Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
Redhotcyber Banner Sito 970x120px Uscita 101125
Crowdstrike 320×100
Continuità Operativa e Sicurezza Multirischio: Come le Direttive (UE) 2022/2557 e 2022/2555 (NIS2) Proteggono le Infrastrutture Critiche dell’Europa

Continuità Operativa e Sicurezza Multirischio: Come le Direttive (UE) 2022/2557 e 2022/2555 (NIS2) Proteggono le Infrastrutture Critiche dell’Europa

20 Ottobre 2024 09:38

L’Unione Europea ha emanato due direttive chiave per rafforzare la protezione e la resilienza delle infrastrutture critiche: la Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2). Queste normative mirano entrambe a garantire la sicurezza dei soggetti essenziali per il funzionamento della società e dell’economia, ma affrontano differenti aspetti delle minacce. La Direttiva 2557, recepita in Italia con il Decreto Legislativo n. 134 del 4 settembre 2024 e pubblicata in Gazzetta Ufficiale, si concentra sulla continuità operativa dei soggetti critici. La Direttiva 2555 (NIS2), invece, recepita con il Decreto Legislativo n. 138 del 4 settembre 2024, ha un approccio multirischio che mira ad aumentare la sicurezza dei sistemi informativi e di rete da una vasta gamma di minacce, non solo informatiche ma anche fisiche e ambientali, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati.

Direttiva (UE) 2022/2557: Continuità Operativa

La Direttiva (UE) 2022/2557, pubblicata in Italia con il Decreto Legislativo n. 134, ha come obiettivo primario garantire la continuità operativa delle infrastrutture critiche in settori come energia, trasporti, sanità, acqua e pubblica amministrazione. Questa direttiva stabilisce un quadro giuridico per prevenire, mitigare e gestire rischi fisici o ambientali che potrebbero compromettere la fornitura di servizi essenziali.

Obiettivi principali:

  • Prevenzione e resilienza: La direttiva stabilisce un quadro armonizzato per prevenire e mitigare le interruzioni che possono influire sulla fornitura di servizi essenziali, con particolare attenzione ai rischi fisici, come disastri naturali, attacchi terroristici e cambiamenti climatici​;
  • Gestione delle interdipendenze: Le infrastrutture critiche europee sono sempre più interconnesse e interdipendenti. Un’interruzione in un settore può avere effetti a catena sugli altri, rendendo cruciale un approccio integrato alla prevenzione delle interruzioni di servizi essenziali;
  • Resistenza a minacce fisiche e ambientali: Questa direttiva si occupa di migliorare la capacità di resistenza alle minacce fisiche e ambientali, promuovendo misure di prevenzione e piani di ripristino volti a garantire che i soggetti critici possano continuare a operare anche in presenza di eventi catastrofici;

Ambito di applicazione:

  • La direttiva copre un ampio spettro di settori che includono infrastrutture fisiche critiche, come energia, trasporti, sanità, alimentazione, acqua potabile, e altri settori che forniscono servizi essenziali alla società.

Direttiva (UE) 2022/2555 (NIS2): Sicurezza dei Sistemi Informativi e di Rete

La Direttiva (UE) 2022/2555 (NIS2), recepita con il Decreto Legislativo n. 138, si concentra sulla protezione dei sistemi informativi e di rete da un’ampia gamma di minacce, adottando un approccio multirischio. Questo significa che la direttiva non si limita alla protezione contro le minacce informatiche, ma tiene conto anche di altre minacce fisiche e ambientali che possono influenzare la sicurezza e il funzionamento dei sistemi di rete.

Obiettivi principali:

  • Gestione integrata dei rischi: NIS2 impone che i soggetti critici adottino misure tecniche e organizzative non solo per prevenire e mitigare gli attacchi cyber, ma anche per proteggere i sistemi informativi da minacce fisiche come furti, incendi, allagamenti, interruzioni di corrente o di connettività;
  • Approccio multirischio: L’aspetto distintivo della direttiva NIS2 è la sua copertura completa delle minacce ai sistemi informatici e di rete, che includono sia attacchi cyber (come malware o ransomware) sia minacce non informatiche, come danni fisici alle strutture che ospitano le reti o interruzioni nei servizi infrastrutturali di supporto;
  • Notifica e gestione degli incidenti: Un punto centrale della direttiva è l’obbligo per i soggetti di segnalare prontamente gli incidenti, garantendo una risposta coordinata ed efficiente tra gli Stati membri per affrontare gli incidenti su scala nazionale e transfrontaliera​;

Ambito di applicazione:

  • NIS2 espande il suo raggio d’azione oltre i settori tradizionalmente associati alle infrastrutture critiche, includendo anche settori digitali avanzati, come i servizi cloud, la gestione dei domini DNS, i servizi fiduciari e i fornitori di servizi di comunicazione elettronica​;

