La direttiva UE NIS2
La NIS2 innalza i requisiti in materia di cybersicurezza, gestione del rischio e processi di segnalazione per entità essenziali e importanti in 18 settori critici dell'UE.
Richiedi una consulenza gratuitaTempo di lettura: 7 minuti
Che cos’è la direttiva UE NIS2?
La direttiva NIS2 è una componente centrale della strategia europea per la cybersicurezza. Obbliga le organizzazioni operanti in settori critici e importanti a garantire un livello di sicurezza adeguato, gestire attivamente i rischi e segnalare gli incidenti di sicurezza. L’obiettivo è rafforzare in modo duraturo la resilienza delle infrastrutture centrali e dei servizi digitali in tutta l’UE. Insieme al Cyber Resilience Act e al Digital Operational Resilience Act, la NIS2 costituisce una parte importante del quadro europeo per la resilienza digitale.
Da oltre 15 anni Greenbone aiuta i clienti a prepararsi al miglior standard di sicurezza possibile. Consideriamo la NIS2 un'opportunità per offrire supporto e costruire la massima cyber resilienza possibile. OPENVAS SECURITY INTELLIGENCE con OPENVAS SCAN supporta le organizzazioni nella gestione continua delle vulnerabilità. Per ambienti IT di piccole e medie dimensioni, OPENVAS BASIC può rappresentare un punto di partenza utile.
La direttiva UE NIS2: quali obiettivi persegue?
La direttiva NIS2 mira a garantire un elevato livello comune di cybersicurezza nell’UE e a ridurre le minacce informatiche per i servizi essenziali. Attraverso misure di sicurezza di base e standard di governance, intende prevenire incidenti che potrebbero compromettere servizi critici, destabilizzare settori centrali o provocare gravi danni sociali ed economici.
Aumentare il livello comune di sicurezza
La NIS2 crea un livello minimo di cybersicurezza più uniforme nell’UE e rafforza la cooperazione tra Stati membri, autorità di vigilanza e CSIRT.
Rendere più resilienti i servizi essenziali
Le entità interessate devono gestire attivamente i rischi informatici, prevenire meglio gli incidenti di sicurezza e garantire la propria operatività anche in caso di crisi.
Coinvolgere maggiormente management e direzione aziendale
La cybersicurezza diventa una responsabilità della direzione: gli organi direttivi devono supervisionare i rischi e assumersi maggiori responsabilità in caso di violazioni.
Chi deve rispettare la NIS2?
La NIS2 si applica alle organizzazioni in settori critici definiti e a importanti attori economici. Sono determinanti il settore, le dimensioni e l’importanza dei servizi erogati. La classificazione avviene in entità “essenziali” e “importanti”, con requisiti e intensità di vigilanza differenti.
18 settori critici
La NIS2 include, tra gli altri, energia, trasporti, sanità, infrastrutture digitali, amministrazione pubblica, chimica, industria alimentare e fornitori di servizi digitali.
Entità essenziali
Ne fanno tipicamente parte grandi organizzazioni in settori particolarmente critici, nonché determinati fornitori indipendentemente dalle loro dimensioni.
Entità importanti
Anche le entità importanti devono attuare misure tecniche, organizzative e operative adeguate e segnalare incidenti di sicurezza significativi.
Classificazione dei settori rilevanti in entità essenziali e importanti nel quadro della NIS2.
Verifica rapida NIS2: la tua organizzazione è interessata?
Con pochi criteri è possibile valutare rapidamente se la tua organizzazione rientra nella direttiva NIS2.
Verificare il settore
La tua organizzazione opera in uno dei 18 settori NIS2, ad esempio energia, sanità, infrastrutture digitali, pubblica amministrazione, chimica, alimentare, ricerca o industria manifatturiera?
Valutare le dimensioni
La tua organizzazione raggiunge almeno 50 dipendenti oppure un fatturato annuo o un totale di bilancio di almeno 10 milioni di euro? In tal caso possono essere rilevanti requisiti aggiuntivi.
Valutare la maturità della sicurezza
Asset management, gestione delle vulnerabilità, incident handling, backup, sicurezza della supply chain e canali di segnalazione sono già documentati e verificati regolarmente?
