Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cybersecurity in Evoluzione: Le Nuove Regole della Direttiva NIS2 Rivoluzionano la Protezione dei Dati

Simone Valenti : 19 Dicembre 2023 08:15

La Direttiva NIS2, in vigore dal 17 gennaio 2023, ha introdotto nuovi obblighi di cybersicurezza per grandi e medie imprese nei settori alimentare, manifatturiero e della pubblica amministrazione. Con il recepimento previsto entro il 17 ottobre 2024 da parte degli Stati Membri, le organizzazioni saranno obbligate a rispettare requisiti stringenti in materia di governance, continuità operativa, presidio della catena di fornitura, segnalazione degli incidenti e gestione dei rischi per la cybersicurezza. La Direttiva NIS 2 si integra con le varie normative e linee guida europee sulla protezione dei dati e la privacy, inclusi il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Chi sono i soggetti coinvolti nella Direttiva NIS2?

La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, che si divide in Settori di elevata criticità e Altri settori critici, entrambi significativamente più estesi rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti.

Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”. Per stabilire se un’organizzazione rientri in una di queste categorie, viene ridotto il margine di discrezionalità in capo agli Stati Membri, introducendo un duplice criterio basato su dimensione e settore di appartenenza.

Settori di elevata criticità:

  • Energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno).
  • Trasporti (aria, ferrovia, acqua e strada).
  • Banche.
  • Infrastrutture dei mercati finanziari.
  • Salute, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini.
  • Acqua potabile.
  • Acque reflue.
  • Infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico).
  • Gestione dei servizi TIC (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti).
  • Pubblica amministrazione.
  • Spazio.

Altri settori critici:

  •  Servizi postali e di corriere.
  • Gestione dei rifiuti.
  • Prodotti chimici.
  • Alimenti.
  • Fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto.
  • Fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking).
  • Organizzazioni di ricerca.

Sanzioni

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o importante. Nel merito, i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

Principali obblighi per le organizzazioni

Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:

  • Governo della cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
  • Gestione dei rischi: i soggetti sono tenuti ad adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi.
  • Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
  • Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.
  • Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi ai rispettivi CSIRT o autorità nazionali competenti, con un preallarme entro 24 ore e una notifica completa/integrativa entro 72 ore dalla conoscenza dell’incidente

Ancharia è una Start-UP italiana che collabora con Red Hot Cyber all’interno del gruppo Start-UP RHC, Offre un servizio di consulenza specializzato per le aziende che desiderano mettersi in regola con la Direttiva NIS 2.

Simone Valenti
Ingegnere delle telecomunicazioni con dottorato di ricerca. Ho profondo interesse, passione e competenze nel campo della sicurezza informatica. Assieme ad altri professionisti ho fondato ANCHARIA, una startup innovativa attiva e specializzata nella fornitura di servizi ad alto valore aggiunto nel settore della sicurezza informatica. Le mie competenze abbracciano diverse aree cruciali della cybersecurity, tra cui l'ethical hacking, l'auditing ISO 27001, la formazione e la consulenza per la conformità alle normative di settore.

Lista degli articoli

Articoli in evidenza

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...