Parallelismo tra le due direttive

  1. Obiettivo primario:
    • Direttiva 2557: Garantire la continuità operativa (Business Continuity) dei soggetti critici in presenza di minacce fisiche e naturali, come disastri o attacchi fisici. L’attenzione è sul mantenimento della fornitura di servizi essenziali anche durante crisi di grande portata​;
    • Direttiva NIS2: Aumentare la sicurezza dei sistemi informativi e di rete con un approccio multirischio, che considera sia le minacce informatiche sia quelle fisiche. L’obiettivo è rendere più sicuri i sistemi informatici da cui dipendono i servizi essenziali, proteggendoli non solo da attacchi cyber, ma anche da eventi fisici come furti o disastri naturali​;
  2. Tipi di rischi affrontati:
    • Direttiva 2557: Affronta principalmente minacce fisiche e ambientali che possono influire sull’infrastruttura fisica e la capacità di fornire servizi essenziali, come attacchi terroristici, sabotaggi o disastri naturali;
    • Direttiva NIS2: Affronta un ampio spettro di rischi multirischio per i sistemi informativi, includendo sia le minacce cyber che quelle non puramente informatiche (come furti, incendi, allagamenti o interruzioni di corrente), proteggendo così l’integrità e la disponibilità delle reti;
  3. Approccio e misure:
    • Direttiva 2557: Stabilisce requisiti per la resilienza operativa e la continuità fisica delle infrastrutture critiche, con misure di prevenzione e ripristino per affrontare minacce fisiche​;
    • Direttiva NIS2: Introduce un approccio multirischio alla cibersicurezza, con misure di gestione del rischio e piani di resilienza che proteggono i sistemi da un’ampia gamma di minacce, siano esse cyber o fisiche;
  4. Ambito di applicazione:
    • Direttiva 2557: Copre settori che includono principalmente infrastrutture fisiche critiche, come energia, trasporti, sanità e alimentazione, con un focus sulla continuità operativa (Allegato A)​;
    • Direttiva NIS2: Include un ampio spettro di settori digitali, come servizi cloud, DNS, e piattaforme digitali, e adotta un approccio integrato per proteggere i sistemi informatici da un’ampia gamma di rischi fisici e cyber (Allegati 1-2-3-4);

Cyber Offensive Fundamentale Ethical Hacking 02

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La Direttiva (UE) 2022/2557 e la Direttiva (UE) 2022/2555 (NIS2) si completano, affrontando la protezione delle infrastrutture critiche e dei servizi essenziali da due prospettive complementari. La 2557 è focalizzata sulla continuità operativa in presenza di minacce fisiche, garantendo che i soggetti critici possano continuare a operare anche in condizioni avverse. La NIS2, con il suo approccio multirischio, mira a proteggere i sistemi informativi e di rete da una gamma estesa di minacce, comprese quelle non strettamente cyber. Insieme, queste normative offrono una visione integrata per affrontare le sfide attuali della sicurezza e della resilienza in Europa.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana 300x300
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore

Articoli in evidenza

Immagine del sitoVulnerabilità
WhisperPair: un bug critico mette a rischio milioni di dispositivi Bluetooth
Redazione RHC - 19/01/2026

I ricercatori del team di Sicurezza Informatica e Crittografia Industriale della KU Leuven hanno scoperto una falla critica nel protocollo Google Fast Pair. La vulnerabilità consente agli aggressori di dirottare il controllo di milioni di…

Immagine del sitoCyberpolitica
LinkedIn nel mirino dello spionaggio cinese: l’allerta del MI5 al Parlamento
Redazione RHC - 19/01/2026

Nel mese di novembre il Servizio di Sicurezza britannico (MI5) ha inviato un avviso riservato a parlamentari e membri del loro staff per segnalare un’operazione di cyber-spionaggio riconducibile ad attori legati ai servizi segreti cinesi…

Immagine del sitoCybercrime
Zero-click su Android: il punto debole nascosto nei decoder audio
Redazione RHC - 18/01/2026

Le moderne funzioni di analisi automatica dei contenuti multimediali stanno modificando in profondità il modello di sicurezza degli smartphone. In particolare, la capacità dei dispositivi di elaborare allegati audio in modo proattivo, senza alcuna interazione…

Immagine del sitoCultura
Net-NTLMv1, Mandiant pubblica le tabelle che mostrano quanto sia ancora vulnerabile
Redazione RHC - 18/01/2026

Mandiant ha reso pubblico un ampio set di tabelle rainbow dedicate a Net-NTLMv1 con l’obiettivo di dimostrare in modo concreto quanto questo protocollo di autenticazione sia ormai insicuro. Nonostante Net-NTLMv1 sia deprecato da anni e…

Immagine del sitoCybercrime
Ucraina e Germania smantellano Black Basta? 2 arresti per ransomware, coinvolto un russo
Redazione RHC - 17/01/2026

Quando si parla di cybersecurity, non è raro imbattersi in notizie che sembrano prese da un film di fantascienza. Eppure, la realtà è ancora più sorprendente e a volte inquietante. La storia dei due cittadini…