1. Che cos’è la NIS 2? La Direttiva UE 2022/2555, nota come NIS 2 e recepita in Italia con D. Lgs. del 04/09/2024 n.138, stabilisce regole comuni per migliorare la sicurezza informatica in Europa.

2. A chi si applica la normativa? Si rivolge ai soggetti che operano in 11 settori “ad alta criticità” – Allegato I (tra cui energia, trasporti, settore bancario, sanitario, infrastrutture digitali) e 7 settori “critici” – Allegato II (tra cui alimentare, chimica, manifattura, servizi digitali, ricerca), rispetto ai quali viene introdotto anche un criterio di individuazione su base dimensionale, che estende l’applicazione della normativa a tutte le imprese medie (almeno 50 dipendenti o fatturato superiore a 10 milioni di euro) e grandi (almeno 250 dipendenti o fatturato superiore a 50 milioni di euro) che operano nei settori identificati. Micro e piccole imprese, salvo eccezioni dovute allo svolgimento di attività particolari, paiono fuori ambito. Possono essere coinvolte anche le aziende, indipendentemente dalle loro dimensioni che fanno parte della supply chain (catena di fornitura) di un soggetto importante o essenziale e nello specifico:

  1. adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
  2. detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
  3. effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
  4. forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale. Per sapere precisamente quali sono i settori critici ed altamente critici e vedere se la tua realtà è coinvolta puoi cliccare QUI

3. Registrazione obbligatoria per i soggetti NIS 2: scadenze e categorie La Direttiva NIS 2 richiede ai soggetti interessati di registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Le scadenze variano:

Entro il 17 gennaio 2025:

  • Fornitori di servizi di sistema dei nomi di dominio.
  • Gestori di registri dei nomi di dominio di primo livello.
  • Fornitori di servizi di registrazione dei nomi di dominio.
  • Fornitori di servizi di cloud computing, data center e reti di distribuzione dei contenuti.
  • Fornitori di servizi gestiti e di sicurezza gestiti.
  • Fornitori di mercati online, motori di ricerca online e piattaforme di social network. Entro il 28 febbraio 2025: Tutti gli altri soggetti inclusi nella Direttiva NIS 2, tra cui aziende essenziali e importanti nei settori energia, trasporti, finanza, sanità, infrastrutture digitali, fornitura di acqua potabile e pubblica amministrazione, qualora soddisfino i requisiti dimensionali.

4. Come registrarsi La registrazione si compone di tre fasi: a. Censimento del Punto di contatto (PdC): Accedere al portale ACN con SPID o credenziali alternative, inserire i dati del PdC e il titolo giuridico che ne legittima l’operatività. b. Associazione all’organizzazione: Fornire il codice IPA (per PA) o il codice fiscale (per privati), e convalidare i dati. c. Compilazione della dichiarazione: Inserire informazioni su attività (codici ATECO), normative applicabili, dimensioni aziendali e tipologie di soggetto.

5. Obblighi principali della Direttiva NIS 2 I soggetti devono: a. Registrarsi fornendo dati quali ragione sociale, indirizzo, recapiti e nomina di un Punto di contatto (PdC). b. Formare il personale e il management sulla cybersicurezza. c. Effettuare analisi dei rischi e adottare misure di sicurezza minime. d. Segnalare eventuali incidenti informatici.

6. Sanzioni per inosservanza La mancata registrazione o comunicazione di dati aggiornati comporta sanzioni fino allo 0,1% del fatturato annuo.

7. Risultati finali ACN invierà entro aprile 2025 un codice identificativo ai soggetti registrati per facilitare le comunicazioni. L’adempimento richiede un approccio integrato che contempli anche il coinvolgimento del DPO per garantire conformità tra privacy e cybersicurezza.

Per comprendere meglio l’argomento è disponibile il video di spiegazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) reperibile cliccando QUI

Formazione

01 e-learning è la piattaforma dedicata ai corsi di formazione sulla gestione dei dati personali

Per iscriverti e seguire i nostri corsi o semplicemente per richiedere informazioni
clicca qui

Sei compliance al GDPR o rischi la sanzione?

Scoprilo compilando GRATUITAMENTE la checklist privacy.
Verifica la tua compliance al GDPR e nel giro di pochi minuti potrai capire quanto la tua azienda/ente è esposta a sanzioni.
Potrai ricevere il resoconto via email

I nostri servizi

WHISTLEBLOWING

Con l'entrata in vigore del Decreto Legislativo 24/2023 che ha recepito la Direttiva Whistleblowing, trovano tutela le persone che segnalano trasgressioni delle disposizioni normative nazionali ed europee. Ora i dipendenti, oppure terze parti di un'azienda (ad esempio clienti o fornitori), possono segnalare in modo riservato e protetto, eventuali illeciti di natura amministrativa, contabile, civile o penale riscontrati durante la propria attività lavorativa.

vedi dettagli

DPO

Il data Protection Officer è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16. E’ un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi.



vedi dettagli



ATTIVITÀ DI CONTROLLO

Affiancamento costante e continuo attraverso l’assegnazione di un Tecnico Privacy dedicato, per una consulenza mirata a soddisfare le esigenze dei nostri clienti.


vedi dettagli

FORMAZIONE

La formazione è un elemento fondamentale al fine di evitare le pesanti sanzioni amministrative e penali. È necessario, dunque, che il titolare, i responsabili e i soggetti autorizzati al trattamento, siano adeguatamente istruiti attraverso appositi corsi di formazione.

vedi dettagli



PRIVACY POLICY, COOKIE POLICY E BANNER SITO

La tutela della privacy sul sito web sta diventando sempre più complicata: è fondamentale che vengano predisposti a regola d’arte documenti informativi come la Privacy Policy e la Cookie policy. È poi necessario gestire correttamente il consenso dell’utente mediante la creazione dell’apposito Banner per il raggiungimento alla compliance GDPR


vedi dettagli

ANALISI E PROGETTAZIONE

Il regolamento UE 679/2016 (GDPR) e il D.Lgs 101/2018 impongono alle aziende un processo di adeguamento interno sia documentale che procedurale. Verifichiamo i processi aziendali da implementare e definiamo le misure di sicurezza da adottare per raggiungere la compliance al GDPR.



vedi dettagli

Tra i nostri clienti