Classificazione schematica della rilevanza NIS2 sulla base di criteri centrali quali settore, dimensioni e livello di sicurezza.
Quali requisiti si applicano alle organizzazioni interessate?
La NIS2 obbliga le organizzazioni ad adottare misure di sicurezza tecniche, organizzative e operative. Queste includono in particolare gestione del rischio, gestione delle vulnerabilità e incident handling.
Analisi del rischio e concetti di sicurezza
Le entità interessate devono definire, attuare e adattare regolarmente alla situazione delle minacce concetti per l’analisi del rischio e la sicurezza delle informazioni.
Asset management e gestione delle vulnerabilità
Gli asset IT devono essere visibili. Le vulnerabilità dovrebbero essere identificate, prioritizzate e corrette regolarmente, affinché sistemi e applicazioni rimangano sicuri.
Incident handling e gestione delle crisi
Le organizzazioni devono stabilire processi per il rilevamento, l’analisi e la gestione degli incidenti di sicurezza e documentare chiaramente i canali di segnalazione.
Business continuity e backup
Backup, pianificazione del ripristino, comunicazione di emergenza e processi di crisi devono garantire la continuità operativa anche in caso di incidenti.
Supply chain e fornitori di servizi
I rischi legati a terze parti, fornitori e prestatori di servizi devono essere valutati e integrati nei concetti di sicurezza e nei processi contrattuali.
Formazione, crittografia e protezione degli accessi
Misure di awareness, cyber hygiene, crittografia, comunicazione sicura e controlli degli accessi diventano parte di un programma di sicurezza resiliente.
Quali obblighi di segnalazione prevede la NIS2?
Gli incidenti di sicurezza devono essere segnalati entro scadenze definite. A tal fine, la NIS2 prevede un processo di segnalazione in più fasi.
| Fase | Scadenza | Contenuto |
|---|---|---|
| Allerta precoce | Entro 24 ore dal momento in cui se ne viene a conoscenza | Prima segnalazione del fatto che si è verificato o è probabile che si verifichi un incidente di sicurezza significativo. |
| Valutazione iniziale | Entro 72 ore dal momento in cui se ne viene a conoscenza | Valutazione della gravità, degli impatti e, ove disponibili, degli indicatori di compromissione. |
| Relazione intermedia | Su richiesta dell'autorità competente | Stato aggiornato, ulteriori elementi conoscitivi e progressi nella gestione dell'incidente. |
| Relazione finale | Di norma entro un mese | Analisi delle cause, valutazione degli impatti e descrizione delle misure correttive adottate. |
Tempistiche per la segnalazione degli incidenti di sicurezza secondo la NIS2.
La NIS2 richiede una gestione regolare del rischio, gestione delle vulnerabilità e processi di sicurezza resilienti.
OPENVAS SECURITY INTELLIGENCE e OPENVAS SCAN supportano le organizzazioni nella creazione di una routine di sicurezza continua e dimostrabile. Contattaci per saperne di più.
Quando è entrata in vigore la direttiva UE NIS2?
La direttiva NIS2 è entrata in vigore nel 2023 ed è stata recepita nel diritto nazionale entro ottobre 2024.
27 dicembre 2022
Pubblicazione
La NIS2 viene pubblicata nella Gazzetta ufficiale dell'Unione europea.
16 gennaio 2023
Entrata in vigore a livello UE
La direttiva entra in vigore e avvia il periodo di recepimento per gli Stati membri.
17 ottobre 2024
Scadenza per il recepimento nazionale
Gli Stati membri dell'UE dovevano recepire i requisiti nel diritto nazionale entro questa data.
6 dicembre 2025
Germania
La legge tedesca di recepimento entra in vigore e modernizza il diritto nazionale in materia di cybersicurezza.
È necessario agire ora
La NIS2 richiede una gestione del rischio continuativa. Dati sugli asset aggiornati, scansioni regolari delle vulnerabilità, responsabilità chiare e processi di segnalazione resilienti dovrebbero essere mantenuti costantemente.
