entry
Skip to main content

Direttiva Europea NIS2 │prime note

Direttiva Europea NIS2 - Network and Information Systems 2 -  il Consiglio dei Ministri approva in via preliminare lo schema del provvedimento legislativo relativo al recepimento della direttiva.

La Direttiva NIS2 è una norma che stabilisce obiettivi e requisiti minimi per la cybersecurity delle infrastrutture critiche. È entrata in vigore il 16 gennaio 2023 e gli Stati membri devono integrarla nella loro legislazione nazionale entro il 17 ottobre 2024. Lo scorso 7 giugno il Consiglio dei Ministri ha licenziato una bozza di decreto di recepimento della Direttiva; tuttavia, il documento ufficiale non è ancora stato pubblicato.

Riguarda potenzialmente molte migliaia di organizzazioni in Italia, poiché si applica a soggetti pubblici o privati che operano in uno dei settori specificati e che sono considerati medie o grandi imprese in senso europeo, quindi impiegano più di 50 addetti e sviluppano un fatturato (o un attivo di bilancio) superiore ai 10 milioni di euro.

Di particolare rilievo è il fatto che, ai settori altamente critici “tradizionali” (il trasporto aereo, ferroviario, la produzione di energia, i fornitori e distributori d’acqua, la sanità..) si aggiungono dei settori nei quali ricadono potenzialmente numerose medie imprese manifatturiere private.

Nel dettaglio sono considerati settori critici, tra gli altri:

  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • I settori produttivi con codice ATECO 26, 27, 28, 29, 30
  • I fornitori di servizi digitali

Il governo italiano è chiamato a recepire la direttiva entro il termine stabilito e a definire un elenco dei soggetti essenziali e importanti entro aprile 2025. Se la bozza verrà confermata, nella prima fase di applicazione, è previsto, dal momento della comunicazione di inserimento dell’azienda nell’elenco delle imprese interessate dalla normativa, un termine di 18 mesi per l’adempimento degli obblighi principali.

Tra questi si possono identificare primariamente:

  1. L’analisi dei rischi e la definizione di politiche di sicurezza informatica
  2. L’implementazione di misure di sicurezza appropriate per gestire i rischi identificati.
  3. La gestione degli incidenti, mediante la formalizzazione di un piano di risposta alle minacce atto a garantire la continuità operativa e ripristinare i sistemi in caso di incidenti.
  4. La formazione del personale, con riferimento particolare ai rischi informatici e l'adozione di corrette prassi di sicurezza.
  5. La sicurezza della supply chain: l’analisi dei rischi associati ai partner commerciali e ai fornitori, in particolar modo assicurandosi che l'acquisizione, lo sviluppo e la manutenzione dei rispettivi sistemi IT siano gestiti in modo sicuro.
  6. La segnalazione tempestiva di incidenti significativi mediante la definizione di un processo volto a segnalare tempestivamente gli incidenti significativi alle autorità competenti.
  7. L’attività periodica di revisione e audit per valutare la conformità del proprio assetto ed identificare le aree di miglioramento.

CONFIMI APINDUSTRIA VICENZA
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. 
0444.232210

 

  • Creato il .
Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Read more
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Matomo
Accept
Decline