NIS2 e DORA in vigore. EU AI Act in arrivo — prenota una demo
Tutti i framework
Framework normativo

Conformita NIS2 per entita essenziali e importanti

La Direttiva NIS2 alza l'asticella della cybersicurezza nell'UE. Matproof La aiuta a soddisfare i nuovi requisiti — dalla gestione dei rischi alla segnalazione degli incidenti entro 24 ore.

Richieda una demo

Cos'e la Direttiva NIS2?

La Direttiva NIS2 (Direttiva UE 2022/2555) e la legislazione completa dell'Unione Europea sulla cybersicurezza che sostituisce e rafforza significativamente la Direttiva NIS originale del 2016. Adottata nel dicembre 2022, NIS2 stabilisce un livello elevato e comune di cybersicurezza nell'UE imponendo obblighi uniformi di gestione del rischio e segnalazione degli incidenti a un ambito vastamente ampliato di settori e entita. Gli Stati membri dovevano recepire la direttiva nel diritto nazionale entro il 17 ottobre 2024.

La Direttiva NIS originale soffriva di un'implementazione incoerente tra gli Stati membri, un ambito limitato e meccanismi di applicazione insufficienti. NIS2 affronta queste carenze coprendo 18 settori (rispetto ai 7 precedenti), introducendo criteri basati sulle dimensioni per determinare quali entita rientrano nell'ambito, armonizzando i requisiti di cybersicurezza, stabilendo scadenze piu rigorose per la segnalazione degli incidenti e creando un regime di applicazione significativo con sanzioni rilevanti per la non conformita.

Una delle innovazioni piu significative di NIS2 e l'introduzione esplicita della responsabilita del management. L'Articolo 20 richiede agli organi di gestione di approvare e supervisionare le misure di gestione del rischio di cybersicurezza, di sottoporsi a regolare formazione sulla cybersicurezza e di essere personalmente responsabili per le carenze di conformita. Questo rappresenta un cambiamento fondamentale dal trattare la cybersicurezza come una funzione puramente tecnica al riconoscerla come una responsabilita di governance a livello di consiglio di amministrazione.

In Germania, la Direttiva NIS2 viene implementata attraverso il NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitstaerkungsgesetz), che modifica la legge BSI esistente (BSIG). Il Bundesamt fuer Sicherheit in der Informationstechnik (BSI) funge da autorita nazionale competente e punto di contatto unico. L'implementazione tedesca aggiunge disposizioni nazionali in aree come gli obblighi di registrazione, requisiti tecnici specifici e procedure di applicazione, basandosi sul quadro tedesco esistente per la protezione delle infrastrutture critiche (KRITIS).

Chi necessita della conformita NIS2?

NIS2 utilizza un approccio basato sulle dimensioni combinato con la classificazione settoriale per determinare quali entita rientrano nell'ambito. In generale, le organizzazioni di medie dimensioni (50+ dipendenti o EUR 10M+ di fatturato annuo) e le grandi organizzazioni nei 18 settori designati rientrano nell'ambito. La direttiva distingue tra entita essenziali (soggette a supervisione proattiva) e entita importanti (soggette a supervisione reattiva).

Settori delle entita essenziali

  • Energia (elettricita, petrolio, gas, idrogeno, teleriscaldamento)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Bancario e infrastrutture dei mercati finanziari
  • Sanita (ospedali, laboratori, farmaceutica, dispositivi medici)
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (IXP, DNS, TLD, cloud, data center)
  • Gestione dei servizi ICT (B2B) e pubblica amministrazione
  • Spazio

Settori delle entita importanti

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione e distribuzione di prodotti chimici
  • Produzione, trasformazione e distribuzione alimentare
  • Fabbricazione (dispositivi medici, elettronica, macchinari, veicoli)
  • Fornitori digitali (marketplace, motori di ricerca, social network)
  • Organizzazioni di ricerca

Alcune entita sono coperte indipendentemente dalle loro dimensioni, inclusi i fornitori di reti pubbliche di comunicazione elettronica, i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello e le entita che sono l'unico fornitore di un servizio critico in uno Stato membro. Le organizzazioni nella catena di fornitura di entita essenziali e importanti possono essere indirettamente interessate, poiche NIS2 richiede alle entita rientranti nell'ambito di gestire i rischi di cybersicurezza nelle loro catene di fornitura. In Germania, il BSI stima che circa 30.000 entita rientreranno nell'ambito del NIS2UmsuCG.

