Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Cybersecurity in Evoluzione: Le Nuove Regole della Direttiva NIS2 Rivoluzionano la Protezione dei Dati

Simone Valenti : 19 Dicembre 2023 08:15

La Direttiva NIS2, in vigore dal 17 gennaio 2023, ha introdotto nuovi obblighi di cybersicurezza per grandi e medie imprese nei settori alimentare, manifatturiero e della pubblica amministrazione. Con il recepimento previsto entro il 17 ottobre 2024 da parte degli Stati Membri, le organizzazioni saranno obbligate a rispettare requisiti stringenti in materia di governance, continuità operativa, presidio della catena di fornitura, segnalazione degli incidenti e gestione dei rischi per la cybersicurezza. La Direttiva NIS 2 si integra con le varie normative e linee guida europee sulla protezione dei dati e la privacy, inclusi il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Chi sono i soggetti coinvolti nella Direttiva NIS2?

La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, che si divide in Settori di elevata criticità e Altri settori critici, entrambi significativamente più estesi rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti.

Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”. Per stabilire se un’organizzazione rientri in una di queste categorie, viene ridotto il margine di discrezionalità in capo agli Stati Membri, introducendo un duplice criterio basato su dimensione e settore di appartenenza.

Settori di elevata criticità:

  • Energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno).
  • Trasporti (aria, ferrovia, acqua e strada).
  • Banche.
  • Infrastrutture dei mercati finanziari.
  • Salute, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini.
  • Acqua potabile.
  • Acque reflue.
  • Infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico).
  • Gestione dei servizi TIC (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti).
  • Pubblica amministrazione.
  • Spazio.

Altri settori critici:

  •  Servizi postali e di corriere.
  • Gestione dei rifiuti.
  • Prodotti chimici.
  • Alimenti.
  • Fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto.
  • Fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking).
  • Organizzazioni di ricerca.

Sanzioni

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o importante. Nel merito, i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

Principali obblighi per le organizzazioni

Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:

  • Governo della cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
  • Gestione dei rischi: i soggetti sono tenuti ad adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi.
  • Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
  • Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.
  • Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi ai rispettivi CSIRT o autorità nazionali competenti, con un preallarme entro 24 ore e una notifica completa/integrativa entro 72 ore dalla conoscenza dell’incidente

Ancharia è una Start-UP italiana che collabora con Red Hot Cyber all’interno del gruppo Start-UP RHC, Offre un servizio di consulenza specializzato per le aziende che desiderano mettersi in regola con la Direttiva NIS 2.

Simone Valenti
Ingegnere delle telecomunicazioni con dottorato di ricerca. Ho profondo interesse, passione e competenze nel campo della sicurezza informatica. Assieme ad altri professionisti ho fondato ANCHARIA, una startup innovativa attiva e specializzata nella fornitura di servizi ad alto valore aggiunto nel settore della sicurezza informatica. Le mie competenze abbracciano diverse aree cruciali della cybersecurity, tra cui l'ethical hacking, l'auditing ISO 27001, la formazione e la consulenza per la conformità alle normative di settore.

Lista degli articoli

Articoli in evidenza

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...

Più le AI diventano come noi, più soffriranno di Social Engineering? Il caso di Copilot che preoccupa

Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...

CVE-2025-32710: La falla zero-click nei servizi RDP che può causare la totale compromissione del tuo server

Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...

RHC Intervista GhostSec: l’hacktivismo tra le ombre del terrorismo e del conflitto cibernetico

Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006