COMPLIANCE ALLA DIRETTIVA NIS 2
Assistenza per la Compliance Aziendale alla Direttiva NIS 2
La direttiva NIS2 (Direttiva (UE) 2022/2555) abroga la direttiva NIS (Direttiva (UE) 2016/1148). L'obiettivo della NIS2 è quello di migliorare il livello di sicurezza informatica nell'Unione europea, introducendo requisiti più rigorosi e ampliando l'ambito di applicazione.
Il recepimento della direttiva NIS2 in Italia prevede la modifica di alcune normative esistenti, tra cui il decreto-legge 14 giugno 2021, n. 82, che ha istituito l'Agenzia per la cybersicurezza nazionale. Tra le modifiche previste, l'articolo 73 del documento "Recepimento Direttiva NIS2.pdf" stabilisce che il comma 3-bis del decreto-legge n. 82 del 2021, relativo alla notifica degli incidenti, verrà abrogato.
Invece, l'articolo 74 introduce un nuovo comma 8-bis, che estende l'applicazione degli obblighi di sicurezza informatica e delle attività ispettive e sanzionatorie previste dalla NIS2 ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica che non sono classificati come soggetti essenziali o importanti. Questa estensione si applica solo ai sistemi informativi e di rete che non rientrano nell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge n. 105 del 2019.
Nonostante il mantenimento di alcuni elementi, la NIS2 introduce cambiamenti significativi rispetto al precedente framework nazionale della sicurezza, tra cui:
• Ampliamento dell'ambito di applicazione: La NIS2 amplia il numero di settori e soggetti considerati essenziali o importanti per la sicurezza informatica.
• Obblighi più rigorosi: La NIS2 introduce obblighi più rigorosi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica degli incidenti.
• Rafforzamento della cooperazione: La NIS2 promuove la cooperazione tra gli Stati membri, le autorità nazionali e i soggetti privati in materia di cybersicurezza.
In sintesi:
• La Direttiva NIS2 mira a rafforzare la sicurezza informatica nell'Unione Europea, introducendo obblighi più rigorosi per un numero più ampio di settori e organizzazioni rispetto alla Direttiva NIS precedente.
• Introduzione dei soggetti interessati:
1. Soggetti Essenziali e Importanti:
• Allegati I e II: Il decreto definisce i settori considerati "altamente critici" (Allegato I) e "critici" (Allegato II), elencando i relativi sottosettori e le tipologie di soggetti. Questi allegati non sono inclusi nei tuoi documenti, quindi non sono disponibili informazioni specifiche sui settori e i sottosettori.
• Dimensioni: I soggetti negli Allegati I e II che superano i parametri dimensionali per le piccole imprese (come definiti dalla Raccomandazione 2003/361/CE) sono considerati "soggetti essenziali".
• Soggetti Indipendentemente dalle Dimensioni: Alcuni soggetti, indipendentemente dalle loro dimensioni, sono sempre considerati essenziali:
- Soggetti identificati come critici secondo il decreto che recepisce la Direttiva (UE) 2022/2557.
- Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico.
- Prestatori di servizi fiduciari.
- Gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio.
- Fornitori di servizi di registrazione dei nomi di dominio.
• Soggetti Importanti: I soggetti che rientrano nell'articolo 3 ma non sono classificati come essenziali secondo i commi 1 e 2 dell'articolo 6, sono considerati "soggetti importanti".
2. Pubbliche Amministrazioni:
• Allegato III: Il decreto si applica, a prescindere dalle dimensioni, alle Pubbliche Amministrazioni elencate nell'Allegato III. Questo allegato non è incluso nei tuoi documenti.
• Ulteriori Categorie: Il Presidente del Consiglio dei Ministri può emanare decreti per individuare ulteriori categorie di Pubbliche Amministrazioni soggette al decreto.
3 . Ulteriori Tipologie di Soggetti (Allegato IV):
• Allegato IV: Il decreto si applica, a prescindere dalle dimensioni, anche ai soggetti elencati nell'Allegato IV. Questo allegato include:
- Soggetti che forniscono servizi di trasporto pubblico locale.
- Istituti di istruzione che svolgono attività di ricerca.
- Soggetti che svolgono attività di interesse culturale.
- Società in house, società partecipate e società a controllo pubblico.
Obblighi principali:
• I soggetti essenziali e importanti sono tenuti a registrarsi e comunicare informazioni aggiornate all'Autorità nazionale competente NIS (Agenzia per la cybersicurezza nazionale).
• Devono implementare misure di gestione del rischio per la sicurezza informatica, proporzionate alla loro rilevanza.