Not sure if you're compliant?

Take the free NIS2 readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisiti chiave di NIS2 nel dettaglio

1. Misure di gestione del rischio di cybersicurezza (Articolo 21)

Le entita essenziali e importanti devono adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi di cybersicurezza. L'Articolo 21(2) specifica misure minime tra cui analisi dei rischi e politiche di sicurezza dei sistemi informativi, gestione degli incidenti, continuita operativa e gestione delle crisi, sicurezza della catena di fornitura, sicurezza nell'acquisizione di reti e sistemi informativi, politiche per valutare l'efficacia delle misure, pratiche di igiene informatica di base e formazione, politiche di crittografia e cifratura, sicurezza delle risorse umane e autenticazione a piu fattori.

2. Segnalazione degli incidenti (Articoli 23-24)

NIS2 introduce un processo di segnalazione strutturato a piu fasi. Le organizzazioni devono presentare un'allerta preventiva all'autorita competente o al CSIRT entro 24 ore dal momento in cui vengono a conoscenza di un incidente significativo. Una notifica dell'incidente con una valutazione iniziale deve seguire entro 72 ore. Un rapporto finale con analisi delle cause, valutazione dell'impatto e misure di rimedio deve essere presentato entro un mese. Un incidente e considerato significativo se causa o puo causare una grave interruzione operativa o una perdita finanziaria, o se colpisce altre persone causando danni materiali o immateriali considerevoli.

3. Responsabilita del management (Articolo 20)

NIS2 richiede esplicitamente agli organi di gestione di approvare le misure di gestione del rischio di cybersicurezza, di supervisionarne l'implementazione e di essere responsabili della non conformita. I membri della direzione devono sottoporsi a formazione regolare e adeguata sulla cybersicurezza per sviluppare conoscenze e competenze sufficienti per identificare i rischi, valutare le pratiche di gestione della cybersicurezza e valutarne l'impatto sui servizi. Questo obbligo non puo essere delegato, e la direzione puo incorrere in sanzioni personali per mancata conformita.

4. Sicurezza della catena di fornitura (Articolo 21(2)(d))

Le entita devono affrontare i rischi di cybersicurezza nelle loro catene di fornitura e nei rapporti con i fornitori. Cio include la valutazione della postura di sicurezza dei fornitori diretti, l'incorporazione di requisiti di cybersicurezza negli accordi contrattuali, il monitoraggio della conformita dei fornitori e la gestione dei rischi derivanti dall'uso di prodotti e servizi ICT. Le valutazioni del rischio della catena di fornitura dovrebbero considerare la qualita e la resilienza complessive dei prodotti, le pratiche di cybersicurezza dei fornitori e qualsiasi rischio specifico per Paese associato alle sedi dei fornitori.

5. Continuita operativa e gestione delle crisi (Articolo 21(2)(c))

Le organizzazioni devono implementare la gestione della continuita operativa, inclusi gestione dei backup e ripristino in caso di disastro, e procedure di gestione delle crisi. I piani devono coprire la continuita dei servizi critici, definire ruoli e responsabilita durante gli incidenti, stabilire procedure di comunicazione e includere programmi regolari di test ed esercitazioni. I piani di continuita operativa dovrebbero considerare le dipendenze da fornitori di servizi terzi e includere soluzioni alternative per i servizi critici.

6. Gestione e divulgazione delle vulnerabilita (Articoli 12-13)

NIS2 stabilisce un quadro di divulgazione coordinata delle vulnerabilita attraverso l'Agenzia dell'Unione europea per la cybersicurezza (ENISA). Le entita devono implementare procedure di gestione e divulgazione delle vulnerabilita, condurre valutazioni regolari delle vulnerabilita e applicare tempestivamente le patch di sicurezza. ENISA mantiene un database europeo delle vulnerabilita, e i CSIRT fungono da intermediari fidati per la divulgazione coordinata delle vulnerabilita. Le organizzazioni devono anche partecipare ai processi di notifica delle vulnerabilita quando informate dalle autorita.

