fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cybersecurity in Evoluzione: Le Nuove Regole della Direttiva NIS2 Rivoluzionano la Protezione dei Dati

Simone Valenti : 19 Dicembre 2023 08:15

La Direttiva NIS2, in vigore dal 17 gennaio 2023, ha introdotto nuovi obblighi di cybersicurezza per grandi e medie imprese nei settori alimentare, manifatturiero e della pubblica amministrazione. Con il recepimento previsto entro il 17 ottobre 2024 da parte degli Stati Membri, le organizzazioni saranno obbligate a rispettare requisiti stringenti in materia di governance, continuità operativa, presidio della catena di fornitura, segnalazione degli incidenti e gestione dei rischi per la cybersicurezza. La Direttiva NIS 2 si integra con le varie normative e linee guida europee sulla protezione dei dati e la privacy, inclusi il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Chi sono i soggetti coinvolti nella Direttiva NIS2?

La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, che si divide in Settori di elevata criticità e Altri settori critici, entrambi significativamente più estesi rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti.

Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”. Per stabilire se un’organizzazione rientri in una di queste categorie, viene ridotto il margine di discrezionalità in capo agli Stati Membri, introducendo un duplice criterio basato su dimensione e settore di appartenenza.

Settori di elevata criticità:

  • Energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno).
  • Trasporti (aria, ferrovia, acqua e strada).
  • Banche.
  • Infrastrutture dei mercati finanziari.
  • Salute, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini.
  • Acqua potabile.
  • Acque reflue.
  • Infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico).
  • Gestione dei servizi TIC (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti).
  • Pubblica amministrazione.
  • Spazio.

Altri settori critici:

  •  Servizi postali e di corriere.
  • Gestione dei rifiuti.
  • Prodotti chimici.
  • Alimenti.
  • Fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto.
  • Fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking).
  • Organizzazioni di ricerca.

Sanzioni

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o importante. Nel merito, i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

Principali obblighi per le organizzazioni

Gli adempimenti richiesti dalla Direttiva NIS2 riguardano i seguenti ambiti:

  • Governo della cybersecurity: gli organi di gestione devono approvare le misure per la gestione dei rischi adottate dall’organizzazione, seguire un’adeguata formazione e garantire una formazione analoga ai propri dipendenti.
  • Gestione dei rischi: i soggetti sono tenuti ad adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi.
  • Continuità operativa: i soggetti devono garantire la continuità dei propri servizi e ridurre al minimo l’impatto di eventuali interruzioni attraverso misure quali la gestione del backup, il ripristino in caso di disastro e la gestione delle crisi.
  • Sicurezza della catena di approvvigionamento: i soggetti sono chiamati a proteggere la propria catena di fornitura valutando le vulnerabilità specifiche dei propri fornitori e l’adeguatezza delle loro pratiche di cybersicurezza.
  • Segnalazione degli incidenti: i soggetti sono obbligati a segnalare gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi ai rispettivi CSIRT o autorità nazionali competenti, con un preallarme entro 24 ore e una notifica completa/integrativa entro 72 ore dalla conoscenza dell’incidente

Ancharia è una Start-UP italiana che collabora con Red Hot Cyber all’interno del gruppo Start-UP RHC, Offre un servizio di consulenza specializzato per le aziende che desiderano mettersi in regola con la Direttiva NIS 2.

Simone Valenti
Ingegnere delle telecomunicazioni con dottorato di ricerca. Ho profondo interesse, passione e competenze nel campo della sicurezza informatica. Assieme ad altri professionisti ho fondato ANCHARIA, una startup innovativa attiva e specializzata nella fornitura di servizi ad alto valore aggiunto nel settore della sicurezza informatica. Le mie competenze abbracciano diverse aree cruciali della cybersecurity, tra cui l'ethical hacking, l'auditing ISO 27001, la formazione e la consulenza per la conformità alle normative di settore.

Articoli in evidenza

Dal Giallo al Laboratorio Di Armi Chimiche Il Passo E’ Breve! Jailbreak di ChatGPT con Doppi Negativi

Recentemente, Alin Grigoras, un chimico computazionale, ha scritto alla Redazione di Red Hot Cyber. Ci informava che prendendo spunto da un articolo sul bug bounty di Anthropic, era riuscito a farsi d...

Red Team Research di TIM pubblica una CVE critica (9.0) su ZENIC ONE R58 di ZTE Corporations

Nel corso di un’analisi di sicurezza effettuata sul prodotto ZENIC ONE R58 di ZTE Corporations, il RED Team Research di TIM ha individuato un bug critico di tipo Formula Injection, una vulnerab...

Un Bypass dell’autenticazione espone gli account Microsoft agli attaccanti remoti!

Microsoft ha recentemente rilasciato un avviso di sicurezza per CVE-2025-21396, una vulnerabilità critica di bypass dell’autenticazione che potrebbe consentire agli attaccanti di falsifica...

Dating online: il 23% degli italiani truffato! Quanto rischi sulle app di incontri?

Norton, marchio consumer di sicurezza informatica, ha pubblicato il suo Consumer Cyber Safety Report – Online Dating Edition 2025. Il report ha intervistato gli italiani per esplorare il loro r...

Dal gioco alla realtà: come gli hacker etici si allenano senza rischi in infrastrutture controllate

Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è p...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009