• Sono obbligati a notificare gli incidenti significativi al CSIRT Italia, fornendo informazioni dettagliate sull'accaduto e sulle misure adottate.
• Devono utilizzare schemi di certificazione per la sicurezza informatica e rispettare le normative specifiche del settore.
Sanzioni:
• Sono previste sanzioni amministrative pecuniarie per le violazioni degli obblighi, con importi più elevati per i soggetti essenziali e in caso di reiterazione.
• Sono introdotti strumenti deflattivi del contenzioso, come l'invito a conformarsi e il pagamento in misura ridotta.
Aspetti organizzativi:
• È istituito un Tavolo per l'attuazione della disciplina NIS con il compito di coordinare le attività e fornire supporto ai soggetti interessati.
• È prevista una cooperazione rafforzata tra le autorità nazionali, le regioni e la Commissione Europea.
Disposizioni transitorie:
• Sono previsti termini transitori per l'adeguamento alle nuove disposizioni e per l'entrata in vigore di alcuni obblighi.
La direttiva NIS2 non menziona esplicitamente la norma ISO/IEC 27001. Tuttavia, l'articolo 27 del documento "Recepimento Direttiva NIS2.pdf" fa riferimento agli schemi europei di certificazione della cybersicurezza, che potrebbero includere certificazioni basate su standard come la ISO 27001.
Il recepimento della direttiva NIS2 in Italia prevede la modifica di alcune normative esistenti, tra cui il decreto-legge 14 giugno 2021, n. 82, che ha istituito l'Agenzia per la cybersicurezza nazionale. Tra le modifiche previste, l'articolo 73 del documento "Recepimento Direttiva NIS2.pdf" stabilisce che il comma 3-bis del decreto-legge n. 82 del 2021, relativo alla notifica degli incidenti, verrà abrogato.
Invece, l'articolo 74 introduce un nuovo comma 8-bis, che estende l'applicazione degli obblighi di sicurezza informatica e delle attività ispettive e sanzionatorie previste dalla NIS2 ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica che non sono classificati come soggetti essenziali o importanti. Questa estensione si applica solo ai sistemi informativi e di rete che non rientrano nell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge n. 105 del 2019.
Nonostante il mantenimento di alcuni elementi, la NIS2 introduce cambiamenti significativi rispetto al precedente framework nazionale della sicurezza, tra cui:
• Ampliamento dell'ambito di applicazione: La NIS2 amplia il numero di settori e soggetti considerati essenziali o importanti per la sicurezza informatica.
• Obblighi più rigorosi: La NIS2 introduce obblighi più rigorosi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica degli incidenti.
• Rafforzamento della cooperazione: La NIS2 promuove la cooperazione tra gli Stati membri, le autorità nazionali e i soggetti privati in materia di cybersicurezza.
In sintesi:
• La Direttiva NIS2 mira a rafforzare la sicurezza informatica nell'Unione Europea, introducendo obblighi più rigorosi per un numero più ampio di settori e organizzazioni rispetto alla Direttiva NIS precedente.
• Introduzione dei soggetti interessati:
1. Soggetti Essenziali e Importanti:
• Allegati I e II: Il decreto definisce i settori considerati "altamente critici" (Allegato I) e "critici" (Allegato II), elencando i relativi sottosettori e le tipologie di soggetti. Questi allegati non sono inclusi nei tuoi documenti, quindi non sono disponibili informazioni specifiche sui settori e i sottosettori.
• Dimensioni: I soggetti negli Allegati I e II che superano i parametri dimensionali per le piccole imprese (come definiti dalla Raccomandazione 2003/361/CE) sono considerati "soggetti essenziali".
• Soggetti Indipendentemente dalle Dimensioni: Alcuni soggetti, indipendentemente dalle loro dimensioni, sono sempre considerati essenziali:
- Soggetti identificati come critici secondo il decreto che recepisce la Direttiva (UE) 2022/2557.
- Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico.
- Prestatori di servizi fiduciari.
- Gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio.
- Fornitori di servizi di registrazione dei nomi di dominio.
• Soggetti Importanti: I soggetti che rientrano nell'articolo 3 ma non sono classificati come essenziali secondo i commi 1 e 2 dell'articolo 6, sono considerati "soggetti importanti".
2. Pubbliche Amministrazioni:
• Allegato III: Il decreto si applica, a prescindere dalle dimensioni, alle Pubbliche Amministrazioni elencate nell'Allegato III. Questo allegato non è incluso nei tuoi documenti.