7. Registrazione e cooperazione (Articoli 3, 25-29)

Le entita essenziali e importanti devono registrarsi presso l'autorita competente, fornendo informazioni sulla propria entita, settore, sotto-settore, dati di contatto e intervalli IP. La direttiva stabilisce un quadro di cooperazione che include il Cooperation Group (orientamento strategico), la rete CSIRTs (cooperazione operativa) e EU-CyCLONe (gestione delle crisi). Le entita devono cooperare con le autorita durante le attivita di supervisione e le indagini sugli incidenti.

8. Autenticazione a piu fattori e controllo degli accessi

NIS2 richiede esplicitamente l'uso di autenticazione a piu fattori o soluzioni di autenticazione continua, comunicazioni vocali, video e testuali protette e sistemi di comunicazione di emergenza protetti ove appropriato. Le politiche di controllo degli accessi devono seguire il principio del privilegio minimo, e le organizzazioni devono implementare sistemi di gestione delle identita, gestione degli accessi privilegiati e revisioni regolari degli accessi. Questi requisiti si applicano sia ai sistemi interni che ai servizi rivolti all'esterno.

Sanzioni per la non conformita a NIS2

NIS2 introduce un regime sanzionatorio significativamente rafforzato rispetto alla Direttiva NIS originale. Le autorita competenti dispongono di ampi poteri di supervisione e le sanzioni sono progettate per essere efficaci, proporzionate e dissuasive. La direttiva differenzia le sanzioni tra entita essenziali e importanti.

Fino a EUR 10M / 2%

Sanzioni massime per le entita essenziali: EUR 10 milioni o il 2% del fatturato annuo mondiale totale, il valore piu elevato tra i due

Fino a EUR 7M / 1,4%

Sanzioni massime per le entita importanti: EUR 7 milioni o l'1,4% del fatturato annuo mondiale totale, il valore piu elevato tra i due

Responsabilita personale

I membri dell'organo di gestione possono essere ritenuti personalmente responsabili e affrontare divieti temporanei di esercitare funzioni dirigenziali per le entita essenziali

Sospensione del servizio

Per le entita essenziali, le autorita possono sospendere o vietare temporaneamente a una persona fisica di esercitare funzioni dirigenziali e sospendere certificazioni o autorizzazioni

Le entita essenziali sono soggette a supervisione proattiva, il che significa che le autorita possono condurre audit regolari, scansioni di sicurezza, ispezioni in loco e richiedere prove di conformita in qualsiasi momento. Le entita importanti sono soggette a supervisione reattiva - le autorita intervengono sulla base di prove di non conformita, come rapporti sugli incidenti o reclami. In Germania, il BSI dispone di ulteriori poteri di applicazione ai sensi del NIS2UmsuCG, inclusa la possibilita di emettere istruzioni vincolanti, nominare funzionari di monitoraggio e limitare o vietare la fornitura di servizi.

Come raggiungere la conformita NIS2

Con la scadenza del recepimento nazionale superata nell'ottobre 2024, le organizzazioni rientranti nell'ambito dovrebbero lavorare attivamente verso la piena conformita NIS2. Ecco un approccio strutturato:

  1. 1

    Definizione dell'ambito e autovalutazione

    Determini se la Sua organizzazione rientra nell'ambito di NIS2 valutando il settore, le dimensioni (dipendenti e fatturato) e la criticita del servizio. Si classifichi come entita essenziale o importante in base ai criteri della direttiva. Esamini la legge nazionale di recepimento (NIS2UmsuCG in Germania) per eventuali requisiti nazionali aggiuntivi. Si registri presso l'autorita competente (BSI in Germania) come richiesto.