Richiedi una consulenza gratuita
Come Greenbone supporta la conformità NIS2
Greenbone supporta le organizzazioni nell’attuazione tecnica dei requisiti NIS2 e nell’istituzione duratura di processi di sicurezza.
OPENVAS SECURITY INTELLIGENCE
OPENVAS SECURITY INTELLIGENCE consolida i risultati provenienti da sistemi OPENVAS SCAN distribuiti, aggiunge contesto tramite security advisory e supporta workflow centralizzati per la gestione delle vulnerabilità.
OPENVAS SCAN
OPENVAS SCAN identifica vulnerabilità note, configurazioni errate e aggiornamenti di sicurezza mancanti in reti, sistemi, applicazioni, endpoint e ambienti container. Supporta inoltre il monitoraggio continuo della sicurezza IT.
OPENVAS BASIC
OPENVAS BASIC è il punto di partenza ideale per le scansioni delle vulnerabilità in ambienti IT di piccole e medie dimensioni. Per configurazioni NIS2 più grandi sono più adatti OPENVAS SCAN e SECURITY INTELLIGENCE.
Dashboard di OPENVAS SECURITY INTELLIGENCE con risultati delle scansioni delle vulnerabilità, distribuzione della gravità CVSS e inventario degli asset, orientato alla gestione continua delle vulnerabilità.
Domande frequenti sulla NIS2
Che cos’è NIS2?
La NIS2 è una direttiva UE per rafforzare la cybersicurezza. Obbliga le organizzazioni in settori critici e importanti ad adottare misure di sicurezza concrete e a rispettare obblighi di segnalazione.
Quali organizzazioni sono interessate dalla NIS2?
Sono interessate entità pubbliche e private in 18 settori critici. Sono determinanti il settore, le dimensioni e l’importanza dei servizi erogati.
Qual è la differenza tra entità essenziali e importanti?
Le entità essenziali sono organizzazioni particolarmente critiche e, di norma, sono soggette a misure di vigilanza più rigorose. Anche le entità importanti devono attuare misure di sicurezza e segnalare gli incidenti.
Quali misure richiede la NIS2?
La NIS2 richiede, tra le altre cose, analisi del rischio, concetti di sicurezza, incident handling, business continuity, sicurezza della supply chain, formazione, controllo degli accessi, asset management e gestione delle vulnerabilità.
Quali scadenze di segnalazione si applicano agli incidenti di sicurezza?
Per gli incidenti di sicurezza significativi è prevista un’allerta precoce entro 24 ore. Una valutazione iniziale segue entro 72 ore e la relazione finale, in linea di principio, entro un mese.
Quando si applica la NIS2 in Germania?
La direttiva UE è entrata in vigore il 16 gennaio 2023. Gli Stati membri dovevano recepirla entro il 17 ottobre 2024. In Germania, la legge di recepimento è entrata in vigore il 6 dicembre 2025.
Come supporta Greenbone la NIS2?
Greenbone supporta le organizzazioni con OPENVAS SCAN e OPENVAS SECURITY INTELLIGENCE nella gestione continua delle vulnerabilità, nella visione centralizzata degli asset e nella prioritizzazione dei rischi.
OPENVAS BASIC è adatto alla NIS2?
OPENVAS BASIC può essere un punto di partenza utile per ambienti IT di piccole e medie dimensioni. Per ambienti più grandi o maggiormente regolamentati, OPENVAS SCAN e OPENVAS SECURITY INTELLIGENCE sono in genere più adatti.
La tua organizzazione è pronta per la NIS2?
Verifica ora se la tua gestione delle vulnerabilità, la trasparenza degli asset e i processi di segnalazione soddisfano i requisiti. Greenbone ti supporta nella creazione di processi di sicurezza continui e nel rendere visibili i rischi in una fase precoce.
NIS2 Readiness Check con Greenbone
Vuoi valutare se la tua gestione delle vulnerabilità, la trasparenza degli asset e i processi di sicurezza sono sufficienti per la NIS2? Parla con noi del tuo ambiente attuale e delle possibilità di utilizzo più adatte di OPENVAS SECURITY INTELLIGENCE, OPENVAS SCAN o OPENVAS BASIC.