• Ulteriori Categorie: Il Presidente del Consiglio dei Ministri può emanare decreti per individuare ulteriori categorie di Pubbliche Amministrazioni soggette al decreto.
3 . Ulteriori Tipologie di Soggetti (Allegato IV):
• Allegato IV: Il decreto si applica, a prescindere dalle dimensioni, anche ai soggetti elencati nell'Allegato IV. Questo allegato include:
- Soggetti che forniscono servizi di trasporto pubblico locale.
- Istituti di istruzione che svolgono attività di ricerca.
- Soggetti che svolgono attività di interesse culturale.
- Società in house, società partecipate e società a controllo pubblico.
Obblighi principali:
• I soggetti essenziali e importanti sono tenuti a registrarsi e comunicare informazioni aggiornate all'Autorità nazionale competente NIS (Agenzia per la cybersicurezza nazionale).
• Devono implementare misure di gestione del rischio per la sicurezza informatica, proporzionate alla loro rilevanza.
• Sono obbligati a notificare gli incidenti significativi al CSIRT Italia, fornendo informazioni dettagliate sull'accaduto e sulle misure adottate.
• Devono utilizzare schemi di certificazione per la sicurezza informatica e rispettare le normative specifiche del settore.
Sanzioni:
• Sono previste sanzioni amministrative pecuniarie per le violazioni degli obblighi, con importi più elevati per i soggetti essenziali e in caso di reiterazione.
• Sono introdotti strumenti deflattivi del contenzioso, come l'invito a conformarsi e il pagamento in misura ridotta.
Aspetti organizzativi:
• È istituito un Tavolo per l'attuazione della disciplina NIS con il compito di coordinare le attività e fornire supporto ai soggetti interessati.
• È prevista una cooperazione rafforzata tra le autorità nazionali, le regioni e la Commissione Europea.
Disposizioni transitorie:
• Sono previsti termini transitori per l'adeguamento alle nuove disposizioni e per l'entrata in vigore di alcuni obblighi.
La direttiva NIS2 non menziona esplicitamente la norma ISO/IEC 27001. Tuttavia, l'articolo 27 del documento "Recepimento Direttiva NIS2.pdf" fa riferimento agli schemi europei di certificazione della cybersicurezza, che potrebbero includere certificazioni basate su standard come la ISO 27001.
SCOPI:
Supportare le aziende critiche lungo il percorso di adeguamento alla sicurezza dei dati richiesta dalla direttiva NIS2 e dal perimetro di sicurezza cibernetica nazionale, attraverso metodologie consolidate e internazionalmente riconosciute.
A CHI E' RIVOLTO:
Tutte le Aziende appartenenti alla categoria individuate come soggetti essenziali e importanti.
CONTENUTI:
Il servizio di Consulenza prevede un percorso di accompagnamento alla Governance ed al rispetto della direttiva NIS2 e all'adozione delle linee guida attraverso metodologie consolidate e di riferimento internazionale attraverso un processo di “continuous improvement”, in ottica di un approccio olistico della sicurezza cibernetica.
In particolare l’attività sarà così suddivisa:
Fase 0:
- Supporto per l’iscrizione al portale di riferimento
Fase 1:
- Identificazione dei rischi, analisi dei rischi e trattamento degli stessi sia documentale che in loco (per la sede principale e per i nodi principali di riferimento quali:
- Autovalutazione attraverso il modello Core CSF NIST attualmente in vigore con migrazione verso NIST 2 integrato con i controlli della norma ISO 27001;
- Individuazione delle attività prioritarie che emergono dall’autovalutazione;
- Supporto alla compilazione del modulo richiesto dalle linee guida previste dalla normativa;
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 2:
- Supporto all’implementazione delle attività con alta priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 3:
- Supporto all'implementazione delle attività con bassa priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
In particolare l’attività sarà così suddivisa:
Fase 0:
- Supporto per l’iscrizione al portale di riferimento
Fase 1:
- Identificazione dei rischi, analisi dei rischi e trattamento degli stessi sia documentale che in loco (per la sede principale e per i nodi principali di riferimento quali:
- Autovalutazione attraverso il modello Core CSF NIST attualmente in vigore con migrazione verso NIST 2 integrato con i controlli della norma ISO 27001;
- Individuazione delle attività prioritarie che emergono dall’autovalutazione;
- Supporto alla compilazione del modulo richiesto dalle linee guida previste dalla normativa;
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 2:
- Supporto all’implementazione delle attività con alta priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 3:
- Supporto all'implementazione delle attività con bassa priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
