Perchè adeguarsi alla NIS2 con GRF Studio, partner di Eset

Crescita % degli attacchi informatici in Italia vs. Mondo

A quali organizzazioni si applica la NIS2?

Le modalità di applicazione della direttiva NIS2 dipendono dalla categoria in cui rientra un’organizzazione. Secondo la NIS2 le organizzazioni possono essere considerate come essenziali o importanti.
Tale categorizzazione dipende dal settore (definiti «ad alta criticità» oppure «critici») in cui rientra l’organizzazione.

SETTORI DI RIFERIMENTO:

ALTA CRITICITÀ

  • Energia
  • Trasporti
  • Settore bancario
  • Infrastrutture dei mercati finanziari
  • Sanità
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali
  • Gestione dei servizi TIC (B2B)
  • Pubblica amministrazione
  • Spazio

CRITICI

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione e distribuzione di prodotti chimici
  • Produzione, trasformazione e distribuzione di alimentari
  • Fabbricazione
  • Fornitori di servizi digitali
  • Ricerca




Bisogna considerare dei requisiti dimensionali:

Grandi organizzazioni:

Occupano oltre 250 persone, hanno un fatturato annuo superiore ai 50 milioni di EUR o un totale di bilancio annuo superiore ai 43 milioni di EUR e prestano i loro servizi e/o svolgono la loro attività nell’UE.

 

Medie organizzazioni:

Occupano oltre 50 e fino a 250 persone, hanno un fatturato annuo non superiore ai 50 milioni di EUR o un totale di bilancio annuo non superiore ai 43 milioni di EUR e prestano i loro servizi e/o svolgono la loro attività nell’UE.

N. B.
Ci sono poi alcune eccezioni ai requisiti dimensionali (ad es. fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, enti pubblici, fornitori unici in uno Stato di servizi essenziali per il mantenimento di attività sociali o economiche fondamentali, etc. – art. 2 NIS2).

A cosa bisogna prepararsi?

Obblighi di segnalazione di incidenti

Soggetti essenziali e importanti devono segnalare al proprio CSIRT o, se opportuno, alla propria autorità competente, gli «incidenti significativi», cioè quegli eventi che:

  1. hanno causato/possono causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o
  2. si sono ripercossi o possono ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.


In tali casi, i soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente:

  1. senza indebito ritardo e comunque entro 24 ore da quando sarà venuta a conoscenza dell’incidente significativo un preallarme che, se opportuno, indichi se l’incidente significativo sia sospettato di essere il risultato di atti illegittimi o malevoli o possa avere un impatto transfrontaliero;
  2. senza indebito ritardo e comunque entro 72 ore (24 ore in alcuni casi) da quando sarà venuta a conoscenza dell’incidente significativo una notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
  3. su richiesta del CSIRT o, se opportuno, dell’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;
  4. una relazione finale entro un mese dalla trasmissione della notifica dell’incidente, con specifici contenuti;
  5. in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi e una relazione finale entro un mese dalla gestione dell’incidente.


Saranno possibili notifiche su base volontaria, oltre ai casi obbligatori, anche da parte di soggetti non rientranti nell’applicazione della direttiva.

 

Cosa si rischia?

Vigilanza

La sottoposizione alla vigilanza varia a seconda della qualifica di soggetti essenziali o importanti: nel primo caso può avvenire anche a prescindere da violazioni, nel secondo caso è ex post.

Misure di vigilanza
A seconda dei soggetti essenziali o importanti, misure anche preventive, oppure successive a seguito di prova del mancato rispetto degli obblighi della Direttiva da parte di un soggetto importante.
Ricomprendono ispezioni sul posto, vigilanza a distanza, compresi controlli casuali, audit di sicurezza, scansioni di sicurezza, richieste di informazioni e di accesso ai dati/documenti, possibilità per le autorità competenti di imporre istruzioni, prescrizioni e obblighi.

Nel caso di soggetti essenziali, in caso di mancato rispetto di tali prescrizioni, si prevede la possibilità di sospensioni temporanee di certificazioni o autorizzazioni, anche relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale, oltre che di vietare temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.

Direttiva NIS2

Sanzioni

Per le violazioni delle misure in materia di gestione dei rischi di cybersicurezza o gli obblighi di segnalazione:

  • i soggetti essenziali saranno soggetti a sanzioni pecuniarie amministrative pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore;
  • i soggetti importanti potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

In caso di violazioni comportanti violazione di dati personali ai sensi del GDPR, è previsto un meccanismo di comunicazione tra autorità e di «gestione» del potere sanzionatorio.

Non lasciare che le nuove regolamentazioni ti colgano impreparato. Rimani confrome alla normativa NIS2.
Proteggi il tuo business online, scopri come possiamo aiutarti.