Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cybersecurity in Evoluzione: Le Nuove Regole della Direttiva NIS2 Rivoluzionano la Protezione dei Dati

Simone Valenti : 19 Dicembre 2023 08:15

La Direttiva NIS2, in vigore dal 17 gennaio 2023, ha introdotto nuovi obblighi di cybersicurezza per grandi e medie imprese nei settori alimentare, manifatturiero e della pubblica amministrazione. Con il recepimento previsto entro il 17 ottobre 2024 da parte degli Stati Membri, le organizzazioni saranno obbligate a rispettare requisiti stringenti in materia di governance, continuità operativa, presidio della catena di fornitura, segnalazione degli incidenti e gestione dei rischi per la cybersicurezza. La Direttiva NIS 2 si integra con le varie normative e linee guida europee sulla protezione dei dati e la privacy, inclusi il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Chi sono i soggetti coinvolti nella Direttiva NIS2?

La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, che si divide in Settori di elevata criticità e Altri settori critici, entrambi significativamente più estesi rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti.

Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”. Per stabilire se un’organizzazione rientri in una di queste categorie, viene ridotto il margine di discrezionalità in capo agli Stati Membri, introducendo un duplice criterio basato su dimensione e settore di appartenenza.

Settori di elevata criticità:

  • Energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno).
  • Trasporti (aria, ferrovia, acqua e strada).
  • Banche.
  • Infrastrutture dei mercati finanziari.
  • Salute, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini.
  • Acqua potabile.
  • Acque reflue.
  • Infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico).
  • Gestione dei servizi TIC (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti).
  • Pubblica amministrazione.
  • Spazio.

Altri settori critici:

  •  Servizi postali e di corriere.
  • Gestione dei rifiuti.
  • Prodotti chimici.
  • Alimenti.
  • Fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto.
  • Fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking).
  • Organizzazioni di ricerca.

Sanzioni

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o importante. Nel merito, i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

    Principali obblighi per le organizzazioni

    Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:

    • Governo della cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
    • Gestione dei rischi: i soggetti sono tenuti ad adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi.
    • Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
    • Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.
    • Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi ai rispettivi CSIRT o autorità nazionali competenti, con un preallarme entro 24 ore e una notifica completa/integrativa entro 72 ore dalla conoscenza dell’incidente

    Ancharia è una Start-UP italiana che collabora con Red Hot Cyber all’interno del gruppo Start-UP RHC, Offre un servizio di consulenza specializzato per le aziende che desiderano mettersi in regola con la Direttiva NIS 2.

    Simone Valenti
    Ingegnere delle telecomunicazioni con dottorato di ricerca. Ho profondo interesse, passione e competenze nel campo della sicurezza informatica. Assieme ad altri professionisti ho fondato ANCHARIA, una startup innovativa attiva e specializzata nella fornitura di servizi ad alto valore aggiunto nel settore della sicurezza informatica. Le mie competenze abbracciano diverse aree cruciali della cybersecurity, tra cui l'ethical hacking, l'auditing ISO 27001, la formazione e la consulenza per la conformità alle normative di settore.

    Lista degli articoli

    Articoli in evidenza

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006