Una comunicazione preventiva e trasparente consente di ridurre l’incertezza, migliorare la collaborazione e limitare gli impatti sulle attività operative.

Datlas e Selecta Industrial Operations: sicurezza, resilienza e continuità operativa

Datlas S.p.A. e Selecta Industrial Operations S.p.A. hanno avviato un programma strutturato di adeguamento alla Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024.

In qualità di soggetti essenziali, Datlas e Selecta Industrial Operations sono chiamate ad adottare misure organizzative, tecnologiche e procedurali finalizzate a garantire sicurezza, affidabilità e continuità dei servizi erogati.

Il percorso di adeguamento non rappresenta soltanto un obbligo normativo, ma un programma di miglioramento continuo orientato a rafforzare la protezione dei servizi utilizzati dai clienti.

Le attività avviate comprendono:

  • aggiornamento delle piattaforme applicative;
  • aggiornamento delle infrastrutture tecnologiche;
  • rafforzamento delle misure di sicurezza;
  • monitoraggio e gestione del rischio;
  • verifica e qualificazione dei fornitori coinvolti nell’erogazione dei servizi;
  • miglioramento dei processi di risposta agli incidenti;
  • rafforzamento della continuità operativa.

In questo modo, l’adeguamento alla NIS2 diventa parte di un percorso più ampio di rafforzamento della sicurezza, della resilienza e dell’affidabilità operativa, a beneficio dei clienti e della continuità dei servizi erogati.

Vuoi saperne di più?

L’innovazione inizia con un semplice contatto! Richiedi maggiori informazioni e fissa un appuntamento telefonico con un nostro consulente.

Contattaci

FAQ: Domande Frequenti

1. Cos’è la NIS2 in parole semplici?

La NIS2 è la nuova direttiva europea sulla cybersicurezza. Serve a rafforzare la sicurezza di reti, sistemi informativi, infrastrutture digitali e servizi essenziali. L’obiettivo è aiutare aziende ed enti pubblici a prevenire, gestire e superare incidenti informatici, garantendo maggiore continuità operativa e resilienza.

2. Qual è l’obiettivo principale della NIS2?

L’obiettivo principale della NIS2 è aumentare il livello comune di cybersicurezza nell’Unione Europea. La normativa introduce obblighi per migliorare la gestione del rischio cyber, proteggere i sistemi informativi, rafforzare la risposta agli incidenti, controllare la supply chain e responsabilizzare il management aziendale.

3. Quali aziende devono adeguarsi alla NIS2?

Devono adeguarsi alla NIS2 le organizzazioni pubbliche e private che operano in settori considerati critici o altamente critici, come energia, trasporti, sanità, banche, infrastrutture digitali, pubblica amministrazione, servizi ICT, manifattura, alimentare, gestione dei rifiuti e altri ambiti strategici. La normativa distingue tra soggetti essenziali e soggetti importanti.

4. Quali sono i principali obblighi previsti dalla NIS2?

I principali obblighi previsti dalla NIS2 riguardano la gestione del rischio cyber, la sicurezza delle infrastrutture e dei sistemi informativi, la continuità operativa, la gestione e notifica degli incidenti, la sicurezza della supply chain, la qualificazione dei fornitori critici, la formazione del personale e la responsabilità degli organi di amministrazione.

5. La NIS2 riguarda anche fornitori e clienti?

Sì. La NIS2 ha un impatto anche su fornitori, partner e clienti, perché la sicurezza della supply chain è uno degli aspetti centrali della normativa. Le organizzazioni soggette alla NIS2 devono valutare i rischi legati ai fornitori critici e garantire che i servizi erogati siano sicuri, affidabili e resilienti. Anche aziende non direttamente soggette alla normativa possono quindi essere coinvolte indirettamente.

Condividi l’articolo