guida alla normativa

Conformità alla NIS 2 e a DORA: aziende e CISO sono pronti? Indicazioni operative



Indirizzo copiato

Prepararsi a NIS 2 e DORA non è una gara a chi riesce a farla franca, ma un’opportunità da cui è possibile trarre un vantaggio competitivo. Ecco una breve analisi delle azioni che le aziende devono adottare per conformarsi

Pubblicato il 14 ott 2024

Carl Leonard

Cybersecurity strategist EMEA, Proofpoint



Direttiva NIS 2 gli adempimenti novità

Nei prossimi 12 mesi le organizzazioni che operano o hanno sede nell’Unione Europea dovranno dedicarsi a incrementare e migliorare la propria resilienza in materia di cyber security: il desiderio dell’UE di potenziare collettivamente la sicurezza informatica delle aziende che svolgono attività cruciali per la fornitura di servizi ai propri cittadini ha dato vita a una legislazione a livello europeo che si estenderà agli Stati membri e quindi alle organizzazioni che operano al loro interno.

La Direttiva (UE) 2022/2555, più comunemente nota come “Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (NIS)” o “Direttiva NIS 2”, entrerà in vigore nelle legislazioni nazionali a partire dal prossimo 17 ottobre 2024. Il Regolamento (UE) 2022/2554, per la resilienza operativa digitale del settore finanziario, noto come “DORA”, si applicherà invece a partire dal gennaio 2025.

Le aziende devono cercare di prepararsi al meglio, viste le informazioni disponibili al momento e i requisiti che dovranno rispettare nei prossimi 12 mesi. Per questo, abbiamo cercato di analizzare le implicazioni per i meccanismi di rilevamento, risposta, segnalazione e recupero degli incidenti informatici delle organizzazioni.

Disposizioni e misure chiave di NIS 2

Prepararsi a NIS 2 non è una gara a chi riesce a farla franca, ma una partita in cui le aziende più solide superano gli standard di base e traggono da questo impegno un vantaggio competitivo.

La direttiva è molto chiara: multe salate, possibile sospensione del servizio e monitoraggio della conformità vengono utilizzati come leve per incoraggiare le organizzazioni responsabili di servizi critici a prestare attenzione alle minacce di sicurezza informatica e alla risposta a esse.

È stato fissato un parametro di riferimento in termini di gestione del rischio e di misure di mitigazione, tra cui la risposta agli incidenti, formazione del personale, responsabilità dei dirigenti e molte altre.

A fronte di ciò, si prevede che le organizzazioni potranno godere di un migliore supporto attraverso sforzi coordinati a livello europeo.

Questo includerà informazioni condivise sulle minacce, un più elevato grado di sicurezza informatica comune e una mentalità condivisa.

Si tratta di una buona notizia sia per le organizzazioni che desiderano rimanere competitive in un panorama di minacce così complesso, sia per i cittadini che usufruiscono dei loro servizi.

Azioni che le aziende devono adottare per conformarsi

In primo luogo, le imprese dovrebbero verificare se il loro settore, sottosettore e dimensioni rientrano nell’ambito di applicazione di NIS 2 e, di conseguenza, registrarsi.

Gli articoli 21 e 23 della direttiva sono quelli a cui la grande maggioranza delle organizzazioni dedicherà il proprio tempo, esaminando l’elenco delle misure di gestione del rischio e degli obblighi di segnalazione richiesti.

L’ambiguità relativa all’applicazione pratica di ciascuna misura spicca per la sua assenza.

Le aziende dovranno implementare un insieme di interventi e se manca un pezzo all’appello, la conformità può essere messa in dubbio e le difese più deboli esposte.

Per quanto riguarda, invece, gestione degli incidenti e formazione del personale, sicurezza della catena di approvvigionamento e MFA, non c’è spazio per troppi dubbi: NIS 2 indica un elenco “minimo” e le organizzazioni devono impegnarsi a intraprendere un percorso di miglioramento continuo in materia di cyber security per essere sempre un passo avanti rispetto agli attori delle minacce e pronte a rispondere ai pericoli attuali e futuri.

DORA e NIS 2: come si differenziano le due normative

Le organizzazioni che dovranno conformarsi a NIS 2 saranno più numerose di quelle che lo sono state finora.

Oltre ai settori dell’energia, dei trasporti, della sanità e altri, NIS 2 riguarda adesso anche le infrastrutture digitali, la gestione dei servizi ICT, la pubblica amministrazione e vari sottosettori, tra cui i prodotti chimici, la gestione dei rifiuti, gli alimenti e la ricerca.

DORA si concentra sul settore finanziario e sulle aziende IT che lo assistono.

È comunque interessante osservare che NIS 2 precisa che per il settore finanziario sarà prima DORA ad essere applicata e, successivamente, le eventuali lacune saranno colmate da NIS 2.

Districarsi in un mosaico di normative non è una novità per molte aziende, ma le organizzazioni interessate devono pensare a come conformarsi per fornire un livello di base di cyber sicurezza accettabile, o preferibilmente, superarlo.

Indicazioni e processi per la conformità a NIS2

In linea generale, può risultare complicato stabilire se un’organizzazione abbia fatto abbastanza per conformarsi alle misure previste.

Le aziende interessate cercheranno una guida più chiara su ciò che costituisce una gestione accettabile degli incidenti, ad esempio per dimostrare ai revisori, e quindi alle autorità, quali “misure tecniche, operative e organizzative appropriate e proporzionate” hanno implementato.

Quello che ci si auspica è che si faccia maggiore chiarezza entro la fine di ottobre 2024 e che si creino dei precedenti quando le aziende verranno chiamate in causa.

Tuttavia, l’etica e l’enfasi della direttiva sono chiare: le organizzazioni devono lavorare per comprendere le loro attuali capacità e lacune ed esaminare ciò che potrebbe essere fatto per migliorare la loro resilienza e sicurezza informatica al fine di gestire i rischi, continuare le operazioni e ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi.

Sanzioni e misure che l’UE può adottare nell’ambito di NIS 2

Molti leader avranno notato che le autorità avranno il potere di sospendere temporaneamente un’organizzazione dalla fornitura di un servizio, di impedire a un amministratore delegato di gestire l’azienda e di ritenerla responsabile per la violazione dell’obbligo di garantire la conformità a NIS 2.

Le autorità possono ordinare alle società di porre fine a pratiche scorrette, di rendere pubblici i propri errori e di avviare azioni correttive.

Le multe previste da NIS 2 sono state concepite per scoraggiare le pratiche scorrette in materia di sicurezza informatica e per incentivare una particolare attenzione al mantenimento dell’operatività: la minaccia di una sanzione pari a 10 milioni di euro massimo o del 2% del fatturato mondiale costituisce il proverbiale bastone per i settori ad alta criticità.

Impatto di NIS 2 in confronto al GDPR

La gestione del tempo e del denaro sta a cuore a tutte le aziende. In base a quanto stabilito da NIS 2, le organizzazioni avranno solo 24 ore per presentare una notifica di allarme alle autorità, mentre il GDPR richiede una segnalazione entro le 72 ore dall’incidente.

Tuttavia, per le violazioni più gravi, le multe previste dal GDPR sono pari al doppio di quelle previste da NIS 2.

Possiamo quindi dedurre che le violazioni dei dati personali risultano essere quelle più gravi e impattanti.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 5