  2. 2

    Analisi delle lacune rispetto ai requisiti dell'Articolo 21

    Valuti la Sua attuale postura di cybersicurezza rispetto alle 10 misure minime specificate nell'Articolo 21(2). Identifichi le lacune nelle politiche di gestione del rischio, nella gestione degli incidenti, nella continuita operativa, nella sicurezza della catena di fornitura, nella gestione delle vulnerabilita, nella crittografia, nel controllo degli accessi e nella formazione dei dipendenti. Dia priorita alla risoluzione in base al rischio e alle aspettative normative. Mappi i controlli esistenti da ISO 27001, DORA o altri framework ai requisiti NIS2.

  3. 3

    Coinvolgimento e formazione dell'organo di gestione

    Informi l'organo di gestione sugli obblighi NIS2, inclusa la loro responsabilita personale ai sensi dell'Articolo 20. Organizzi la formazione sulla cybersicurezza per tutti i membri della direzione. Stabilisca processi di governance per l'approvazione delle misure di gestione del rischio da parte della direzione e la reportistica regolare sullo stato della cybersicurezza. Documenti le decisioni della direzione e le attivita di supervisione per dimostrare la conformita.

  4. 4

    Implementazione delle misure di gestione del rischio di cybersicurezza

    Implementi o rafforzi le 10 misure minime richieste dall'Articolo 21. Cio include l'implementazione dell'autenticazione a piu fattori, la segmentazione della rete e la crittografia, la creazione di processi di gestione delle vulnerabilita, la redazione di piani di continuita operativa e ripristino in caso di disastro e la costruzione di un programma completo di sicurezza della catena di fornitura. Si assicuri che tutte le misure siano proporzionate al Suo profilo di rischio e alla criticita dei Suoi servizi.

  5. 5

    Istituzione delle capacita di segnalazione degli incidenti

    Costruisca processi di rilevamento, classificazione e segnalazione degli incidenti che rispettino le scadenze rigorose di NIS2: allerta preventiva entro 24 ore, notifica dell'incidente entro 72 ore e rapporto finale entro un mese. Stabilisca canali di comunicazione con l'autorita competente (BSI) e i CSIRT pertinenti. Definisca cosa costituisce un 'incidente significativo' per la Sua organizzazione e crei modelli di notifica pre-approvati. Conduca esercitazioni tabletop per testare la Sua capacita di rispettare le scadenze di segnalazione.

  6. 6

    Conformita e monitoraggio continui

    Implementi il monitoraggio continuo della Sua postura di cybersicurezza, dei rischi della catena di fornitura e dell'efficacia dei controlli. Conduca regolarmente valutazioni di sicurezza, scansioni delle vulnerabilita e test di penetrazione. Riveda e aggiorni le misure di gestione del rischio in base alle minacce in evoluzione, agli incidenti e alle linee guida normative. Utilizzi Matproof per automatizzare il monitoraggio dei controlli, la raccolta delle evidenze e la reportistica di conformita, garantendo la prontezza continua per le attivita di supervisione.

Domande frequenti su NIS2

Cos'e la Direttiva NIS2?

NIS2 (Direttiva UE 2022/2555) e la direttiva aggiornata dell'Unione Europea sulla sicurezza delle reti e dei sistemi informativi. Sostituisce la Direttiva NIS originale del 2016 e ne amplia significativamente l'ambito, coprendo 18 settori e introducendo requisiti di cybersicurezza piu rigorosi, obblighi di segnalazione degli incidenti e responsabilita del management. Gli Stati membri dovevano recepire NIS2 nel diritto nazionale entro il 17 ottobre 2024.

Qual e la differenza tra entita essenziali e importanti ai sensi di NIS2?

NIS2 categorizza le entita in due gruppi in base al settore e alle dimensioni. Le entita essenziali includono settori come energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanita, acqua potabile, infrastrutture digitali e pubblica amministrazione. Le entita importanti coprono settori come servizi postali, gestione dei rifiuti, produzione alimentare, fabbricazione e fornitori digitali. Le entita essenziali sono soggette a supervisione piu rigorosa (proattiva) e sanzioni piu elevate (EUR 10M o 2%), mentre le entita importanti sono supervisionate in modo reattivo con sanzioni inferiori (EUR 7M o 1,4%).

Quali sono le scadenze di segnalazione degli incidenti NIS2?

NIS2 introduce un processo di segnalazione a piu fasi: un'allerta preventiva entro 24 ore dalla conoscenza di un incidente significativo, una notifica dell'incidente entro 72 ore con una valutazione iniziale della gravita e dell'impatto, un rapporto intermedio su richiesta dell'autorita competente e un rapporto finale entro un mese dalla notifica dell'incidente che descriva in dettaglio la causa principale, l'impatto e le misure di rimedio. Gli incidenti transfrontalieri devono essere segnalati anche ai CSIRT pertinenti.

NIS2 si applica alla mia organizzazione?

NIS2 si applica alle organizzazioni medie e grandi (50+ dipendenti o EUR 10M+ di fatturato) in 18 settori designati: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanita, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (B2B), pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, prodotti chimici, alimentare, fabbricazione, fornitori digitali e ricerca. Alcune entita sono coperte indipendentemente dalle dimensioni, inclusi i fornitori DNS, i registri TLD e i fornitori di reti pubbliche di comunicazione elettronica.

Cos'e il NIS2UmsuCG?

Il NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitstaerkungsgesetz) e la legge nazionale tedesca che implementa la Direttiva NIS2. Modifica la legge BSI esistente (BSIG) e introduce requisiti nazionali allineati a NIS2, inclusi gli obblighi di registrazione presso il BSI (Bundesamt fuer Sicherheit in der Informationstechnik), la segnalazione degli incidenti al BSI e misure di cybersicurezza specifiche. L'implementazione tedesca aggiunge alcune disposizioni nazionali oltre i requisiti minimi di NIS2.

Il management puo essere ritenuto personalmente responsabile ai sensi di NIS2?

Si. NIS2 introduce esplicitamente la responsabilita del management nell'Articolo 20. Gli organi di gestione delle entita essenziali e importanti devono approvare le misure di gestione del rischio di cybersicurezza, supervisionarne l'implementazione e possono essere ritenuti responsabili per le violazioni. I membri della direzione devono anche sottoporsi a formazione sulla cybersicurezza. In Germania, il NIS2UmsuCG chiarisce ulteriormente che la direzione non puo delegare questa responsabilita e che i dirigenti possono incorrere in responsabilita finanziaria personale per le carenze di conformita.

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Funzionalita principali

Gestione del rischio di cybersicurezza

Implementi le misure di gestione del rischio richieste dall'Articolo 21. Valutazioni automatizzate dei rischi, piani di trattamento e monitoraggio continuo.

Segnalazione degli incidenti (24h/72h)

Rispetti le scadenze rigorose di segnalazione NIS2: allarme preventivo entro 24 ore, notifica completa dell'incidente entro 72 ore al Suo CSIRT nazionale.

Sicurezza della catena di fornitura

Valuti e monitori i rischi della catena di fornitura ICT. Tracci le posture di sicurezza dei fornitori e i requisiti contrattuali.

Responsabilita del management

Documenti la supervisione dell'organo di gestione, i requisiti di formazione e la conformita in materia di responsabilita personale come richiesto dall'Articolo 20.

Continuita operativa

Gestione dei backup, disaster recovery e piani di gestione delle crisi. Documenti e testi le Sue misure di resilienza.

Policy di sicurezza e formazione

Policy di cybersicurezza generate dall'IA e programmi di sensibilizzazione dei dipendenti allineati ai requisiti NIS2.

Perche Matproof

Copre tutte le misure di gestione del rischio dell'Articolo 21
Workflow di segnalazione degli incidenti 24h/72h integrati
Gestione del rischio della catena di fornitura inclusa
Documentazione della responsabilita del management

Conformita compliance in tutta la Germania

Trovi una guida alla compliance specifica per citta per il Suo istituto finanziario.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Visualizzi tutte le citta e i framework

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Storie di clienti

Team che non temono più la stagione degli audit.

85%tempo di preparazione in meno

Matproof ci ha risparmiato mesi di preparazione all'audit. Abbiamo collegato i nostri strumenti il lunedì e venerdì avevamo già le evidenze mappate su DORA. Il nostro revisore è rimasto colpito dalla profondità della pista di audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Pronto per iniziare?

Pronto per iniziare?

Scopra come Matproof automatizza la compliance per la Sua organizzazione.

Richieda una demo